最近、情報漏洩事件の中でも、クラウドの設定ミスによる意図しない情報公開についてのニュースを目にする機会が増えているのではないでしょうか。
2023年5月に発覚したトヨタ自動車の事例は大きな反響がありました。
参照:https://global.toyota/jp/newsroom/corporate/39174380.html
新年度が始まり、組織活動が活発化するこの2024年4月に、特に注目を集めているのは、2024年3月末に公表されたワークスタイルテック(WST社)の情報漏洩事件です。この事件も設定ミスが原因で起こりました。
参照:https://workstyletech.com/incident_report03292024/
設定ミスの増加の背景には、多くの組織が物理的なデータセンターからパブリッククラウドへの移行を進めている「クラウドシフト」があります。クラウドサービスを活用することで効率化やコスト削減といった大きなメリットがある一方で、単一の設定ミスが重大なインシデントに繋がる可能性も秘めています。
このブログでは、クラウドサービスの中でもパブリッククラウドにフォーカスし、セキュアな設定管理の実現方法について紹介していきます。
パブリッククラウドにおけるクラウドリスクの実態
多くの組織がパブリッククラウド環境を利用する現代において、設定ミスや非推奨設定の適用といったクラウドセキュリティリスクがどれほど存在しているのか、皆さんはご存じでしょうか。
こうしたクラウドリスクに関する最新の調査結果の1つとして、「2024 State of Cloud Security Report」がOrca Security社によって公開されました。このレポートでは、実際のパブリッククラウド環境で見つかったリスクを詳細に分析しています。
出典:https://orca.security/resources/blog/2024-state-public-cloud-report-risk-prioritization/
このレポートの中から3つほど、最新のクラウドセキュリティリスクの実態を紹介しましょう。
放置されたクラウド資産
81%の組織が、180日以上の長期間利用していないクラウド資産をインターネット上に公開設定のまま放置しています。これらの資産では、パッチ適用や適切なバージョン管理といった適切なセキュリティ対策が施されておらず、攻撃者にとって格好のターゲットになり得ます。
機密情報の公開設定
21%の組織が、個人情報やクレジットカード情報といった機密データを含むストレージバケットをインターネット上で公開して利用しています。これらは本来、公開されるべきではない重要な情報です。
多要素認証(MFA)の非活用
61%の組織が、ルートユーザーや管理者アカウントに対する多要素認証(MFA)を有効にしていません。これにより、高い権限を持つアカウントが乗っ取られるリスクが非常に高くなっています
Orca Security社のレポートには、これら以外にも多くのクラウドリスクが指摘されています。こちらからレポートをダウンロードいただくか、弊社から
の提供しておりますので、興味がある方はぜひお問い合わせください。
専用ソリューションによる設定管理の実現
それでは、組織がパブリッククラウドを安全に利用するために、どう対処すればよいのでしょうか。
対策の1つとして、パブリッククラウド側で提供されるセキュリティ機能をフルに活用することが重要です。多くのクラウドサービスが、設定のチェックや異常検出のための標準機能を提供しています。しかし、追加の有償オプションであることが多く、設定項目の多さや初期設定値が変更されることがあるなど専門的な知識を必要とすることから、十分に活用できていないという声も聞かれます。
では、誰でも簡単に実現できるような対策方法はないのでしょうか。
より手軽に、かつ効果的にリスク対策を実施する方法として、専用のクラウド対策ソリューションの活用が挙げられます。利用可能な代表的なソリューションとして、現在では以下のような市場があります。
- CSPM: Cloud Security Posture Management
パブリッククラウド環境における設定チェックと設定管理を実現します。 - CWPP: Cloud Workload Protection Platform
パブリッククラウド上のワークロードやコンテナの資産管理、脆弱性管理、セキュリティ機能を提供します。 - CIEM: Cloud Infrastructure Entitlement Management
パブリッククラウドで利用されるIDとその権限に対するチェックと管理を実現します。 - CNAPP: Cloud Native Application Protection Platform
上記機能に加え、クラウド運用に必要なリスク対策やセキュリティ機能を一括で提供します。
これらの専用ソリューションを利用するメリットは、マルチクラウド環境に対応できる点と、専門的なスキルがなくても利用できる点です。特に、組織全体でのリスク管理やセキュリティ対応を担当する統括部門の担当者にとって、使いこなしやすいツールの提供は新しい担当者の育成や運用の効率化につながります。
まとめ
DX推進によって多くの組織でクラウドサービスの活用が広まった一方で、 Orca Security社のレポートで示したように、組織のクラウドに対するリスク対策、セキュリティ対策は十分であるとは言い難いのが現状です。
専用ソリューションを活用することで、クラウド環境の可視化や、設定やクラウド上の資産のチェックや管理の仕組みを導入することができます。そしてこれは現場部門だけではなく、統括部門に対しても大きなメリットをもたらします。組織の内部体制や、パブリッククラウドの利用状況から、必要な専用製品を正しく判断し、導入検討を進めてみてはいかがでしょうか。
弊社では、途中レポートの提供元としてもご紹介したOrca Security社のソリューションOrcaプラットフォームの取り扱いがございます。Orca プラットフォームはクラウド環境全体を可視化し、CNAPP機能としてさまざまなリスク対策やセキュリティ機能をエージェントレスで一括提供するクラウド運用管理プラットフォームです。
クラウドのリスク対策やセキュリティ対策、Orcaプラットフォームにご興味のある方は、ぜひ弊社までお問い合わせください。
現在受付中のセミナー・イベント
数十億のクラウド資産から見えた驚くべきクラウドリスクとは?ベンダレポートから判明した実態を徹底解説!
本セミナーでは、2023年のクラウドリスクについて報告されている「Orcaクラウドレポート」について解説するとともに、実際にクラウド運用管理ソリューションであるOrcaプラットフォームを活用することで、それらのクラウドリスクに対してどのような対策が可能であるのかを紹介する内容となっています。
