キヤノンMJ/サイバーセキュリティ情報局
クラウドから機密情報漏えい、どうやって防ぐ?
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「クラウドから機密情報が漏えいしないためにできること」を再編集したものです。
クラウドに関する設定ミスは、さまざまなセキュリティ事故を誘発し、最終的に組織に多大な被害を及ぼす。本記事では、クラウドの設定ミスに起因するトラブルを防ぐ方法について解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
正体不明の攻撃者によるゼロデイ攻撃を別にすると、デジタルトランスフォーメーションを推進する組織においてはるかに現実的なリスクは「人的ミス」だ。実際、ベライゾン社の調査によると、昨年の情報漏えいの要因のうち17%は「そのほかのエラー」が占めた。クラウドに関して言えば、その中でも設定ミスが特に大きな要因となっている。毎年、数十億件もの情報漏えいを引き起こし、企業のセキュリティ、評判、そして収益の大きな脅威となった。
人的ミスの脅威を抑制するには、企業はクラウドの可視化を進める必要がある。自動化ツールを使うなど、クラウド環境をコントロールする術を強化しなければならない。
クラウドからの情報漏えいによって、どのくらいの被害が出ているのか
コロナ禍において、デジタルトランスフォーメーションは多くの組織にとって有益だった。クラウドは世界的な経済危機を脱するために必要な成功の鍵のひとつとも見られている。事実、クラウドサービスへの投資は、デジタルトランスフォーメーション関連の支出の中心を占める。新たな顧客体験を生み、業務効率を高めるアプリケーションやビジネスプロセスの実装を促進するからだ。ガートナー社によると、全世界におけるパブリッククラウドサービスへの支出は2021年に18.4%成長し、3050億ドル(33兆9300億円相当)に達した。翌年はさらに19%成長すると予測されている。
しかし、クラウドの浸透によって人的ミスの脅威は増している。設定ミスによって機密情報が悪意のある攻撃者の手に渡ってしまう恐れがあるからだ。これらの情報には個人が識別できる情報(PII)が含まれているケースもある。昨年、ホテル予約ソフトウェアを開発するスペインの企業が数百万件におよぶ情報漏えいを起こしたのが、その例だ。さらに、より機密性の高い情報も漏えいしている。つい先月、機密扱いになっている米国のテロリスト監視リストがインターネット上に公開されているのが明らかとなった。
「Five tips for keeping your database secure(データベースを保護するための5つのヒント)(英語のみ)」
漏えいしたデータベースの情報を悪意のある攻撃者が収集することは、企業にとって大きな脅威となる。これまで攻撃者はデータを消去して身代金を要求していたが、不正なコードを挿入して情報を窃取するウェブスキミングの標的にもなっている。
これらの情報漏えいの規模は驚くべきものだ。2020年に公開されたIBM社の調査では、2019年に記録された85億件の情報漏えいのうち85%以上は、クラウドサーバーの設定ミスや、ほかのシステムの誤った設定によるものだった。半分以下だった2018年から大きく増加している。企業が対策を講じなければ、この被害はさらに拡大していくだろう。
問題はどこにあるのか
ガートナー社は以前、2020年までにクラウドに関連したセキュリティ事故の95%は利用企業に起因するものになると予測していた。では、事故が発生した際に誰が責任をとるのだろうか? セキュリティ事故はいくつかの原因に分類される。具体的には、管理不足、ポリシーの周知が不十分、継続的監視の未実装、管理対象クラウドのAPIやシステムの複雑化、といった例が挙げられる。
企業が複数のハイブリッド型クラウド環境を利用するようになり、クラウド管理の問題は深刻さを増している。今や92%の企業がマルチクラウド戦略をとり、82%の企業が複雑さを増す要因となるハイブリッドクラウド戦略を採用していると推定される。
クラウドの設定ミスには以下のように、いくつかの種類がある。
・アクセス制限の欠如:
AWS(Amazon Web Services)S3ストレージバケットが一般に公開されてしまうという問題を含め、攻撃者が遠隔でデータにアクセスし、クラウドアカウントを変更できるようになってしまう。
・セキュリティグループポリシーの甘さ:
AWS EC2サーバーへ誰でも22番ポートを介したSSH接続が許可されているケースがある。結果、遠隔による攻撃を許してしまう。
・権限管理の欠如:
ユーザーやアカウントの権限を最小限にとどめておかなければ、企業にとってリスクとなる。
・インターネットへの接続経路の誤認
・仮想ネットワーク機能の設定ミス
シャドーITによって、上記の設定ミスが発生するリスクは高まる。クラウドシステムが適切に設定されているかどうかを、IT部門が確認できないからだ。
クラウドの設定ミスを修正するには
企業は設定ミスを自動的に発見し、できるだけ早く修正する必要がある。しかし、そのような対応ができているとは言い難い。ある調査によると、攻撃者は設定ミスを10分以内で発見できる一方で、企業がその時間内に修正できるのは10%に過ぎなかった。また、約半数(45%)の企業は、修正するのに1時間から1週間程度を要した。
この状況を改善するには、どうすれば良いのだろうか?まずは、クラウドセキュリティの責任共有モデルを理解するべきだ。これは、クラウド事業者(CSP)が担当する領域は何か、顧客が責任を持つのは何かを明確にするためのモデルだ。クラウド事業者はハードウェア、ソフトウェア、ネットワーク、インフラといったクラウド自体のセキュリティに責任を持つのに対し、利用企業は情報資産の設定といったクラウド内におけるセキュリティを担当する。
次に、クラウドセキュリティのベストプラクティスを以下に示す。
・権限の制限:
ユーザーやクラウドアカウントへ最小権限の原則を適用し、意図せず情報が公開されてしまうリスクを軽減する。
・データの暗号化:
事業にクリティカルなデータや機密情報に強力な暗号を施し、漏えい時の被害を軽減する。
・プロビジョニング前のポリシー確認:
コードによるインフラ管理(Infrastructure as Code)を導入し、開発サイクルのできるだけ早い段階でポリシー設定のチェックを自動化する。
・継続的な監査:
クラウド環境は一時的に変化することが多く、コンプライアンス要件も時間とともに変化する。そのため、ポリシーに対する継続的な設定のチェックが不可欠。このプロセスを自動化・簡素化するのにCSPM(Cloud Security Posture Management:クラウドセキュリティ状態管理)の導入を検討したい。
適切な戦略を立てることで、クラウドに関するセキュリティリスクをより効果的に管理でき、従業員の生産性を高めることができる。脅威となる攻撃者は、公開されたクラウド上のデータを見つけることに長けているため、今すぐ前述したような対策を講じるべきだ。
[引用・出典元]
Plugging the holes: How to prevent corporate data leaks in the cloud by Phil Muncaster 22 Sep 2021 - 11:30 AM
https://www.welivesecurity.com/2021/09/22/plugging-holes-how-prevent-corporate-data-leaks-cloud/