近年、クラウドアプリケーションとクラウドソフトウェアの人気が大きく高まっている。しかし、クラウドサービスの使用によって、企業と従業員がメリットを得られる可能性がある一方で、これにはサイバーセキュリティの新たなリスクも伴う。
クラウドアプリケーションを使ってどこからでもログインできる機能は、従業員にとって便利だが、サイバー犯罪者にとっても新たな機会となり、盗まれた一連のパスワードによって機密情報へのアクセスが可能になるおそれがある。さらには、ハッカーがクラウドサービスを悪用し、ランサムウェア攻撃や他のマルウェアキャンペーンを仕掛ける可能性も考えられる。
しかし、生産性を向上させるとともに、ユーザーとネットワークをサイバー攻撃やインシデントから保護する組織的なクラウドセキュリティ戦略を策定するうえで、実行可能な手順(そして回避すべきミス)がある。
1. セキュリティ管理がない状態でクラウドアカウントを公開したままにしない
クラウドアプリケーションやクラウドサービスを使用すれば、どこからでもファイルやデータにアクセスできるが、それによってサイバー犯罪者の第1の標的になってしまう。パスワードを暗記するのは難しい場合もあるため、多くのユーザーが単純なパスワードやありふれたパスワードを使用するか、パスワードの使い回しをしている。
このアプローチだと、アカウントから締め出される可能性は低下するが、ハッカーに対して無防備な状態になる。電子メールアドレスや、クラウドスイートを構成する他の企業アプリケーションの侵害によって、侵入者が特権を昇格し、システムをさらにコントロールしてしまう場合は、特に危うい。
多くの場合、企業はクラウドアカウントがサイバー犯罪者に悪用されていることを手遅れになるまで気づけず、データの盗難やネットワークのランサムウェア感染などの被害に遭う。
すべてのクラウドアカウントを一意の複雑なパスワードで適切に保護し、多要素認証も導入することが重要だ。そうすれば、パスワードが侵害、漏えい、推測されたとしても、追加の防壁によってアカウントの乗っ取りや悪用を防ぐことができる。
スタッフにパスワードマネージャーソフトウェアを提供することも検討すべきだ。パスワードマネージャーがあれば、パスワードを覚える必要がなくなり、より長くて複雑なパスワードを作成して、侵害される可能性を下げることができる。
2. 全ユーザーに特権アカウントを与える必要はない
クラウドアプリケーション/サービスは便利で、生産性向上に必要な幅広いツールをすべて1カ所で利用できる。しかし、ユーザーごとにニーズは異なり、ほとんどのユーザーに上位の特権は必要ない。不正ユーザーが管理者権限付きのアカウントをハッキングするか、他の手段で乗っ取った場合に簡単に悪用されるおそれがある場合は、なおさら不要だ。
したがって、ITチームと情報セキュリティチームは、管理者特権を本当に必要としている人だけに付与し、管理者特権を持つすべてのアカウントを適切に保護しなければならない。これにより、特権アカウントへの不正アクセスや悪用を防止するとともに、攻撃者が追加のアカウントを作成して、ひそかに悪事を働くのを防ぐことができる。一般のユーザーが権限の昇格や新規アカウントの作成をできないようにすることも重要だ。
3. クラウドアプリケーションを監視しないまま放置せず、誰が使っているかを把握する
企業は多種多様なクラウドコンピューティングサービスを利用しているが、使用するアプリケーションが増えれば増えるほど、それらの追跡は難しくなる。これが悪意あるユーザーにとっての入り口となり、検出されずにネットワークに侵入されてしまうおそれがある。