クラウドコンピューティングは、この技術時代において企業の業務運営に大きな影響を与えました。クラウドは、比類のないスケーラビリティ、柔軟性、コスト効率を提供します。しかし、企業がクラウド技術をより頻繁に利用し、重要な業務をクラウドベースのプラットフォームへ移行するにつれて、追加のセキュリティ上の懸念が生じています。クラウドサービスの急速な導入により、サイバー犯罪者にとっての攻撃対象領域が拡大し、企業はさまざまなクラウドセキュリティ脅威のリスクにさらされています。
本記事では、クラウドコンピューティングシステムに影響を与える上位15のクラウドセキュリティ脅威について解説します。データ窃取、脆弱なAPI、持続的な高度な攻撃、悪意ある内部関係者の行動など、さまざまな脅威を取り上げます。これらの脅威には効果的な対策が必要であり、迅速な対応が求められます。
クラウドセキュリティとは?
クラウドセキュリティは、デジタル情報を保護するための重要な要素です。これは、データがオンラインで利用・保存される際に安全であることを確保することに関わります。これは、オンラインサービスを提供する企業や、それらを利用する個人や組織に影響を与えるため、重要です。
プログラムを実行したりデータを保存したりしているサービスプロバイダーは、自社の製品が常にオンラインで利用可能であることを保証します。これは、すべての人が必要なものにアクセスできるようにするためです。これらの組織は、利用者の情報を安全に保つために多様なセキュリティ手法を採用し、信頼を得ています。
しかし、セキュリティは企業だけの責任ではありません。これらのクラウドサービスを利用する個人や企業も、セキュリティ維持の責任を負っています。サービスの安全性を確保するためには、すべての関係者が協力する必要があります。
適切なツールの使用やベストプラクティスの遵守は、クラウドセキュリティのさまざまな側面の一部に過ぎません。サービスを運用するためのハードウェアやソフトウェアのセキュリティも含まれます。ユーザーがクラウドに保存するデータが安全であることを確保することも重要な側面です。これを実現するためには、関係者全員が管理・保護すべき事項を認識している必要があります。
要するに、オンラインサービスを提供する企業は、安全にサービスを構築する責任があります。信頼できるプロバイダーを選び、安全にサービスを利用することで、利用者も安全性向上に貢献できます。また、自身のデバイスやインターネット接続の安全性も確保しなければなりません。
クラウドセキュリティ脅威トップ15
組織が直面する可能性のあるクラウドセキュリティ脅威トップ15は以下の通りです。
#1 データ侵害
さまざまな種類のデータに対するクラウドセキュリティ脅威は、組織内部、ネットワークにアクセスできるサプライヤーやコンサルタント、外部の人物から発生する可能性があります。自社がデータをクラウドに保存している場合、内部ネットワーク、外部メールアカウント、モバイルデバイス、クラウドを通じてデータにアクセスされる可能性があります。従来の境界型セキュリティだけでは、これらの脅威からデータを十分に保護できません。
内部関係者はデータ保護の失敗に対して脆弱です。不満を持つ従業員が機密情報を漏洩させる場合もあります。外部の攻撃者は、フィッシングメールや悪意のあるウェブサイトを利用して従業員のコンピュータにマルウェアを感染させ、ユーザー名やパスワードを取得することができます。
メールアカウントやモバイルデバイスは紛失、ハッキング、侵害される可能性があり、クラウドサービスプロバイダーの従業員もクラウドデータにアクセスできる場合があります。このような脅威に直面した場合、企業は関連するデータ侵害の影響を評価し、クラウドセキュリティ脅威からリスクを低減するための対策を講じる必要があります。
#2 不十分なアイデンティティおよびアクセス管理
IAMポリシーやソリューションが導入されていない場合、組織はサイバー攻撃に対して脆弱になります。最近のデータ侵害事例によると、一部のインシデントは、ユーザーがフィッシング攻撃やソーシャルエンジニアリングによる攻撃者の手口に対抗するための教育が不十分であることが原因です。攻撃者は引き続きパスワードを盗み、システムアカウントにアクセスするための容易な標的を探しています。
特に、数百万件のデータがシステムセキュリティ侵害によって盗まれた場合、企業は悪い理由でニュースになることを望みません。アイデンティティおよびアクセス管理の制御やシステムを導入することで、組織はクラウドセキュリティ脅威であるサイバー攻撃を防ぎ、損失や評判の低下を防ぐことができます。
直面する可能性のある問題は以下の通りです。
- データセキュリティの問題と監査の困難さ:中央集権的なアイデンティティ管理システムがない場合、データ管理の課題は避けられません。システムアーキテクトが作成したアプリケーションは通常、高いセキュリティを備えています。しかし、中央管理システムがないため、プロジェクトチームは新たに開発したシステムにもこれらの機能を追加する必要があります。新しいアプリケーションの開発や導入時には、プロジェクトの予算やスケジュールが制約されることが多く、チームは主なビジネス目標を達成するために必要な機能に集中します。その結果、セキュリティは「後回し」にされたり、優先順位が下がったりすることがあり、より多くのデータソースの管理や安全な保存に関するクラウドセキュリティ脅威が増加します。
- 過剰な情報への容易なアクセス:従業員に大量のデータやアプリケーションへのアクセスを許可することは、最も重大かつ頻繁なセキュリティ問題の原因です。なぜこのようなことが起こるのでしょうか?職務定義が不明確であったり、特定部門で必要な役割に対する認識不足、不適切な識別分類、すべてのアプリケーションデータにアクセスできるユーザーが存在する場合、最終的に問題が発生します。
#3 脆弱なAPI
API(アプリケーションプログラミングインターフェース)の利用が増加する中、APIセキュリティの重要性が高まっています。インシデントやデータ侵害の最も一般的な原因は、誤った設定のAPIです。設定ミス、不適切なコーディング手法、認証の欠如、不適切な権限設定などの脆弱性がないか確認する必要があります。これらのミスにより、インターフェースが悪意のある活動にさらされる可能性があります。リソースの流出、削除や改ざん、サービス停止などが発生する恐れがあります。
現在、組織は接続性と俊敏性を高めるためにAPIを迅速に導入しています。API開発者や顧客向けのデジタル体験を実現することがその利点の一つです。クラウド技術は、APIの構築や利用を迅速かつ容易にする触媒として機能し、デジタルエコシステムを効率化します。
APIの利用状況や関連データ、脆弱性の発見・修正までのスピードによって、脆弱なインターフェースやAPIに関連するクラウドセキュリティ脅威のレベルは異なります。APIによって保護されていない機密データや個人情報が偶発的に露出することが、最も頻繁に報告されるビジネス上の影響です。
脆弱なAPIがクラウドセキュリティ脅威を引き起こす例:
- 認証の不備の悪用:開発者が認証なしでAPIを作成する場合があります。その結果、インターネットに公開されたこれらのインターフェースを通じて、誰でも企業のシステムやデータにアクセスできてしまいます。まるで近所を歩き回り、鍵のかかっていないドアを探しているようなものです。
- オープンソースソフトウェア利用者の増加による悪用:コンポーネントベースのソフトウェア開発はIT業界の標準となっています。多くのプログラマーは時間を節約するためにオープンソースソフトウェアを組み込んでいます。これにより、多数のアプリケーションがサプライチェーン攻撃にさらされます。開発者が、暗号通貨マイニングコードを含むインターネット上のDockerハブからコンポーネントを誤ってダウンロードしてしまう場合もあります。
#4 システムの脆弱性
攻撃者は、システムの欠陥や脆弱性を悪用してシステムに侵入し、制御を奪うことができます。これにより、サービス運用が妨害されるだけでなく、さらなる被害が発生します。
セキュリティパッチやアップグレードの適用、定期的な脆弱性スキャン、報告されたシステム脅威の監視を行うことで、セキュリティギャップを解消し、システムの脆弱性によるクラウドセキュリティ脅威を軽減できます。
#5 アカウントまたはサービスの乗っ取り
フィッシング、不正行為、ソフトウェアの脆弱性の悪用などの攻撃手法を用いて、攻撃者はアカウントアクセスを悪用し、データを盗み、クラウドサービスやクラウドセキュリティシステムに損害を与え、企業の評判を傷つける可能性があります。
組織は、強力な二要素認証方式を導入し、可能な限りユーザーがアカウント認証情報を漏らさないようにし、クラウドセキュリティ脅威を低減する必要があります。
クラウド環境におけるアカウントまたはサービスの乗っ取りによるクラウドセキュリティ脅威を軽減するために、組織は以下のような強固なセキュリティ対策を実施すべきです。
- 多要素認証(MFA):多要素認証を強制することで、ユーザーはパスワード以外の追加認証を求められます。これにより、セキュリティが強化され、クラウドセキュリティ脅威から組織を保護できます。
- 強力なパスワードポリシー:強力なパスワードポリシーを導入することで、ユーザーに強固なパスワードの使用やパスワードの使い回し防止を促します。
- 継続的な監視:リアルタイム監視や異常検知により、アカウントの不審な活動や不正アクセスの試行を特定します。
#6 悪意ある内部関係者の脅威
悪意を持つ内部関係者(システム管理者など)が重要なシステムや機密データにアクセスできる場合、企業のセキュリティは深刻な影響を受ける可能性があります。CSPは、効果的なポリシー、職務分離、適切なログ記録、監査、管理者の活動監視を実施し、これを管理する必要があります。
クラウド環境における悪意ある内部関係者の脅威によるクラウドセキュリティ脅威を軽減するには、包括的なセキュリティアプローチが必要です。
- アクセス制御:強力なアクセス制御を実施し、最小権限の原則を適用します。これにより、内部関係者のアクセスを職務に必要なリソースのみに制限します。
- 監視と異常検知:リアルタイム監視や異常検知により、内部関係者による不審な活動を特定できます。
- 内部脅威検知:行動分析やユーザー活動の監視など、内部脅威検知のための専用ツールや手法を導入します。
#7 高度持続的脅威(APT)
高度持続的脅威(APT)は、標的企業のITシステムに侵入し、データや知的財産(IP)を窃取します。スピアフィッシング、直接的なハッキング手法、保護されていないネットワークやサードパーティネットワークの利用が、APTが情報にアクセスする一般的な方法です。
APTは特定や阻止が困難ですが、予防的なセキュリティ対策によりリスクを低減できます。
クラウド環境におけるAPTによるクラウドセキュリティ脅威を軽減するには、広範なセキュリティアプローチが必要です。
- 脅威インテリジェンス:最新のAPTの戦術、技術、手順について情報を収集し、攻撃をより適切に予測・対応します。
- サイバーセキュリティトレーニング:従業員に対し、スピアフィッシングやソーシャルエンジニアリング攻撃のクラウドセキュリティ脅威について教育します。メールの真正性確認や不審な活動の報告の重要性を強調します。
- エンドポイント保護:高度なエンドポイント保護ソリューションを導入することで、APTによるクラウドデバイスへの侵入を検知・阻止できます。リモートで利用されるエンドポイントには、IPsec VPNプロトコルを活用することで、サードパーティネットワーク経由の接続に伴う脅威を効果的に軽減できます。
#8 マルウェア注入
この攻撃の目的は、クラウドに保存されたユーザーデータへのアクセスを得ることです。攻撃者は、SaaS、PaaS、IaaSを感染させることで、リクエストを感染モジュールに送信し、悪意のあるコードを実行できます。危険なマルウェアは、データを盗むか、ユーザーの通信を傍受するかのいずれかを行います。最も一般的なマルウェア注入攻撃は、クロスサイトスクリプティングやSQLインジェクション攻撃です。
マルウェア注入によるクラウドセキュリティ脅威を軽減するために、組織は以下のセキュリティ対策を実施すべきです。
- 安全なコーディング手法を用いて入力検証や出力エンコーディングを行い、コードインジェクションの脆弱性を防止します。コードインジェクションなどの問題を回避するため、安全でセキュアなコーディングプラクティスを徹底し、出力エンコーディングや入力検証を実施します。
- Webアプリケーションファイアウォール(WAF):WAFを利用して悪意のあるリクエストをフィルタリング・拒否することで、さまざまなインジェクション攻撃を防止します。
- 既知の脅威に対応するため、システムやアプリケーションを最新のセキュリティアップデートで更新します。
#9 データ損失
データ損失は、CSPによる誤削除や火災・地震などの自然災害など、さまざまな理由で発生する可能性があります。これを防ぐため、プロバイダーと利用者はデータバックアップ対策を講じ、災害復旧や事業継続のベストプラクティスを遵守する必要があります。
データ損失によるクラウドセキュリティ脅威を軽減するために、組織は以下のサイバーセキュリティ対策を実施すべきです。
- 定期的なデータバックアップ:重要なデータを定期的にアーカイブし、その所有権を認証します。これにより、データ損失時でもデータの復元が保証されます。
- データ暗号化の活用:送信中および保存時の機密データを保護することで、不正アクセスによるクラウドセキュリティ脅威を低減します。
- アクセス制御:アクセス制御を設定することで、データへのアクセスを認可された担当者のみに制限できます。
#10 デューデリジェンスの不備
組織は、クラウド技術の導入やクラウドプロバイダーの選定前に必要なデューデリジェンスを実施し、明確なロードマップを作成する必要があります。これを怠ると、さまざまなセキュリティ上の懸念にさらされる可能性があります。
デューデリジェンスの不備によるクラウドセキュリティ脅威を軽減するために、組織は以下のサイバーセキュリティプラクティスを実施すべきです。
- 包括的なリスクアセスメント:詳細なリスク分析を実施し、組織の業務に影響を与える潜在的な脆弱性やサイバーセキュリティ上のギャップ、脅威を特定します。
- サプライヤーおよびサードパーティの評価:ビジネス関係を構築する前に、サプライヤーやサードパーティサービスプロバイダーのセキュリティ手順を分析します。
#11 IP保護の不備
知的財産(IP)を保護するには、最高レベルの暗号化とセキュリティが必要です。潜在的なセキュリティ懸念を特定するためのIPの識別・分類、脆弱性分析、適切な暗号化が求められます。
IP保護の不備によるクラウドセキュリティ脅威を軽減するために、組織は以下のサイバーセキュリティ対策を実施すべきです。
- アクセス制御:脆弱なIPアドレスへのアクセスを制限します。許可された人物のみが機密情報にアクセスできるようにします。
- 暗号化:知的財産データを送信中および保存時に暗号化し、不正アクセスを防止します。
#12 クラウドサービスの悪用
安全でないクラウドサービスの導入、不正なアカウント登録、無料クラウドサービスのトライアルなどが、悪意のある攻撃につながる場合があります。クラウドベースのリソース悪用の例として、大規模な自動クリック詐欺、違法または海賊版コンテンツのホスティング、分散型サービス拒否攻撃、フィッシングキャンペーン、スパムメールの送信などがあります。
IP保護の不備によるクラウドセキュリティ脅威を軽減するために、組織は以下のサイバーセキュリティ対策を実施すべきです。
- アクセス制御:機密性の高いIPへのアクセスを制限し、適切な権限を持つスタッフのみが機密データにアクセスできるようにします。
- 暗号化:送信中および保存時のデータを暗号化し、オンライン上のクラウドセキュリティ脅威や不正アクセスから知的財産情報を保護します。
- IP関連リソースへのアクセスのリアルタイム監視と監査を実施し、不審な活動や不正アクセスの試行を迅速に検知します。
#13 DoS攻撃
サービス拒否(DoS)攻撃は、クラウドサービスが攻撃を受けることで、システムリソース(メモリ、ディスク容量、ネットワーク帯域幅、CPUパワーなど)が異常に大量に消費され、顧客がデータやアプリケーションにアクセスできなくなる攻撃です。
DoS攻撃によるクラウドセキュリティ脅威を軽減するために、組織はさまざまなサイバーセキュリティ対策を実施すべきです。
- ネットワークトラフィックの監視:ネットワークトラフィックを継続的に監視し、異常な活動の兆候を早期に検知することで、DoS攻撃を迅速に特定します。
- トラフィックフィルタリングや帯域制御戦略を導入し、悪意のあるトラフィックを遮断し、ボリューム型攻撃の影響を軽減します。
- ロードバランシング戦略を活用し、複数のサーバーにトラフィックを均等に分散させることで、リソース枯渇攻撃の影響を大幅に軽減します。
#14 共有技術による脆弱性
CSPは、商用のハードウェアやソフトウェアを大幅に変更することなく、プラットフォーム、インフラストラクチャ、アプリケーションを共有することでスケーラブルなサービスを提供しています。
基盤となるコンポーネント(CPUキャッシュやGPUなど)が、マルチテナントアーキテクチャ(IaaS)、マルチカスタマーアプリケーション(SaaS)、再展開可能なプラットフォーム(PaaS)に対して十分な分離特性を提供しない場合、共有技術による脆弱性が発生する可能性があります。
共有技術による脆弱性に起因するクラウドセキュリティ脅威を軽減するために、組織およびクラウドサービスプロバイダーは、さまざまなサイバーセキュリティ対策を実施すべきです。
- セキュリティ評価:共有技術コンポーネントの定期的なセキュリティ評価や脆弱性スキャンを実施し、潜在的な欠陥を特定・修正します。
- 各テナントのデータやリソースが他のテナントと十分に分離されるよう、厳格な分離手順を徹底します。
- クラウドインフラストラクチャや共有技術のセキュリティ状況を評価するため、第三者によるセキュリティ監査を受けます。
#15 CSPとのコミュニケーション
顧客は、CSP(クラウドサービスプロバイダー)とのSLA(サービスレベルアグリーメント)で、正確なセキュリティ要件を明記する必要があります。CSPのセキュリティ制御を理解するために、CSA Security, Trust, and Assurance Registry(CSA STAR)を参照することもできます。
CSPは、PCIや連邦情報セキュリティ管理法(FISMA)への準拠維持方法や、マルチテナント境界の保護方法についても明確に説明する必要があります。
CSPとのコミュニケーションに関連するサイバーセキュリティ脅威に対処するため、組織は以下の対策を実施すべきです。
- 暗号化:組織のインフラストラクチャとCSP間のデータ送信時には、強力な暗号化プロトコル(TLS/SSLなど)を使用してデータを保護します。
- 強固な認証技術の導入:多要素認証(MFA)などを活用し、組織およびCSPの正当性を確認します。
- 定期的な監査:定期的なセキュリティ監査を通じて、CSPのセキュリティ制御、データ取扱手順、業界標準への準拠状況を評価します。
SentinelOneはクラウドセキュリティ脅威の解決にどのように役立つか?
SentinelOneは、クラウドセキュリティ要件に対応し、脅威を軽減する世界トップクラスの自律型AI駆動サイバーセキュリティプラットフォームです。クラウドを多角的に保護する方法は以下の通りです。
- クラウドの設定ミス:設定ミスは自動的に修正されます。リソース間の設定ミス、ラテラルムーブメント経路、影響範囲はグラフで可視化されます。SentinelOneのワンクリック修復は強力で、2,100以上の組み込み設定チェックにも対応しています。
- 新規および既存クラウドサービスのセキュリティ体制を継続的に監視し、セキュリティ上の欠陥やベストプラクティスを明確化します。SentinelOneは、最先端のCloud Security Posture Management(CSPM)、Kubernetes Security Posture Management(KSPM)、SaaS Security Posture Management(SSPM)サービスを提供します。
- Building as a Code:IaCのデプロイや設定をCISベンチマーク、PCI-DSS、その他の基準に照らしてチェックします。ハードコードされたシークレットを含むマージやプルリクエストを防ぐため、CI/CD統合もサポートしています。SentinelOneはSynk統合も備えています。
- 既知のCVEを持つクラウドリソース/アセットを特定します(10以上の情報源から得られるインテリジェンスで広範囲をカバー)。脆弱性管理のための評価やゼロデイ脆弱性の評価も提供します。
- コンプライアンスダッシュボード:コンプライアンスダッシュボードにより、マルチクラウドのコンプライアンスや監査を効率化します。PCI-DSS、ISO 27001、SOC 2など複数の規制基準に対応。環境全体のゼロデイ脆弱性や関連問題、コンプライアンスリスクを監視できます。
- エージェントレスのSBOM(ソフトウェア部品表)レポートやVMスナップショットスキャンによるセキュリティ欠陥の検出が可能です。SentinelOneは、コンテナ化ワークロードやサーバーレス機能などを保護するエージェントベースのCloud Workload Protection Platform(CWPP)も提供します。エージェントレスの脆弱性評価も実施できます。
- マルウェア、フィッシング、ランサムウェア、ファイルレス攻撃から組織を保護します。SentinelOneの脅威インテリジェンスにより、最新動向を把握し、クラウドセキュリティの将来性を確保できます。
- 攻撃的セキュリティエンジンがゼロデイ脅威を安全にシミュレーションし、より包括的なセキュリティカバレッジを提供します。これにより、外部のセキュリティアナリストやバグバウンティハンターへの依存を減らせます。SentinelOneはVerified Exploit Pathwaysや独自のStoryline技術により、最先端のフォレンジック可視性を実現します。
- プライベートリポジトリのシークレットスキャン:組織のプライベートリポジトリ内の750種類以上の認証情報を検出・修正します。各開発者のプライベートリポジトリを24時間体制で監視し、組織にとって重要なデータ漏洩を検知・修正します。
サーバー、VM、コンテナ向けのAI搭載クラウドワークロード保護(CWPP)。実行時の脅威をリアルタイムで検知・阻止します。
まとめ
クラウドは企業に多くの利点をもたらしますが、同時にクラウドセキュリティ脅威や課題も存在します。クラウドベースのインフラストラクチャはオンプレミスのデータセンターとは大きく異なるため、従来のセキュリティ技術や手法だけでは十分な保護ができない場合があります。
