編集部からのお知らせ
New! 記事まとめ「ISMAP-LIU」
話題の記事まとめ「通信障害と社会リスク」

クラウドセキュリティの課題--求められるID、アクセス、認証情報の適切な管理

Danny Palmer (ZDNet.com) 翻訳校正: 編集部

2022-07-19 07:30

 リモートワークへの移行によって、職場の定義が変わり、クラウドアプリケーションおよびサービスの使用の優先順位が変化したことで、ID、アクセス、認証情報のずさんな管理が、クラウドコンピューティングのサイバーセキュリティにおける最大の課題となった。新しい調査はこう警告している。

 クラウドコンピューティングのベストプラクティスを奨励する非営利団体Cloud Security Allianceがクラウド業界のセキュリティ問題に関して、700人の業界専門家を対象に実施した調査によると、特権アカウントのID、認証情報、アクセス、キーの管理の不備が、クラウドサイバーセキュリティに関する最大の懸念事項であるという。

 リモートワークやハイブリッドワークへの移行により、企業と従業員の業務の進め方が変化し、オフィスのPCにインストールされたオフィスアプリケーションや生産性スイートを利用するのではなく、SaaSやクラウドベースの生産性スイートによって、場所やデバイスを問わず必要なツールにアクセスできるようになった。

 こうした変化は、リソースやファイルへのアクセスの管理が非常に重要であることを意味する。管理者アクセスやその他の高度な特権アクセスが求められる場合は、特に重要だ。しかし、企業はその管理に苦労しており、主な要因としては、多くのエンドユーザーが企業のファイアウォールと従来の保護対策の外側で作業をするようになったことが挙げられる。

 ユーザー名とパスワードでクラウドツールにアクセスできる機能は、多くの従業員や企業にとって非常に有益であることが証明されているが、サイバー犯罪者による攻撃が容易になるという面もある。ユーザー名とパスワードを不正に入手したハッカーは、そのユーザーと同じアクセス権を利用できる。正当なアカウントであるため、不審な活動をすぐには検出できないかもしれない。

 しかし、ID、アクセス、認証情報が適切に管理されていない場合に、その設定ミスを悪用できるのは、社外のサイバー攻撃者だけではない。これらの問題が内部の脅威によって悪用されるおそれもある。具体的には、従業員が管理の不備を利用してアクセス権限を昇格させ、閲覧できてはならないデータにアクセスすることが考えられる。

 可能だからという理由だけでこれを実行する従業員もいれば、そのデータを持って競合他社に移籍する者や、悪用しようとするサイバー犯罪者に売る者もいる。

 クラウドアカウントのログイン認証情報の入手は、サイバー攻撃で使用される一般的な手法として増加しているが、一部のケースにおいては、攻撃者はユーザー名やパスワードを一切必要としない。これは、クラウドに保存されたデータが公開された状態になっているケースであり、どこを見ればいいか知っている者なら誰でもアクセスできるからだ。

 先述の調査レポートは、クラウドセキュリティの一般的な欠陥として、他にも次のような点を警告している。

  • 安全でないインターフェースとAPI
  • 設定ミスと不適切な変更管理
  • クラウドセキュリティのアーキテクチャーと戦略の欠如
  • 安全でないソフトウェア開発

 このレポートは、IDとアクセスの管理を改善するために、サイバーセキュリティのゼロトラストモデルの導入を推奨している。ゼロトラストでは、クラウド環境全体にわたって、すべての段階でユーザーに認証を要求することで、アクセスする必要のないデータに1組みの認証情報を使用してアクセスすることを防止できるという。

 また、ユーザーに脆弱なパスワードの使用を禁じて、侵入者が総当たり攻撃や推測によるアカウントの乗っ取りをできないようにする必要もある。さらに、ユーザーに多要素認証を提供して、攻撃に対する防壁を厚くしなければならない。

提供:Getty Images/iStockphoto
提供:Getty Images/iStockphoto

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    【講演資料】Sentinel運用デモ-- ログ収集から脅威の検知・対処まで画面を使って解説します

  2. セキュリティ

    SASEのすべてを1冊で理解、ユースケース、ネットワーキング機能、セキュリティ機能、10の利点

  3. ビジネスアプリケーション

    北海道庁、コロナワクチン接種の予約受付から結果登録まで一気通貫したワークフローを2週間で構築

  4. セキュリティ

    Sentinel運用デモ-- ログ収集から脅威の検知・対処まで画面を使って解説します

  5. セキュリティ

    セキュアなテレワーク推進に欠かせない「ゼロトラスト」、実装で重要な7項目と具体的な対処法

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]