コンプライアンス
AWSおよびAzureで設定ミスに注意が必要なサービスは何か?
クラウド環境を狙う巧妙なセキュリティ脅威を警戒するのは当然ですが、単純な設定ミスにも注意する必要があります。こうしたことにより、最終的に意図せず企業の機密情報や資産が漏えいする可能性があるためです。
クラウド技術は、世界的に新型コロナウイルスが大流行する中、企業のデジタルトランスフォーメーションを加速させるのに役立っています。クラウド技術の信頼性と柔軟性により、コロナ禍の困難な時期にもリモートワークへの迅速な移行が可能になりました。しかし、クラウド技術の迅速な導入は、見落としやエラー、案内されていないクラウドサービスの設定によってもたらされるミス(一般的には設定ミスと総称される)を引き起こす可能性があります。クラウド環境を狙う巧妙なセキュリティ脅威を警戒するのは当然ですが、単純な設定ミスにも注意する必要があります。こうしたことにより、最終的に意図せず企業の機密情報や資産が漏えいする可能性があるためです。
設定ミスは一見すると簡単で避けられそうですが、クラウド環境にとって最も重大なリスクとなっています。クラウド環境におけるセキュリティ上の課題の65~70%は、設定ミスに起因しています。クラウド環境の裏側には、数多くの設定、ポリシー、資産、相互接続されたサービスやリソース等が存在しており、これらを完全に理解し、適切に設定することは簡単ではなく、クラウド環境はセキュリティ対策が難しい高度な領域と言えます。特にリモートワークが主流となる中、クラウドへの迅速な移行を迫られるようになった企業で、こうした困難に直面する傾向が顕著となっています。クラウド環境は、この領域特有の新技術がもたらす複雑さを十分に理解しないまま使い始めると、さまざまな設定ミスを引き起こしてしまう可能性があります。
攻撃経路となった設定ミスの現状は深刻であり、近年確認された大規模なセキュリティ侵害の要因となっています。2018年と2019年、クラウド環境の設定ミスに伴うセキュリティ侵害による企業の損害額は5兆円近くに達しています 。例えば2020年、データベースがパスワードで保護されていなかった不注意から、ユーザのメールアドレス、監査、エラー、CMS、ミドルウェア、生産ログ等を含む4億4千万件以上のEstee Lauder社の情報が流出しました。2020年には、成人向けサイトCAM4で安全でないElastic Searchデータベースを使用していた不注意から、ユーザの個人情報(PII)、支払いログ、パスワードハッシュを含む108億8000万件の情報が流出しました 。
設定ミスは、企業や政府機関において莫大な金銭的損害や風評被害をもたらす主要な原因の1つとなっています。クラウド技術を導入する企業は、攻撃者が狙いを定めて大きな被害をもたらす前に、何よりもまず設定ミスを軽減する対策を講じておく必要があります。トレンドマイクロでは、Trend Micro Cloud One - Conformity™ から1年間(2020年6月30日から2021年6月29日)にConformityルールにより収集したデータを用いて、アマゾン ウェブ サービス (AWS) およびMicrosoft Azureの中で設定ミスの多かった上位10サービスを調べ、その詳細をまとめたレポートを公開しました。レポートは以下リンクよりダウンロードいただけます。
「セキュリティ侵害を引き起こすクラウド環境の設定ミス」ダウンロードはこちら