設定ミスだけじゃない！
パブリッククラウドに潜むセキュリティリスクとは

最近、情報漏洩事件の中でも、クラウドの設定ミスによる意図しない情報公開についてのニュースを目にする機会が増えているのではないでしょうか。

2023年5月に発覚したトヨタ自動車の事例は大きな反響がありました。
参照：https://global.toyota/jp/newsroom/corporate/39174380.html

新年度が始まり、組織活動が活発化するこの2024年4月に、特に注目を集めているのは、2024年3月末に公表されたワークスタイルテック（WST社）の情報漏洩事件です。この事件も設定ミスが原因で起こりました。
参照：https://workstyletech.com/incident_report03292024/

設定ミスの増加の背景には、多くの組織が物理的なデータセンターからパブリッククラウドへの移行を進めている「クラウドシフト」があります。クラウドサービスを活用することで効率化やコスト削減といった大きなメリットがある一方で、単一の設定ミスが重大なインシデントに繋がる可能性も秘めています。

このブログでは、クラウドサービスの中でもパブリッククラウドにフォーカスし、セキュアな設定管理の実現方法について紹介していきます。

パブリッククラウドにおけるクラウドリスクの実態

多くの組織がパブリッククラウド環境を利用する現代において、設定ミスや非推奨設定の適用といったクラウドセキュリティリスクがどれほど存在しているのか、皆さんはご存じでしょうか。

こうしたクラウドリスクに関する最新の調査結果の１つとして、「2024 State of Cloud Security Report」がOrca Security社によって公開されました。このレポートでは、実際のパブリッククラウド環境で見つかったリスクを詳細に分析しています。

出典：https://orca.security/resources/blog/2024-state-public-cloud-report-risk-prioritization/

このレポートの中から３つほど、最新のクラウドセキュリティリスクの実態を紹介しましょう。

放置されたクラウド資産

81%の組織が、180日以上の長期間利用していないクラウド資産をインターネット上に公開設定のまま放置しています。これらの資産では、パッチ適用や適切なバージョン管理といった適切なセキュリティ対策が施されておらず、攻撃者にとって格好のターゲットになり得ます。

機密情報の公開設定

21%の組織が、個人情報やクレジットカード情報といった機密データを含むストレージバケットをインターネット上で公開して利用しています。これらは本来、公開されるべきではない重要な情報です。

多要素認証(MFA)の非活用

61%の組織が、ルートユーザーや管理者アカウントに対する多要素認証（MFA）を有効にしていません。これにより、高い権限を持つアカウントが乗っ取られるリスクが非常に高くなっています

専用ソリューションによる設定管理の実現

それでは、組織がパブリッククラウドを安全に利用するために、どう対処すればよいのでしょうか。

対策の１つとして、パブリッククラウド側で提供されるセキュリティ機能をフルに活用することが重要です。多くのクラウドサービスが、設定のチェックや異常検出のための標準機能を提供しています。しかし、追加の有償オプションであることが多く、設定項目の多さや初期設定値が変更されることがあるなど専門的な知識を必要とすることから、十分に活用できていないという声も聞かれます。

では、誰でも簡単に実現できるような対策方法はないのでしょうか。

より手軽に、かつ効果的にリスク対策を実施する方法として、専用のクラウド対策ソリューションの活用が挙げられます。利用可能な代表的なソリューションとして、現在では以下のような市場があります。

• CSPM: Cloud Security Posture Management
  パブリッククラウド環境における設定チェックと設定管理を実現します。
• CWPP: Cloud Workload Protection Platform
  パブリッククラウド上のワークロードやコンテナの資産管理、脆弱性管理、セキュリティ機能を提供します。
• CIEM: Cloud Infrastructure Entitlement Management
  パブリッククラウドで利用されるIDとその権限に対するチェックと管理を実現します。
• CNAPP: Cloud Native Application Protection Platform
  上記機能に加え、クラウド運用に必要なリスク対策やセキュリティ機能を一括で提供します。

これらの専用ソリューションを利用するメリットは、マルチクラウド環境に対応できる点と、専門的なスキルがなくても利用できる点です。特に、組織全体でのリスク管理やセキュリティ対応を担当する統括部門の担当者にとって、使いこなしやすいツールの提供は新しい担当者の育成や運用の効率化につながります。

まとめ

DX推進によって多くの組織でクラウドサービスの活用が広まった一方で、 Orca Security社のレポートで示したように、組織のクラウドに対するリスク対策、セキュリティ対策は十分であるとは言い難いのが現状です。

専用ソリューションを活用することで、クラウド環境の可視化や、設定やクラウド上の資産のチェックや管理の仕組みを導入することができます。そしてこれは現場部門だけではなく、統括部門に対しても大きなメリットをもたらします。組織の内部体制や、パブリッククラウドの利用状況から、必要な専用製品を正しく判断し、導入検討を進めてみてはいかがでしょうか。

Orca SecurityでCNAPPを実現

弊社では、CSPMやCWPP、CIEMなどのクラウドリスク対策ソリューションを一括で提供する、Orca Security社のOrcaプラットフォーム（CNAPP）を取り扱っています。

Orcaプラットフォームは、AWS、Microsoft Azure、GCP、OCI（Oracle Cloud Infrastructure）、Alibaba Cloudの5つの主要なパブリッククラウド環境を対象に、皆様の日々のクラウド運用やセキュリティ管理を、単一のダッシュボードで、しかもエージェントレスで簡単に実現することができます。シャチ（Orca）が獲物を探す際に使うエコーロケーションのように、OrcaはAPI連携によるスキャンを通じて、常に変化するクラウド環境内に潜む脆弱性や不適切といったセキュリティリスクを発見します。

特に注目すべきは、CSPM、CWPP、CIEM、KSPM、CDRなど、クラウドセキュリティに必要な機能を一つのプラットフォームで提供する点です。これにより、Orcaは**CNAPP（Cloud Native Application Protection Platform）**として、包括的なクラウドセキュリティ対策を実現し、複数のツールを使い分ける必要がなくなります。これにより、クラウド上のあらゆるセキュリティリスクを効果的に発見し、対応することが可能です。

弊社ではOrcaプラットフォームの販売や導入サポートに加え、無償のアセスメントサービスを期間限定で提供しています。Orcaの力を体験してみたい方は、ぜひお気軽にお問い合わせください。