特定個人がそのセキュリティを台無しに--クラウドコンピューティングに潜む最大の脆弱性

Steve Ranger (ZDNET.com) 翻訳校正: 石橋啓一郎

2016-10-24 06:00

 セキュリティの観点から見た、クラウドコンピューティングサービスの利用と社内でのITシステム運用の優劣について、議論が交わされている。

 クラウド支持派は、大手クラウド企業が数百人から時には数千人のセキュリティスタッフや、相当な時間、資金を投入して、システムを最新の状態に維持している点を指摘する。これに対し通常の企業では、少数のセキュリティスタッフで幅広いシステムに対応する必要がある上、その多くは古く、中には完全に安全性を保つことが難しいものもある。しかし一部の企業は、情報が他国のデータセンターに置かれる可能性もあるクラウドを信頼して重要なデータを預けるよりも、自社で守った方が安全だと感じている。

 倫理的ハッカーであり、侵入テストの専門家であるJamie Woodruff氏によれば、システムがどれだけ安全でも、常に人間が弱点になり得るという。

 同氏はあるとき、顧客から侵入テストの依頼を受けた。侵入テストとは、企業のシステムの安全性を評価するために、実際に侵入を試みることだ。

 同氏はソーシャルメディアでシステム管理者の1人を特定し、その後、過去のハッキングでオンラインに流出した情報の中から、その管理者の電子メールと結びつくパスワードを見つけ出した。そのシステム管理者は、すべてのオンラインアカウントで同じパスワードを使い続けていたため(ハッキングを受けた後も、1つも変更されていなかった)、Woodruff氏はこのパスワードを使って、そのスタッフが利用しているクラウドサービスに侵入することができた。

 「クラウドそのものには脆弱性はなかった。クラウドを調べて、ツールを使ってテストをしてみたが、最新の状態だった。しかし、特定の個人がそのセキュリティを台無しにした。2要素認証も使われておらず、わたしはシステムへのアクセスを得ることができた。それでテストは終わりだった。テクノロジが安全なのは結構なことだが、それを利用している人間は必ずしも安全ではない」(Woodruff氏)

 この種の攻撃に対しては、ウェブインターフェースを持つクラウドシステムの方が弱く、ウェブインターフェースのない古い社内システムしかない企業の方が、むしろ攻撃が難しい場合もある。情報の隠蔽によるセキュリティの考え方だ。

 Woodruff氏は、不満のある従業員や怠慢な従業員は、システムをハッキングするよりも、ソーシャルエンジニアリングを利用しようとする攻撃者の標的になる可能性があると話す。

 「店のレジを通るときのことを考えてみて欲しい。『私どもはレジ袋を提供していません』ではなく、『この店は』と言う店員がいるだろう。このような言い方をするのは、自分と会社の間に距離を感じているためだ」と同氏は説明する。「この店員は無意識にその組織にいたくないと考えており、攻撃に悪用される可能性がある」

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]