クラウドセキュリティ、しばしばクラウドコンピューティングセキュリティとも呼ばれるものは、クラウド内に保存されたインフラストラクチャ、アプリケーション、データを脅威やサイバー攻撃から防御することです。クラウドセキュリティは従来のサイバーセキュリティと同じ目的を持ちますが、管理者がサードパーティサービスプロバイダーのインフラストラクチャ内に収容された資産を保護しなければならないという点で異なります。
組織はクラウドコンピューティングを活用し、コンピューティングコストを削減するとともに、変化するビジネスニーズに対応するため新たなコンピューティングリソースを迅速に展開しています。クラウドベースの技術により、企業はステークホルダーや顧客にこれまで以上に迅速にアクセスできるようになり、市場投入の迅速化が期待されています。クラウドコンピューティングは多くの効率化をもたらした一方で、2024年のクラウドセキュリティ侵害トップ10リストが示すように、いくつかの脆弱性も生み出しています。Singularity™ Cloud Security from SentinelOneのようなクラウドネイティブなセキュリティソリューションは、こうした侵害を未然に防ぎたい組織に、統合されたリアルタイムの解決策を提供します。
トップ10のクラウドセキュリティ侵害事例と、そこから得られる重要な教訓について詳しく見ていきましょう。
クラウドセキュリティ侵害とは?
クラウドセキュリティ侵害 は、許可されていない人物がクラウド上のプライベートデータや機密個人情報にアクセスした場合に発生します。これは以下のような様々な状況で発生する可能性があります:
- 過失(公共の場でアカウントを開いたままにするなど。クラウドのリモートアクセスが容易な性質上、発生しやすい)
- ハッカーによるアプリケーションプログラミングインターフェース(API)の悪用ファイル、パスワード、その他のセキュリティ情報を制限なく共有すること(管理者はクラウドベースのプラットフォーム上で共有データを容易に追跡できない)クラウド上で作業するエンジニアがファイルのセキュリティを損なったりデータを公開したりするミスを犯すこと
クラウドセキュリティ侵害トップ10
以下は2024年に発生したクラウドセキュリティ侵害トップ10です:
#1 フィッシング攻撃
クラウドセキュリティ侵害の首位はフィッシングです。フィッシングは、偽のメールやメッセージで相手の注意を引くことから始まります。このメッセージは信頼できる送信元からのように見せかけます。騙された場合、個人情報を漏洩させられる可能性があり、多くの場合偽のウェブサイト上で行われます。さらに、被害者のコンピューターが悪意のあるマルウェアをダウンロードさせられることもあります。
攻撃者は、被害者のクレジットカードや個人情報を利用して金銭を得ることにのみ関心を持っている場合もあります。従業員にフィッシングメールを送り、ログイン認証情報やその他の重要情報を入手する場合もあります。特定の企業に対して高度な攻撃を行うために、このような手法を用いるのです。そして、企業がメール送信者の正当性を確認するためのDMARCチェッカーを使用していない場合、容易に被害に遭ってしまいます。サイバー犯罪者は、ランサムウェアや高度持続的脅威(APT)といったより危険な攻撃の足掛かりとして、頻繁にフィッシングを利用します。
#2 悪意のあるサイバー攻撃
従業員が自社を攻撃するとは誰も考えたくないが、残念ながらこれが現実であり、毎年多くのクラウドセキュリティ侵害を引き起こしている。
IT専門家やシステム管理者など、特権的なシステムアクセス権を持つ人物が最も犯行に及ぶ可能性が高い場合もある。知識があり悪意のある管理者は、バックドアを開けたままにしたり、ネットワークに悪意のあるソフトウェアをインストールしてデータ窃盗を可能にしたりする可能性があります。中にはマルウェアをインストールする者さえおり、数百万ドルの損失をもたらすこともあります。
この種のクラウドセキュリティ侵害を防ぐ最善の方法は、スタッフを監視し、不満や不平の兆候がないか注意深く観察することです。リモートアクセスを完全に遮断するには、従業員が退職する際には必ずネットワークアクセス権限とパスワードを即時無効化すること。
#3 中間者攻撃(MitM攻撃)
中間者攻撃では、攻撃者が両当事者の間に割り込み、当事者が気付かないうちに機密情報を入手します。クラウドセキュリティ侵害には以下の手法が用いられます:
- ネットワークインフラの脆弱性を悪用する。
- スイッチやルーターを侵害する。
- マルウェアを使用して機器を制御下に置く。
ウェブサイトではHTTPS、ネットワーク接続ではVPNなど、安全で暗号化された通信経路を使用することで、中間者攻撃(MitM攻撃)から身を守ることができます。さらに、企業向けソフトウェアを定期的に更新することで、MitM攻撃の危険性を低減できます。
#4 ソーシャルエンジニアリング
ハッカーはソーシャルエンジニアリングの手法を用いて、個人情報を開示させたりセキュリティを侵害する行動を取らせたりするために人々を騙し、影響を与えます。ソーシャルエンジニアリングの主な目的は、人々を欺いて以下を行わせることです:&
- 自発的に個人情報を共有させる。
- コンピュータシステムやデータへの不正アクセスを許可させる。
他のハッキング手法とは異なり、ソーシャルエンジニアリングは人間の心理に焦点を当て、信頼や好奇心といった人間的特性を利用します。ソーシャルエンジニアリング攻撃には、物理的に立ち入り禁止区域や情報にアクセスすることや、技術の使用が含まれます。ハッカーは、標的に同僚など信頼できる人物であると思わせることによってこれを達成します。
ソーシャルエンジニアリングの脅威から防御するには、強力なセキュリティポリシー、知識、教育が必要です。機密情報の不自然な要求には常に警戒し、注意を払う必要があります。
#5 内部脅威
内部者リスクとは、企業のシステム、ネットワーク、データへのアクセス権限を持つ者が、その権限を悪用して引き起こすクラウドセキュリティ侵害です。これらの人物は、企業のパートナー、契約社員、または元従業員もしくは現従業員である可能性があります。
データ窃取、漏洩、システム妨害は、意図的か過失かを問わず、権限を悪用する人物によって発生します。主な内部脅威の類型は以下の通りです:
- データ窃取
- 妨害行為
- 不正アクセス
- 詐欺
内部脅威は危険です。内部関係者は機密情報、組織のセキュリティ手順、脆弱性へのアクセス権を頻繁に有しているためです。そのため、外部侵入者よりも迅速に検知を回避し、セキュリティ対策を迂回することが可能です。
#6 盗聴攻撃
サイバーセキュリティ侵害において、盗聴攻撃(スニッフィング攻撃またはスヌーピング攻撃とも呼ばれる)は重大な問題です。パスワード、クレジットカード番号、その他の機密データを含む情報は、デバイス間を移動する際にこれらの攻撃によって容易に盗まれます。
これらの攻撃が特に効果的なのは、ユーザーがデータを送受信している最中に、セキュリティ対策が施されていないネットワーク通信を利用してデータにアクセスし、送信中に何らかの警告を発することなく行われるためです。
攻撃者が標的にする可能性のある方法には以下のようなものがあります:
- 送信者と受信者の間の通信リンクを盗聴するために傍受する。これには無線周波数伝送や、使用中・未使用の電話回線、電線、接地されていない電気配管などの有線が利用される。
- 電話に盗聴器を設置して会話を録音する場合、これは盗聴装置と呼ばれます。電話の受話器が上げられる(通話開始時)を検知するトリガーを使用し、通話が終了すると自動的に停止します。
#7 アカウント乗っ取り
従業員の弱点を突くことは、内部からのクラウドセキュリティ侵害を引き起こす最も一般的な手法の一つです。内部脅威がもたらすリスクやハッカーの攻撃手法について、多くの人が認識していません。
例えば、多くのスタッフは電話では必要な情報のみを提供するよう心がけています。しかし、サイバー攻撃者からのフィッシング電話に騙された人の中には、認証情報を漏らしてしまう者もいます。さらに、彼らはフィッシングメール、特に現在のプロジェクトに関する情報を含んでいるものや特定のチームメンバーに言及している可能性があるものを識別できません。
すべての従業員が、ハッカーが内部から情報を操作し取得する数多くの手法を認識していない場合、あなたのビジネスは避けられないリスクに晒されます。
従業員アカウントがハッキングされることは時折起こり得ます。一度その行動を起こせば、会社の機密データにアクセスできる可能性が高まります。各従業員アカウントには、業務遂行に必要な情報のみへのアクセス権限を付与すべきです。
#8 漏洩した情報
従業員は、自覚的・無自覚的にスマートフォン、カメラ、USBメモリに情報を蓄積します。
クラウドセキュリティ侵害を軽減するため、企業はソフトウェアを活用し、ネットワークアクセス可能な端末の種類や特定データダウンロードの可否に関するガイドラインを定義すべきです。ポリシーとその根拠を従業員に周知することが不可欠です。
そうしなければ、従業員はそれらを回避する方法を見つけたり、無視したり、完全に誤解したりするでしょう。実際、内部脅威の最も頻繁な原因の一つである人的ミスが、ヴァージン・メディアにおける最新の侵害の原因でした。
Gmailなどのウェブメールサービスやデータストレージサービスへのアクセス制限を検討すべきかもしれません。従業員がインターネットアカウントに保存された個人データにアクセスできる場合、内部セキュリティへの脅威は制御不能となります。
さらに、一部の企業ではネットワークを厳重に管理し、承認された顧客が認可されたデバイスを使用する場合を除き、無線アクセスを禁止しています。Bluetooth データの損失の有無を把握することは非常に難しいかもしれません。
#9 悪意のあるコンテンツのダウンロード
従業員は、勤務中に個人的な目的でインターネットを利用します。休憩時間には、SNSをチェックしたり、ちょっとしたゲームを楽しんだりしているかもしれません。
こうした経路を通じてマルウェアやウイルスのリスクが存在し、従業員が意図せずネットワークへの侵入を許すケースが頻発しています。
クラウドセキュリティ侵害から企業を守るためには、ITシステムの定期的な更新と修正が不可欠です。
定期的なセキュリティダウンロードだけでは不十分です。定期的なプログラム更新と、アンチウイルスソフトの多層防御が必要です。単一の防御層だけに頼らないでください。
#10 安全でないアプリケーション
システム自体は極めて安全であっても、外部プログラムがセキュリティ上の課題を引き起こしている可能性があります。
サードパーティ製サービスは内部ウェブサイトのセキュリティを著しく損なう恐れがあります。プログラムをインストールする前に、チームで慎重に議論し、ネットワークに適しているかどうかを評価してください。
クラウドセキュリティ侵害を軽減するため、従業員がビジネスに有益だと思うプログラムを自由にダウンロードさせないでください。IT部門が事前に承認したアプリケーションのみを使用することをルール化してください。
クラウドセキュリティ侵害に関するよくある質問
クラウドセキュリティ侵害とは、クラウドリソースやデータへの不正アクセスが発生した状態を指します。攻撃者は認証情報の悪用、設定ミス、未修正の脆弱性などを通じて侵入します。侵入後は機密情報の窃取、削除、改ざんが可能となります。侵害によりサービスが中断したり、個人記録が漏洩したり、犯罪者があなたのアカウントで悪意のあるワークロードを実行したりする可能性があります。
ストレージバケットを公開状態のまま放置する、デフォルト設定を使用する、暗号化を無効化するといった過ちが攻撃者に侵入経路を提供します。パッチ未適用の仮想マシンや古いソフトウェアは悪用を招きます。過度に寛容なネットワークルールやIAMポリシーは、多くのユーザーがリソースを閲覧・変更できる状態を許容します。設定時の小さなミスは、見過ごされると大きなセキュリティ上の穴となることが多い。
攻撃者がフィッシングや情報漏洩でユーザー名とパスワードを入手すると、実際のユーザーとしてログインできます。多要素認証(MFA)がない場合、盗まれたパスワードだけでアクセスが可能になります。MFAはワンタイムコードなどの二次認証を追加するため、パスワードだけでは不十分です。MFAを省略すると、犯罪者がクラウドアカウントに侵入するのがはるかに容易になります。
不十分なID管理と過度に広範な権限は、侵入者に内部での自由な移動経路を提供します。ユーザーやサービスがデフォルトで「管理者」権限を持つ場合、侵入者は自由に移動できます。鍵のローテーションや役割の監査を怠ると、侵害された認証情報がより長く有効なままになります。誰が何を実行できるかを厳密に制御することで、侵害が拡大する前に阻止できます。
ファイアウォールやネットワークセキュリティグループの誤設定により、ポートがインターネットに無防備に開放される可能性があります。ストレージやデータベースが「公開」設定になっていると、誰でもデータの読み書きが可能になります。適切な認証チェックのないAPIエンドポイントは、攻撃者が本来アクセスすべきでないサービスを呼び出すことを可能にします。こうしたミスは犯罪者が自動的にスキャンし悪用する格好の標的となります。
個人を特定できる情報(氏名、メールアドレス、ID番号)がリスクリストのトップです。財務記録、支払いカード情報、健康データがそれに続きます。ソースコードや設計図などの知的財産も攻撃者の標的となります。侵害が発生すると、企業の評判を傷つけたりさらなる攻撃を助長したりする可能性のあるあらゆるデータが、盗まれる主要な対象となります。
侵害は大小問わず企業を襲います。スタートアップは急いでサービスを誤設定しがちです。複数のチームを管理する大企業は古いアカウントや未使用リソースを見落とす可能性があります。公共部門や医療分野は導入を急いだ際に被害を受けます。厳格なポリシーなしにクラウドを迅速に移行する組織は、すべて情報漏洩のリスクに晒されます。
SentinelOne CNAPPはクラウドアカウントを継続的にスキャンし、危険な設定、保護されていないデータストア、ID管理のギャップを検出します。全リソースをマッピングし設定ミスをフラグ付けするため、攻撃者が襲撃する前に修正が可能です。脅威が発生した場合、CNAPPはガイド付き修復手順を提供しコンプライアンスを追跡するため、検知と対応にかかる平均時間を短縮します。
SentinelOneのクラウドエージェントは、新規に開かれたポートや公開バケットなど、セキュアなベースラインからの逸脱を監視します。ベストプラクティスに基づくルールに対してチェックを実行し、即座にアラートを発します。組み込みのプレイブックにより、バケットの再ロックやリスクの高いIAMロールの権限剥奪といった修正を、手動でのチケット発行を待たずに自動適用できます。
SentinelOneは、AWS、Azure、GCP、オンプレミスクラスタにまたがるすべてのクラウド資産を、中央コンソールで表示します。リアルタイムのリスクスコア、監査証跡、変更履歴をすべて一元的に確認できます。問題が発生した際には、特定のリソースまでドリルダウンし、自動化またはワンクリックでの修正を適用し、全環境におけるコンプライアンスを監視できます。
