米Orca Securityが今年よく見られる深刻なクラウドセキュリティリスクの上位５つを発表した。パッチ、データの保存、IAM（ID・アクセス管理）等にまつわる問題を調査した結果だ。

同社のクラウドセキュリティ研究グループ「Orca Research Pod」がAmazon Web Services（AWS）、Microsoft Azure、Google Cloud、Kubernetesの本番環境で稼働している何十億というクラウド資産と各種のサーバーレスサービスを2023年1月1日から5月1日にかけて「ORCAクラウドセキュリティプラットフォーム」でスキャン、取得したワークロードや設定、IDデータの分析を行った。

その結果、クラウドセキュリティ問題の上位5つは「よく話題に上るような最新のものではなく」、サイバーセキュリティの基本やベストプラクティスとして挙げられるものだったという――脆弱なWebサービスにパッチを当てるとか、ゼロトラストの考え方に沿ったポリシーを実行する必要があること等だ。「業界でよく言われているのが、クラウドセキュリティ体制を大きく改善するにはまずセキュリティの基本に目を向けるべきだということです。これが大事だということが改めてわかる結果になりました」とレポートにはある。

クラウドセキュリティリスクの上位5つ
以下はOrcaの研究チームが明らかにしたクラウドセキュリティリスクの上位5つだ。

01パッチ未適用の公開Webサービス

同調査では、36%の企業・団体が自組織のクラウド環境でインターネットに公開されたパッチ未適用のWebサービスを1つ以上ホストしていることが分かった。レポートでは既知の脆弱性を抱えたパッチ未適用のサービスがクラウド環境での主な攻撃経路の１つになっているとして注意を呼び掛けている。

02Gitリポジトリ内に機密データが存在

分析対象の企業・団体の約半数がデータベースのパスワード、APIキー、暗号鍵、ハッシュ化ソルト、企業秘密などの機密データを含むGitリポジトリを1つ以上持っていることがわかった。こうした情報が企業・団体のソースコードに含まれている場合、攻撃者がこれを抽出、システムを侵害する可能性がある。

03機密性の高いAWSキーをファイルシステムに保存している

分析対象の企業・団体の49%が仮想マシンのファイルシステムに機密性の高いAWSキーを保存していた。攻撃者に自組織の全リソースへのアクセス権を与え、EC2インスタンスの起動やS3オブジェクトの削除を含むあらゆる操作を許す可能性がある。

04IAMロールに過剰な権限を付与

約33%の企業・団体がクラウドのIAMロールのうち10%以上に完全な管理者権限を付与している。そのうち10%の企業・団体はなんとIAMロールの40%以上に同権限を付与していることがわかった。

05ほとんどの企業が複数の「AWS Lambda」で使用するロールを分けていない

70%の企業・団体が2つ以上のLambdaサービスで同じIAMロールを使用していた。また、調査したLambdaサービスのうち86%近くで別のLambdaサービスと同じIAMロールが使用されている。これは最小特権の原則（PoLP）とゼロトラストの考え方に反している状態だ。研究チームはLambdaサービスとIAMロールを一対一の関係にするよう推奨している。サービスを使用し始めた時点で同じセキュリティポリシーを適用していたとしても、IAMロールを別々にしておけば今後に備えた柔軟性を確保できる。

こうしたリスクが広がっている一方で、人手不足の多くのセキュリティチームが未処理のセキュリティアラートの山に悩まされているという。「そのせいで速やかなリスクへの対処がしにくくなっています。こうした課題を克服するにはアラートの優先順位付けやガイド付き自動修復が不可欠です」

Orcaのクラウドセキュリティ研究チームによる主な推奨事項

こうした結果を受けて、Orca Securityの研究チームはクラウドセキュリティ体制を改善するための推奨事項をいくつか挙げている。

1. PoLPとゼロトラストの考え方を遵守する。「管理者権限は本当に必要な人にのみ付与し、一般ユーザーが自分の権限を増やしたり、新しいアカウントを作成したりできないようにすること」とレポートにはある。「ユーザーポリシーを定期的に見直し、厳密には必要のない権限がユーザーに与えられていないか確認しましょう」
2. パッチ適用を止めない。システムはすべて定期的にパッチを適用、既知の脆弱性を軽減する必要がある。
3. クラウド資産や各種の権限、リソースを作成・設定する際にチェックリストを使用し、米CIS（Center for Internet Security）によるベンチマークのベストプラクティスに沿ったポリシーを実行する。
4. 継続的にリスクをスキャンし、潜在的な攻撃経路を検知できる自動クラウドセキュリティ プラットフォームを採用する。
5. 優先順位付けを利用してアラート疲れを回避する。「セキュリティ プラットフォームは一般に多数のアラートを生成するものです」と研究チームは述べている。「セキュリティチームの多くは人員不足で過労気味であり、重圧の中で仕事をしています。複数のツールを同時に監視している状態が常であることを考えると、こうしたアラートは捌くには多すぎるのです。リスクをすべて解決することは不可能ですが、最も重大なリスクに注意することは重要です」

Top 5 cloud security risks and best countermeasures