クラウドコンピューティングは、この技術時代におけるビジネスの機能性に多大な影響を与えています。比類のない拡張性、汎用性、コスト効率性を提供します。企業がクラウド技術をより頻繁に利用し、重要な活動をクラウドベースのプラットフォームに移行するにつれ、追加のセキュリティ上の懸念が生じています。クラウドサービスの急速な普及は、サイバー犯罪者にとっての攻撃対象領域を拡大し、企業を様々なクラウドセキュリティ脅威のリスクに晒しています。
本記事の主なテーマは、クラウドコンピューティングシステムに影響を与えるトップ15のクラウドセキュリティ脅威です。データ窃取、脆弱なAPI、持続的高度攻撃、有害な内部関係者行動など、様々な危険性を網羅します。これらの脅威に対しては効果的な対策が不可欠であり、早急に対処する必要があります。
クラウドセキュリティとは?
デジタル情報を保護する上で重要な要素がクラウドセキュリティです。これは、データがオンライン上で利用・保管される際の安全性を確保することに尽きます。これは、オンラインサービスを提供する企業と、それらを利用する個人や組織に影響を与えるため重要です。
プログラムを実行したりデータを保存したりするサービスプロバイダーは、自社の製品が常にオンラインで利用可能であることを保証します。これは、誰もが必要なものにアクセスできるようにするためです。これらの組織は、利用者の信頼を得るため、個人情報を保護する多様なセキュリティ手法を採用しています。
しかし、セキュリティは企業だけの責任ではありません。クラウドサービスの利用者である個人や企業も、セキュリティ維持に責任を負います。サービスの安全性を確保するには、全ての関係者の協力が不可欠です。
適切なツールの使用やベストプラクティスの遵守は、クラウドセキュリティの多様な側面の一部に過ぎません。サービス運営を支えるハードウェアやソフトウェアのセキュリティも含まれます。ユーザーがクラウドに保存するあらゆるデータの安全性を確保することも、別の側面である。これを達成するには、関わる全員が管理・保護すべき対象を認識しなければならない。
端的に言えば、オンラインサービスを提供する企業は、安全に構築されていることを保証しなければならない。信頼できるプロバイダーを選択し、サービスを安全に利用することで、これらのサービスのユーザーも変化をもたらすことができる。また、自身のデバイスとインターネット接続の安全性も確保しなければなりません。
クラウドセキュリティ脅威トップ15
組織が直面する可能性のあるクラウドセキュリティ脅威トップ15は以下の通りです:
#1 データ侵害
様々な形態のデータに対するクラウドセキュリティ脅威は、組織内部、ネットワークへのアクセス権を持つサプライヤーやコンサルタント、社外の人物から発生する可能性があります。彼らは、社内ネットワーク、外部メールアカウント、モバイルデバイス、そしてクラウド上にデータが存在する場合、クラウド経由でデータにアクセスできます。従来の境界セキュリティでは、こうした脅威からデータを保護するには不十分です。
内部関係者によるデータ保護の失敗も脆弱性となります。不満を抱えた従業員が機密情報を漏洩する可能性があります。外部関係者も、フィッシングメールや悪意のあるウェブサイトを利用して従業員のコンピュータにマルウェアを感染させ、ユーザー名やパスワードを入手できます。
メールアカウントやモバイルデバイスは紛失・ハッキング・侵害される可能性があり、クラウドサービスプロバイダーの従業員も頻繁にクラウドデータにアクセスします。こうした脅威に直面した企業は、関連するデータ侵害のリスクを評価し、クラウドセキュリティ脅威からのリスクを低減する対策を講じる必要があります。
#2 不十分なIDおよびアクセス管理
IAMルールとソリューションが整備されていない場合、組織はサイバー攻撃に対して脆弱になる可能性があります。最近のデータ侵害事例によると、悪意のある攻撃者がパスワード窃取やシステムアカウントへのアクセスを狙い、容易な標的を探し続ける中で、フィッシング攻撃やソーシャルエンジニアリングの手口に対する防御策として不十分なユーザー教育が原因で発生した事例も存在します。
特にシステムセキュリティ侵害により数百万件のデータが盗まれた場合、間違った理由でニュースの見出しを飾ることを望む企業はありません。<IDおよびアクセス管理(IAM)の制御とシステムを導入することで、組織はサイバー攻撃によるクラウドセキュリティ脅威の増加を防ぎ、金銭的損失や評判の毀損を回避できます。lt;/p>
以下のような課題に直面することになります:
- データセキュリティ問題と困難な監査: 中央集権的なID管理システムがなければ、データ管理上の課題は避けられません。システムアーキテクトが開発したアプリケーションは通常、高度なセキュリティを備えています。しかし、集中型ID管理システムが存在しないため、プロジェクトチームは新たに開発されたシステムにもこれらの機能を追加しなければなりません。新規アプリケーションの作成や実装時には、プロジェクト予算やスケジュールが制約されることが多く、チームは主要なビジネス目標達成に必要な機能に集中します。タスク完了を急ぐあまり、セキュリティ対策は「後回し」にされたりあるいは後回しにされる—より多くのデータソースを維持・安全に保管することに伴うクラウドセキュリティ脅威が増大する。
- アクセス可能な情報が多すぎる: 従業員に大量のデータやアプリケーションへのアクセスを許可することが、セキュリティ問題の最も重大かつ頻繁な原因である。なぜこれが起こるのか?職務定義が不明確、特定部門での業務遂行に必要な役割の認識不足、誤った識別分類、あるいは全アプリケーションデータへのアクセス権を持つユーザーが存在する場合、いずれ問題は発生する。
#3 不安全なAPI
アプリケーションプログラミングインターフェース(API)のセキュリティは、API利用の普及に伴い最重要課題となっています。インシデントやデータ侵害の最も一般的な原因は、不適切に構成されたAPIです。誤った設定、不良なコーディング手法、認証の欠如、不適切な権限設定による脆弱性を調査する必要があります。これらのミスはインターフェースを悪意のある活動に晒す可能性があります。リソースの漏洩、削除、改ざん、あるいはサービス停止を引き起こす恐れがあります。
組織は接続性と俊敏性を高めるため、現在急速にAPIを導入しています。これによりAPI開発者と顧客にデジタル体験を提供できる点が利点の一つです。クラウド技術はAPIの迅速かつ容易な構築・利用を促進する触媒として機能し、デジタルエコシステムを効率化します。
APIの使用方法や関連データ、脆弱性の発見・修正の迅速さによって、保護されていないインターフェースやAPIに関連するクラウドセキュリティ脅威のレベルは異なります。最も頻繁に報告されるビジネス上の影響は、APIによって保護されていない状態のまま放置されたプライベートデータや機密データの偶発的な漏洩です。
不安全なAPIがクラウドセキュリティ脅威を引き起こす可能性のある方法には以下のようなものがあります:
- 不十分な認証の悪用:開発者が認証機能のないAPIを作成することがあります。その結果、これらのインターフェースはインターネットに公開されているため、誰でも企業システムやデータにアクセスできてしまいます。まるで近所を探索し、鍵がかかっていないドアを見つけるまで次々とノックするようなものです。
- オープンソースソフトウェアの利用者増加による収益化:コンポーネントベースのソフトウェア開発はIT業界の標準となっています。多くのプログラマーは時間を節約するため、オープンソースソフトウェアを自身の作業に取り入れています。これにより、数多くのアプリケーションがサプライチェーン侵入の危険に晒されています。開発者が誤って、暗号通貨マイニングコードを含むコンポーネントをインターネット上のDocker Hubからダウンロードしてしまう可能性があるのです。
#4 システム脆弱性
サービス運用への妨害に加え、攻撃者はシステムの欠陥や悪用可能な不具合を突いてシステムに侵入し、制御権を獲得する可能性があります。
セキュリティギャップを埋め、システム脆弱性によるクラウドセキュリティ脅威を軽減するには、セキュリティパッチやアップグレードの適用、定期的な脆弱性スキャン、報告されたシステム脅威の監視が必要です。
#5 アカウントまたはサービスの乗っ取り
フィッシング、詐欺、ソフトウェア欠陥の悪用などの攻撃戦略を用いることで、攻撃者はアカウントアクセスを悪用し、データを窃取し、クラウドサービスやクラウドセキュリティシステムに損害を与え、企業の評判を傷つける可能性があります。
組織は二要素認証を確実に導入し、可能な限りユーザーがアカウント認証情報を開示することを禁止し、クラウドセキュリティ脅威を軽減すべきです。
クラウド環境におけるアカウントまたはサービス乗っ取りのクラウドセキュリティ脅威を軽減するため、組織は以下の堅牢なセキュリティ対策を実施すべきです:
- 多要素認証(MFA): パスワード以外の追加認証をユーザーに要求する多要素認証を強制することができます。これによりセキュリティが強化され、クラウドセキュリティの脅威から組織を保護します。
- 強力なパスワードポリシー: 強力なパスワードポリシーを実施することで、ユーザーは強力なパスワードを使用し、パスワードの再利用を避けるよう促されます。
- 継続的な監視:&アカウント上の不審な活動や不正アクセス試行を特定するため、リアルタイム監視と異常検知が活用されます。
#6 悪意ある内部関係者による脅威
企業のセキュリティは、悪意のある内部関係者によるクラウドセキュリティ脅威によって深刻な影響を受ける可能性があります。こうした内部関係者は、重要なシステムや機密データへのアクセス権を持つシステム管理者である場合があります。クラウドサービスプロバイダー(CSP)がこれを確実に管理するためには、効果的なポリシー、職務分離、適切なログ記録、監査、および管理者活動の監視が不可欠です。
クラウド環境における悪意ある内部者脅威には包括的なセキュリティアプローチが必要です:
- アクセス制御:強力なアクセス制御を実施し、最小権限の原則を適用します。これにより、内部関係者のアクセスをその役割に必要なリソースのみに制限します。
- 監視と異常検知: リアルタイム監視と異常検知により、組織は内部関係者の不審な行動を示す可能性のある不審な活動を特定できます。
- 内部者脅威の検知: 行動分析やユーザー活動監視などの専門ツール・技術を導入し、内部者脅威を検知します。
#7 持続的高度脅威(APT)
持続的高度脅威(APT)標的企業のITシステムに侵入し、データや知的財産(IP)を窃取します。APTが情報にアクセスする主な手法には、スピアフィッシング、直接的なハッキング技術、保護されていないネットワークやサードパーティネットワークの悪用などがあります。
APTの検知と阻止は困難ですが、予防的なセキュリティ対策で軽減可能です。
クラウド環境におけるAPTのセキュリティ脅威を軽減するには、包括的なセキュリティアプローチが必要です:
- 脅威インテリジェンス: 最新のAPT戦術・手法・手順を把握し、攻撃の予測と対応能力を向上させる。
- サイバーセキュリティトレーニング: スピアフィッシングやソーシャルエンジニアリング攻撃といったクラウドセキュリティ脅威について従業員を訓練・教育する。メールの真正性確認と不審な活動の報告の重要性を強調します。
- エンドポイント保護:高度なエンドポイント保護ソリューションを導入することで、クラウドデバイスへの侵入を試みるAPTを検知・遮断できます。リモートで使用されるエンドポイントについては、IPsec VPNプロトコルでリスクを排除できます。これは特に、サードパーティネットワーク経由の接続に伴う脅威の軽減に効果的です。
#8 マルウェア注入
この攻撃の目的は、クラウドに保存されたユーザーデータへのアクセス権を取得することです。ハッカーは、SaaS、PaaS、またはIaaSを感染させることで、感染したモジュールにリクエストを送信し、悪意のあるコードを実行できます。危険なマルウェアには、データを盗むかユーザーを盗聴するかの2つの選択肢があります。最も頻繁に見られるマルウェア注入攻撃は、クロスサイトスクリプティング攻撃と SQL インジェクション攻撃です。
マルウェア注入によるクラウドセキュリティの脅威を軽減するには、組織はいくつかのセキュリティ対策を実施する必要があります。
- 入力の検証と出力のエンコードを確実に実行し、コード注入の脆弱性を防止するなど、安全なコーディング手法を使用します。コードインジェクションなどの問題を回避するには、安全でセキュアなコーディング慣行を採用してください。出力エンコーディングと入力検証を確実に行います。
- Webアプリケーションファイアウォール(WAF):WAFを使用して悪意のあるリクエストをフィルタリングおよび拒否することで、様々な種類のインジェクション攻撃を回避できます。
- 既知の脅威に対処するため、システムとアプリケーションを最新のセキュリティ更新プログラムで更新してください。
#9 データ損失
データ損失は、CSPの誤削除や火災・地震などの自然災害など、様々な理由で発生する可能性があります。これを回避するには、プロバイダーとユーザーはデータバックアップ対策を実施し、災害復旧と事業継続のためのベストプラクティスに従う必要があります。
データ損失というクラウドセキュリティの脅威を軽減するため、組織はいくつかのサイバーセキュリティ対策を実装すべきです:
- 定期的なデータバックアップ: 重要なデータを定期的にアーカイブし、その所有権を認証します。これにより、データ損失時でも復元が可能となる。
- データ暗号化の利用: 機密データを転送中および保存時に保護することで、不正アクセスによるクラウドセキュリティ脅威を軽減します。
- アクセス制御:アクセス制御を設定することで、データへのアクセスを権限のある担当者のみに制限できます。
#10 十分なデューデリジェンスの実施不足
組織はクラウド技術の導入やクラウドプロバイダーの選定前に必要なデューデリジェンスを実施し、明確なロードマップを作成する必要があります。これを怠ると、数多くのセキュリティ上の懸念に晒される可能性があります。
デューデリジェンスの不備によるクラウドセキュリティ脅威を軽減するため、組織は以下のサイバーセキュリティ対策を実施すべきです:
- 包括的なリスク評価: 詳細なリスク分析を実施し、組織の業務に影響を与える潜在的な弱点、サイバーセキュリティ上の穴、危険性を特定する。
- サプライヤーおよび第三者評価: 取引関係を結ぶ前に、サプライヤーや第三者サービスプロバイダーのセキュリティ手順を分析します。
#11 不十分な知的財産保護
知的財産を保護するには最高レベルの暗号化とセキュリティが必要です。潜在的なセキュリティ上の懸念を特定するために知的財産を識別・分類するとともに、脆弱性分析と適切な暗号化を実施しなければなりません。
知的財産保護の不備によるクラウドセキュリティ脅威を軽減するため、組織は以下のサイバーセキュリティ対策を実装すべきです:
- アクセス制御: 脆弱なIPアドレスへのアクセスを制限する。許可された個人のみが機密情報にアクセスできるようにする。
- 暗号化:不正アクセスを防ぐため、知的財産データの送信時および保存時に暗号化を実施する。
#12 クラウドサービスの悪用
不適切なクラウドサービスの導入、不正なアカウント登録、無料クラウドサービスの試用期間は、悪意のある攻撃につながる可能性のある問題の一例です。クラウドベースのリソース悪用の事例には、大規模な自動クリック詐欺、違法または海賊版コンテンツのホスティング、分散型サービス拒否攻撃(DDoS攻撃)の実施、フィッシングキャンペーン、メールスパムなどが含まれます。
IP保護の不備によるクラウドセキュリティ脅威を軽減するため、組織は以下のサイバーセキュリティ対策を実装すべきである:
- アクセス制御:機密性の高い知的財産へのアクセスを制限し、適切な権限を持つスタッフのみが機密データにアクセスできるようにする。
- 暗号化:データ伝送時および保存時の暗号化を活用し、オンラインクラウドセキュリティ脅威や不正アクセスから知的財産情報を保護する。
- IP関連リソースへのアクセスに対するリアルタイム監視と監査を実施し、不審な活動や不正アクセス試行を迅速に検知する。
#13 DoS攻撃
サービス拒否(DoS) として知られる攻撃は、攻撃対象のクラウドサービスにおいて、メモリ、ディスク容量、ネットワーク帯域幅、CPUパワーなどのシステムリソースを異常なほど大量に消費することで、顧客が自身のデータやアプリケーションにアクセスするのを妨げます。
DoS攻撃によるクラウドセキュリティ脅威を軽減するため、組織は以下のサイバーセキュリティ対策を講じるべきです:
- ネットワークトラフィック監視: 不審な活動の兆候がないかネットワークトラフィックを厳重に監視し、DoS攻撃を迅速に特定できるようにします。
- トラフィックフィルタリングと帯域幅制御戦略を導入し、悪意のあるトラフィックを遮断し、ボリューム型攻撃の影響を軽減する。
- 負荷分散戦略を活用し、複数のサーバー間で着信トラフィックを均等に分散させ、リソース枯渇攻撃の影響を大幅に軽減する。
#14 共有技術に起因する脆弱性
CSPは、市販のハードウェアやソフトウェアを大幅に変更することなく、プラットフォーム、インフラストラクチャ、アプリケーションを共有することでスケーラブルなサービスを提供します。
CPUキャッシュやGPUを含む基盤コンポーネントが、マルチテナントアーキテクチャ(IaaS)、マルチカスタマーアプリケーション(SaaS)、再デプロイ可能なプラットフォーム(PaaS)に対して十分な分離特性を提供しない場合、共有技術による脆弱性が生じる可能性があります。
共有技術に起因する脆弱性によるクラウドセキュリティ脅威を軽減するため、組織およびクラウドサービスプロバイダーは様々なサイバーセキュリティ対策を実装すべきである:
- セキュリティ評価: 共有技術コンポーネントの定期的なセキュリティ評価と脆弱性スキャンを実施し、潜在的な欠陥を発見・修正する。
- 厳格な分離手順を適用し、各テナントのデータとリソースが他のテナントのものから十分に隔離されていることを確保する。
- クラウドインフラストラクチャと共有技術のセキュリティ状態を評価するため、第三者によるセキュリティ監査を実施する。
#15 CSPとのコミュニケーション
顧客は、CSPとのSLA(サービスレベル契約)において、正確なセキュリティ要件を明記する必要があります。CSPのamp;#8217;のセキュリティ対策を理解するために、CSAセキュリティ・信頼性・保証登録(CSA STAR)を参照することがあります。
CSPはまた、PCIおよび連邦情報セキュリティ管理法(FISMA)への準拠を維持し、マルチテナント境界を保護する方法の概要を示す必要があります。
CSPとの通信に伴うサイバーセキュリティ脅威に対処するため、組織は以下の対策を実施すべきである:
- 暗号化:組織のインフラとCSP間のデータ伝送を保護するため、堅牢な暗号化プロトコル(TLS/SSLなど)を使用すること。
- 強固な認証技術(例:多要素認証(MFA))を導入し、組織とCSPの正当性を確認する。
- 定期的な監査の実施: 頻繁なセキュリティ監査を通じて、CSPのセキュリティ対策、データ処理手順、業界標準への準拠状況を評価する。
SentinelOne はクラウドセキュリティの脅威をどのように解決するのか?
SentinelOne は、クラウドセキュリティの要件に対応し、脅威を軽減する、世界クラスの自律型 AI 駆動のサイバーセキュリティプラットフォームです。次のような複数の方法でクラウドのセキュリティ確保を支援します。
- クラウドの設定ミス: 設定ミスは自動的に修正されます。リソース全体の設定ミス、横方向の移動経路、影響範囲がグラフで視覚化されます。SentinelOne のワンクリック修復機能は強力で、2,100 以上の組み込み設定チェックも適用されます。
- 新規および既存クラウドサービスのセキュリティ態勢を常時監視し、セキュリティ上の脆弱性とベストプラクティスを可視化。SentinelOneは最先端のクラウドセキュリティポスチャ管理(CSPM)、Kubernetes Security Posture Management (KSPM)、SaaS Security Posture Management (SSPM) サービスを提供しています。
- Building as a Code: IaCのデプロイと構成をCISベンチマーク、PCI-DSS、その他の基準に対して検証します。ハードコードされたシークレットを含むマージリクエストやプルリクエストを防止するため、CI/CD統合をサポート。SentinelOneにはSynk統合も含まれます。
- 既知のCVE(10以上の情報源から取得した包括的なインテリジェンス)を持つクラウドリソース/資産を特定し、脆弱性管理を実現。ゼロデイ脆弱性の評価を提供します。
- コンプライアンスダッシュボード: コンプライアンスダッシュボードでマルチクラウドのコンプライアンスと監査を効率化。PCI-DSS、ISO 27001、SOC 2など、多数の規制基準をサポート。環境全体のゼロデイ脆弱性や関連する問題を監視し、コンプライアンスリスクに対処します。&
- エージェントレスのソフトウェア部品表(SBOM)レポートとセキュリティ欠陥のVMスナップショットスキャンを提供します。SentinelOneには、コンテナ化されたワークロードやサーバーレス関数などを保護するエージェントベースのクラウドワークロード保護プラットフォーム(CWPP)も付属しています。エージェントレスの脆弱性評価も実行可能です。
- マルウェア、フィッシング、ランサムウェア、ファイルレス攻撃から組織を保護します。SentinelOneの脅威インテリジェンスにより、最新の動向に対応し、クラウドセキュリティの将来性を確保できます。
- 攻撃的セキュリティエンジンは、より包括的なセキュリティカバレッジを提供するために、ゼロデイ脅威を安全にシミュレートします。これにより、企業は外部のセキュリティアナリストやバグ報奨金ハンターへの依存度を減らすことができます。SentinelOne は検証済みエクスプロイト経路を提供し、その特許取得済みのストーリーライン技術により、企業に最先端のフォレンジック可視性を実現します。
- 秘密情報のためのプライベートリポジトリスキャン: 組織のプライベートリポジトリ内で750種類以上の異なる認証情報を発見し修正します。各開発者のプライベートリポジトリを24時間監視し、組織的に重要なデータ漏洩を発見・修正します。
結論
クラウドはビジネスに多くの利点をもたらす一方で、クラウドセキュリティ上の脅威や問題も抱えています。従来のセキュリティ技術や手法は、オンプレミスデータセンターとは大きく異なるクラウドベースのインフラを適切に保護するのに効果的でない場合があります。
