特定個人がそのセキュリティを台無しに--クラウドコンピューティングに潜む最大の脆弱性

Steve Ranger (ZDNet.com) 翻訳校正: 石橋啓一郎 2016年10月24日 06時00分

  • このエントリーをはてなブックマークに追加

 セキュリティの観点から見た、クラウドコンピューティングサービスの利用と社内でのITシステム運用の優劣について、議論が交わされている。

 クラウド支持派は、大手クラウド企業が数百人から時には数千人のセキュリティスタッフや、相当な時間、資金を投入して、システムを最新の状態に維持している点を指摘する。これに対し通常の企業では、少数のセキュリティスタッフで幅広いシステムに対応する必要がある上、その多くは古く、中には完全に安全性を保つことが難しいものもある。しかし一部の企業は、情報が他国のデータセンターに置かれる可能性もあるクラウドを信頼して重要なデータを預けるよりも、自社で守った方が安全だと感じている。

 倫理的ハッカーであり、侵入テストの専門家であるJamie Woodruff氏によれば、システムがどれだけ安全でも、常に人間が弱点になり得るという。

 同氏はあるとき、顧客から侵入テストの依頼を受けた。侵入テストとは、企業のシステムの安全性を評価するために、実際に侵入を試みることだ。

 同氏はソーシャルメディアでシステム管理者の1人を特定し、その後、過去のハッキングでオンラインに流出した情報の中から、その管理者の電子メールと結びつくパスワードを見つけ出した。そのシステム管理者は、すべてのオンラインアカウントで同じパスワードを使い続けていたため(ハッキングを受けた後も、1つも変更されていなかった)、Woodruff氏はこのパスワードを使って、そのスタッフが利用しているクラウドサービスに侵入することができた。

 「クラウドそのものには脆弱性はなかった。クラウドを調べて、ツールを使ってテストをしてみたが、最新の状態だった。しかし、特定の個人がそのセキュリティを台無しにした。2要素認証も使われておらず、わたしはシステムへのアクセスを得ることができた。それでテストは終わりだった。テクノロジが安全なのは結構なことだが、それを利用している人間は必ずしも安全ではない」(Woodruff氏)

 この種の攻撃に対しては、ウェブインターフェースを持つクラウドシステムの方が弱く、ウェブインターフェースのない古い社内システムしかない企業の方が、むしろ攻撃が難しい場合もある。情報の隠蔽によるセキュリティの考え方だ。

 Woodruff氏は、不満のある従業員や怠慢な従業員は、システムをハッキングするよりも、ソーシャルエンジニアリングを利用しようとする攻撃者の標的になる可能性があると話す。

 「店のレジを通るときのことを考えてみて欲しい。『私どもはレジ袋を提供していません』ではなく、『この店は』と言う店員がいるだろう。このような言い方をするのは、自分と会社の間に距離を感じているためだ」と同氏は説明する。「この店員は無意識にその組織にいたくないと考えており、攻撃に悪用される可能性がある」

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]