クラウドセキュリティリスクの上位5つ、最善の対策
米Orca Securityが今年よく見られる深刻なクラウドセキュリティリスクの上位5つを発表した。パッチ、データの保存、IAM(ID・アクセス管理)等にまつわる問題を調査した結果だ。
同社のクラウドセキュリティ研究グループ「Orca Research Pod」がAmazon Web Services(AWS)、Microsoft Azure、Google Cloud、Kubernetesの本番環境で稼働している何十億というクラウド資産と各種のサーバーレスサービスを2023年1月1日から5月1日にかけて「ORCAクラウドセキュリティプラットフォーム」でスキャン、取得したワークロードや設定、IDデータの分析を行った。
その結果、クラウドセキュリティ問題の上位5つは「よく話題に上るような最新のものではなく」、サイバーセキュリティの基本やベストプラクティスとして挙げられるものだったという――脆弱なWebサービスにパッチを当てるとか、ゼロトラストの考え方に沿ったポリシーを実行する必要があること等だ。「業界でよく言われているのが、クラウドセキュリティ体制を大きく改善するにはまずセキュリティの基本に目を向けるべきだということです。これが大事だということが改めてわかる結果になりました」とレポートにはある。
クラウドセキュリティリスクの上位5つ
以下はOrcaの研究チームが明らかにしたクラウドセキュリティリスクの上位5つだ。
01パッチ未適用の公開Webサービス
同調査では、36%の企業・団体が自組織のクラウド環境でインターネットに公開されたパッチ未適用のWebサービスを1つ以上ホストしていることが分かった。レポートでは既知の脆弱性を抱えたパッチ未適用のサービスがクラウド環境での主な攻撃経路の1つになっているとして注意を呼び掛けている。
02Gitリポジトリ内に機密データが存在
分析対象の企業・団体の約半数がデータベースのパスワード、APIキー、暗号鍵、ハッシュ化ソルト、企業秘密などの機密データを含むGitリポジトリを1つ以上持っていることがわかった。こうした情報が企業・団体のソースコードに含まれている場合、攻撃者がこれを抽出、システムを侵害する可能性がある。
03機密性の高いAWSキーをファイルシステムに保存している
分析対象の企業・団体の49%が仮想マシンのファイルシステムに機密性の高いAWSキーを保存していた。攻撃者に自組織の全リソースへのアクセス権を与え、EC2インスタンスの起動やS3オブジェクトの削除を含むあらゆる操作を許す可能性がある。
04IAMロールに過剰な権限を付与
約33%の企業・団体がクラウドのIAMロールのうち10%以上に完全な管理者権限を付与している。そのうち10%の企業・団体はなんとIAMロールの40%以上に同権限を付与していることがわかった。
05ほとんどの企業が複数の「AWS Lambda」で使用するロールを分けていない
70%の企業・団体が2つ以上のLambdaサービスで同じIAMロールを使用していた。また、調査したLambdaサービスのうち86%近くで別のLambdaサービスと同じIAMロールが使用されている。これは最小特権の原則(PoLP)とゼロトラストの考え方に反している状態だ。研究チームはLambdaサービスとIAMロールを一対一の関係にするよう推奨している。サービスを使用し始めた時点で同じセキュリティポリシーを適用していたとしても、IAMロールを別々にしておけば今後に備えた柔軟性を確保できる。
こうしたリスクが広がっている一方で、人手不足の多くのセキュリティチームが未処理のセキュリティアラートの山に悩まされているという。「そのせいで速やかなリスクへの対処がしにくくなっています。こうした課題を克服するにはアラートの優先順位付けやガイド付き自動修復が不可欠です」
Orcaのクラウドセキュリティ研究チームによる主な推奨事項
こうした結果を受けて、Orca Securityの研究チームはクラウドセキュリティ体制を改善するための推奨事項をいくつか挙げている。
- PoLPとゼロトラストの考え方を遵守する。「管理者権限は本当に必要な人にのみ付与し、一般ユーザーが自分の権限を増やしたり、新しいアカウントを作成したりできないようにすること」とレポートにはある。「ユーザーポリシーを定期的に見直し、厳密には必要のない権限がユーザーに与えられていないか確認しましょう」
- パッチ適用を止めない。システムはすべて定期的にパッチを適用、既知の脆弱性を軽減する必要がある。
- クラウド資産や各種の権限、リソースを作成・設定する際にチェックリストを使用し、米CIS(Center for Internet Security)によるベンチマークのベストプラクティスに沿ったポリシーを実行する。
- 継続的にリスクをスキャンし、潜在的な攻撃経路を検知できる自動クラウドセキュリティ プラットフォームを採用する。
- 優先順位付けを利用してアラート疲れを回避する。「セキュリティ プラットフォームは一般に多数のアラートを生成するものです」と研究チームは述べている。「セキュリティチームの多くは人員不足で過労気味であり、重圧の中で仕事をしています。複数のツールを同時に監視している状態が常であることを考えると、こうしたアラートは捌くには多すぎるのです。リスクをすべて解決することは不可能ですが、最も重大なリスクに注意することは重要です」
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
JOIN NEWSME ニュースレター購読
KCMEの革新的な技術情報を随時発信
5G・IoT・クラウド・セキュリティ・AIなどの注目領域のコンテンツをお届けします。
KCME注目の技術領域に関するテックブログを配信しています。
KCME注目の技術領域に関するテックブログを配信しています。
RELATED ARTICLE 関連記事
-
人工知能(AI) Jack Vaughan2024.11.29
生成AIが引き起こすデータエンジニアリングの変化
生成AIプロジェクトに取り組むデータエンジニアが直面…
-
人工知能(AI) Dan Meyer2024.11.28
米Broadcom、新製品「VeloRAIN」を発表=「VeloCloud SD-WAN」にAIを追加
Broadcomが進めている、VMwareのエッジ製…
-
クラウド Dan Meyer2024.11.28
米Broadcom、VMware vSphereをアップデート=価値向上をめざして
米Broadcomが「VMware vSphere」…
-
IT Dan Meyer2024.10.30
米通信大手はエンタープライズ市場の競争に挑むのか=各社の取り組み
通信事業者から見たエンタープライズ分野のTAM(獲得…
HOT TAG 注目タグ
RANKING 閲覧ランキング
-
IT Dan Meyer
BroadcomによるVMware製品の価格/ライセンスの変更がどうなったか
-
IT Dan Meyer
Broadcomは「脅迫者」=米AT&Tが酷評
-
ネットワーク Sean Michael Kerner
2024年における10のネットワーキング技術予測
-
IT Dan Meyer
BroadcomがVMwareパートナープログラムの詳細を発表
-
セキュリティ Nancy Liu
SASE市場が急成長=第1四半期、首位はZscaler
-
IT Dan Meyer
Dell、HPE、LenovoはBroadcomがVMwareの顧客の懸念を和らげるのに役立つか?
-
セキュリティ Tobias Mann
米CitrixはMcAfee社、FireEye社と同じ運命を辿るのか=買収合併の後に
-
セキュリティ Nancy Liu
デル、データ侵害を確認=ハッカーが4900万件の顧客データ販売を主張
-
スイッチング技術 Tobias Mann
コパッケージドオプティクスの実用化は何年も先=専門家談
-
ネットワーク Sean Michael Kerner
2023年 ITネットワークのトレンドTOP10 現時点