設定ミスだけじゃない!
パブリッククラウドに潜むセキュリティリスクとは

 2024.04.26  2024.10.30

最近、情報漏洩事件の中でも、クラウドの設定ミスによる意図しない情報公開についてのニュースを目にする機会が増えているのではないでしょうか。

2023年5月に発覚したトヨタ自動車の事例は大きな反響がありました。
参照:https://global.toyota/jp/newsroom/corporate/39174380.html

新年度が始まり、組織活動が活発化するこの2024年4月に、特に注目を集めているのは、2024年3月末に公表されたワークスタイルテック(WST社)の情報漏洩事件です。この事件も設定ミスが原因で起こりました。
参照:https://workstyletech.com/incident_report03292024/

設定ミスの増加の背景には、多くの組織が物理的なデータセンターからパブリッククラウドへの移行を進めている「クラウドシフト」があります。クラウドサービスを活用することで効率化やコスト削減といった大きなメリットがある一方で、単一の設定ミスが重大なインシデントに繋がる可能性も秘めています。

このブログでは、クラウドサービスの中でもパブリッククラウドにフォーカスし、セキュアな設定管理の実現方法について紹介していきます。

パブリッククラウドにおけるクラウドリスクの実態

多くの組織がパブリッククラウド環境を利用する現代において、設定ミスや非推奨設定の適用といったクラウドセキュリティリスクがどれほど存在しているのか、皆さんはご存じでしょうか。

こうしたクラウドリスクに関する最新の調査結果の1つとして、「2024 State of Cloud Security Report」がOrca Security社によって公開されました。このレポートでは、実際のパブリッククラウド環境で見つかったリスクを詳細に分析しています。

出典:https://orca.security/resources/blog/2024-state-public-cloud-report-risk-prioritization/

パブリッククラウドにおけるクラウドリスクの実態

日本語版レポートはこちら

このレポートの中から3つほど、最新のクラウドセキュリティリスクの実態を紹介しましょう。

放置されたクラウド資産

81%の組織が、180日以上の長期間利用していないクラウド資産をインターネット上に公開設定のまま放置しています。これらの資産では、パッチ適用や適切なバージョン管理といった適切なセキュリティ対策が施されておらず、攻撃者にとって格好のターゲットになり得ます。

機密情報の公開設定

21%の組織が、個人情報やクレジットカード情報といった機密データを含むストレージバケットをインターネット上で公開して利用しています。これらは本来、公開されるべきではない重要な情報です。

多要素認証(MFA)の非活用

61%の組織が、ルートユーザーや管理者アカウントに対する多要素認証(MFA)を有効にしていません。これにより、高い権限を持つアカウントが乗っ取られるリスクが非常に高くなっています

Orca Security社のレポートには、これら以外にも多くのクラウドリスクが指摘されています。こちらからレポートをダウンロードいただくか、弊社から日本語版のレポートの提供しておりますので、興味がある方はぜひお問い合わせください。

State of Cloud Security Report クラウド環境の深層に潜むリスクを解明
実際のPoCでも発見!Orca Securityで見えたクラウドリスクとは?

専用ソリューションによる設定管理の実現

それでは、組織がパブリッククラウドを安全に利用するために、どう対処すればよいのでしょうか。

対策の1つとして、パブリッククラウド側で提供されるセキュリティ機能をフルに活用することが重要です。多くのクラウドサービスが、設定のチェックや異常検出のための標準機能を提供しています。しかし、追加の有償オプションであることが多く、設定項目の多さや初期設定値が変更されることがあるなど専門的な知識を必要とすることから、十分に活用できていないという声も聞かれます。

では、誰でも簡単に実現できるような対策方法はないのでしょうか。

より手軽に、かつ効果的にリスク対策を実施する方法として、専用のクラウド対策ソリューションの活用が挙げられます。利用可能な代表的なソリューションとして、現在では以下のような市場があります。

  • CSPM: Cloud Security Posture Management
    パブリッククラウド環境における設定チェックと設定管理を実現します。
  • CWPP: Cloud Workload Protection Platform
    パブリッククラウド上のワークロードやコンテナの資産管理、脆弱性管理、セキュリティ機能を提供します。
  • CIEM: Cloud Infrastructure Entitlement Management
    パブリッククラウドで利用されるIDとその権限に対するチェックと管理を実現します。
  • CNAPP: Cloud Native Application Protection Platform
    上記機能に加え、クラウド運用に必要なリスク対策やセキュリティ機能を一括で提供します。

これらの専用ソリューションを利用するメリットは、マルチクラウド環境に対応できる点と、専門的なスキルがなくても利用できる点です。特に、組織全体でのリスク管理やセキュリティ対応を担当する統括部門の担当者にとって、使いこなしやすいツールの提供は新しい担当者の育成や運用の効率化につながります。

まとめ

DX推進によって多くの組織でクラウドサービスの活用が広まった一方で、 Orca Security社のレポートで示したように、組織のクラウドに対するリスク対策、セキュリティ対策は十分であるとは言い難いのが現状です。

専用ソリューションを活用することで、クラウド環境の可視化や、設定やクラウド上の資産のチェックや管理の仕組みを導入することができます。そしてこれは現場部門だけではなく、統括部門に対しても大きなメリットをもたらします。組織の内部体制や、パブリッククラウドの利用状況から、必要な専用製品を正しく判断し、導入検討を進めてみてはいかがでしょうか。

弊社では、途中レポートの提供元としてもご紹介したOrca Security社のソリューションOrcaプラットフォームの取り扱いがございます。Orca プラットフォームはクラウド環境全体を可視化し、CNAPP機能としてさまざまなリスク対策やセキュリティ機能をエージェントレスで一括提供するクラウド運用管理プラットフォームです。

クラウドのリスク対策やセキュリティ対策、Orcaプラットフォームにご興味のある方は、ぜひ弊社までお問い合わせください。

現在受付中のセミナー・イベント

Orca SecurityによるクラウドセキュリティWebinarシリーズ Orcaだから判明するクラウドリスクとは編

開催日時 2024年10月31日(木)16:00 - 17:00
開催場所 オンライン開催
主催 株式会社ネットワークバリューコンポネンツ

今回の企画では、製品紹介からクラウドのリスクに対する対策、またPOCやアセスメントでご提示するレポートの解説など、その回ごとに異なるテーマで解説をします。

クラウド運用管理プラットフォームで見えたクラウドリスクとは

RECENT POST「運用基盤/インテリジェンス」「セキュリティ対策/リスク管理」の最新記事


設定ミスだけじゃない!パブリッククラウドに潜むセキュリティリスクとは
NVCへのお問い合わせ
State of Cloud Security Report クラウド環境の深層に潜むリスクを解明

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング