海外コメンタリー

甘いクラウドセキュリティは格好の攻撃ターゲット--IAMポリシー見直しなど重要に

Danny Palmer (ZDNET.com) 翻訳校正: 石橋啓一郎

2022-04-19 06:30

 クラウドアプリケーションやクラウドサービスは、ハッカーにとって最高のターゲットだ。セキュリティの管理に不備や設定ミスがあると、サービスがインターネットからアクセス可能なまま放置され、簡単なサイバー攻撃にもやられてしまう。

 Palo Alto Networksのサイバーセキュリティ研究グループは、200組織のクラウドアカウント1万8000件に属する数十万件のアイデンティティを分析し、ID管理とアクセス管理(IAM)のポリシーが組織のクラウドセキュリティ体制にどう影響するかを調べた。グループが発表したレポートによれば、分析した結果、多くのアカウントやサービスが悪用可能な状態になっており、企業やユーザーが危険にさらされていることが明らかになったという。

 世界的なコロナ禍により、多くの企業や従業員がリモートワークやハイブリッドワークなどの新しい働き方を始めることになったが、それはクラウドサービスやクラウドアプリケーションの助けがあってのことだった。しかしクラウドは、企業や従業員にとって有益である一方で、セキュリティ上のリスクも生み出す。もちろん、悪意のあるハッカーたちもそれを知っている。

 Palo Alto NetworksのPrisma Cloud担当バイスプレジデントであるJohn Morello氏は、「コロナ禍によって起きたこの数年間のクラウドプラットフォームへの移行によって、悪意を持ったアクターがクラウド上の標的を狙うのが容易になっている」と述べている。

 この調査で、クラウドのユーザー、サービス、リソースなどの99%に過大な権限が付与されていることが明らかになった。これらのアクセス許可や管理者権限は、必ずしも普通のユーザーに必要ではない。しかも、そうした許可や権限が与えられていると、クラウドアカウントが侵害されてしまった場合、攻撃者が本来なら不要なアクセス許可を利用して、クラウド環境のリソースを修正、作成、削除することができてしまう。また、ハッカーがネットワーク内を移動して、攻撃の範囲を拡大するのに利用される恐れもある。

 IT部門にとって悩ましいもう1つの問題が、パスワードのセキュリティが十分でないことだ。クラウドアカウントの過半数(53%)では、14文字以下の弱いパスワードが利用可能であり、44%のアカウントでは、別のアカウントに結びついているパスワードを再利用することが可能だった。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  3. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]