COVID-19のパンデミックによって多くの組織がリモートワークへの適応を余儀なくされ、この2年間でクラウドコンピューティングアプリケーションの使用が大幅に増加した。
こうした企業の多くは、もう二度と完全なオンプレミスには戻らないだろう。というのも、恒久的なリモートモデルへの切り替えを進めているか、ハイブリッドモデルを採用して従業員がリモートワークとオフィス勤務の時間のバランスをとれるようにしているからだ。
これにはメリットもあったが、クラウドのアプリケーションとサービスの使用拡大はセキュリティリスクも招く。従業員が企業のアプリケーションにどこからでもアクセスできるようになる点を、サイバー犯罪者に悪用される可能性がある。
フィッシングメール攻撃の成功、ユーザー名とパスワードの流出、簡単に推測できる認証情報によって、ユーザーアカウントとネットワーク全体へのゲートウェイにアクセスされてしまうかもしれない。ユーザーがリモートにいるため、悪意ある活動の可能性が手遅れになるまで気づかれないことや、いつまでも検出されないことも考えられる。
ハイブリッドクラウドは企業での普及が進んでおり、その要因には、複数の異なるパブリッククラウドとプライベートクラウドの使用によって、俊敏性に関する利点を得られることや、さまざまなプロバイダーを組み合わせて組織全体の環境とワークロードを最適化できることが挙げられる。また、1つのクラウドサービスで障害が発生しても、複数のサービスを引き続き利用できるため、事業の継続が可能というメリットもある。
だが、クラウド利用を適切に管理しなければ新たなセキュリティリスクが生じるように、ハイブリッドクラウド環境ではリスクが増大してしまう。
「こうした複雑さや差異が、攻撃者に付け入る隙を与える可能性がある」と語るのは、Venafiのセキュリティ戦略および脅威インテリジェンス担当バイスプレジデントのKevin Bocek氏だ。
クラウドコンピューティングのアカウントはセットアップが簡単だが、それは誰にでもできるということを意味する。開発者や管理者もできるし、他のITスタッフにも可能だ。セキュリティチームがセットアップに関与しない場合や、知らされない場合も少なくない。
「セキュリティチームの管理下にない、この新たな環境に対処しているところだ。過去20〜30年のトレーニングで教わってきたやり方を本当に変えなければならない」とBocek氏は述べた。
クラウドベースのサービスを展開する際に、セキュリティの要素はすべてベンダーが処理してくれると思うかもしれないが、実際はそうでないことが多い。
これが誤解につながり、インターネットに接続する可能性があるサービスのセキュリティ関連の設定と問題について、また、そのようなサービスが適切に保護されない場合に漏えいするおそれのあるデータについて、正しく理解されないことがある。
「当社の調査では、クラウドの設定ミスが多いことも明らかになった。ミスの原因は、自分のやっていることを正確に理解する能力とスキルが欠けていることだ。ユーザーは『次へ』をクリックしているだけで、自分が何をやっているのかを実際には見ていない。最終的に、攻撃者の興味を引く情報を漏えいしてしまうおそれがある」。MandiantのEMEA担当最高技術責任者(CTO)のDavid Grout氏はこのように語った。
サイバーセキュリティ企業であるMandiantは、セキュリティインシデントの調査をよく依頼される。その4分の1がパブリッククラウド資産に関連するものだ。クラウドベースのプラットフォームも、他のあらゆるソフトウェアと同様にセキュリティを管理する必要があり、まずはパッチやセキュリティ更新プログラムを、リリース後できるだけ早く適用することになる。
なぜなら、他のソフトウェアやアプリケーションと同じく、クラウドスイートでも脆弱性が発見されることがあるからだ。脆弱性が開示されたら、サイバー犯罪者やその他の悪意ある攻撃者は、パッチが未適用のインスタンスを悪用しようとするだろう。これらの更新プログラムを実際に適用するのは、ベンダーではなくクラウドユーザーの責任だ。
「クラウドプロバイダーが対応してくれると考えられているが、結局のところ、アプリケーションはユーザー企業のものであり、パッチ適用は各自で管理する必要がある」とGrout氏。
管理とパッチ適用のために、セキュリティ部門はどのようなソフトウェアとサービスが使用されているかを把握しておく必要がある。IT部門が複数のクラウドサービスを調達している場合、追跡は難しいかもしれないが、インフラストラクチャーの規模を知ることが、安全を守るうえで重要だ。これはクラウドサービスにも当てはまる。
「マルチクラウドプラットフォームを使用する場合は(シングルクラウド戦略を採用する場合も同じだが)、最終的にはすべての情報を1つのプラットフォームで収集する方法を見つけ出す必要がある」とGrout氏は語る。
攻撃を防ぐためにできる最も重要なことの1つは、すべてのクラウドサービスのすべてのユーザーに多要素認証を適用することだ。この防御層を追加することで、クラウドサービスへのアクセスに必要なIDの窃取を目的とした攻撃の大半を防ぐことができる。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。