クラウドセキュリティを軽視しない~「クラウドを使えばセキュリティとデータ保護に関するすべての責任を移譲できる」みたいな甘い話は存在しない~


クラウドコンピューティングは便利になったが、問題がなくなったわけではない。クラウドアプリケーションのサイバーセキュリティ計画に不備があり、たとえば単純なパスワードを使用できるようにしている場合や、多要素認証を使用しない場合、パッチやアップデートを適用しない場合は、攻撃に対して無防備になるおそれがある。

サイバーセキュリティの管理は、以前から多くの企業とその経営陣にとっての課題だった。そこにクラウドが加わったことで、多くの企業において、脅威にさらされる可能性のある領域が広がり、複雑さが増している。

これが特に当てはまるのは、クラウドサービスに関して自社のサイバーセキュリティの責任を認識さえしていないような”ザンネン”な組織だ。

”ザンネン”な組織は「いったん設定したら忘れていい」と考えていたり、「クラウドを使えばセキュリティとデータ保護に関するすべての責任を移譲できる」という考えが多いらしい。

しかし、これらの組織は今も多くの責任を負っており、適切な環境を整えて、クラウドを正しく設定し、きちんと保護されていないデータが「徘徊する」のを防ぐために、対策を実施しなければならない。

クラウドサービスの設定と保護に対する理解が不十分だと、機密情報が公開されたままになるおそれがある。さらには、オープンインターネットに直接公開されて、悪意あるサイバー犯罪者を含むあらゆる人の目に触れることにもなりかねない。

これは単なる理論上の問題ではなく、クラウド環境の設定ミスによって機密情報が公開されてしまう事例が頻繁に発覚している。

企業はクラウド環境を完全には理解していない。専門知識とスキルセットが不足しているため、一連の適切なセキュリティ制御を特定して実施し、クラウド運用を保護するのは難しい。

クラウドセキュリティを完全に無視しているように思える企業もある。その原因として考えられるのは、理解不足、スキルと専門知識の欠如、企業イニシアチブの競合に起因する時間的な制約、主要ツールに投資する予算の制約などだ。

しかし、クラウドセキュリティは無視してよいものではない。クラウドのアプリケーションやサーバーを使用しているなら、セキュリティ対策は必須だ。何と言っても、サイバー犯罪者やその他の悪意あるハッカーは、保護が不十分なサービスがないか目を光らせて、それを悪用して比較的少ない労力でネットワークにアクセスしようとしている。

たとえば、クラウドアプリケーションスイートを電子メールやドキュメント管理などの日常業務に使用する企業と従業員が大幅に増加している。これは従業員にとって有益だが、それらのアカウントが適切に保護されていなければ、攻撃者に簡単に侵入されてしまうおそれがある。

自社のクラウドセキュリティ戦略をしっかり把握していないと、情報セキュリティチームが不審な活動の初期の兆候を簡単に見逃していまい、手遅れになるまで気づけず、その頃にはすでに情報が盗まれているか、ネットワークがランサムウェアによって暗号化されているかもしれない。

クラウドサービスのサイバーセキュリティ防御を強化するために、情報セキュリティチームが実行できる追加の手順もある。たとえば、多要素認証を全ユーザーに展開するという対策だ。これを実施すれば、攻撃者が正しいパスワードを持っていたとしても、そのログイン試行が正当なものであることを確認する必要があるため、悪質な侵入を発生前に阻止して検出する機会が得られる。

IDアクセス管理と、権限を持つ関係者しかネットワークのデータシステムサービスにアクセスできないようにする機能は、本当に重要だ。重要なアカウントや重要なサービスでの多要素認証といった基本的なことを考慮しても、それらの機能は広い範囲で必要性が高まっている。

また、ソフトウェアがクラウドベースであるからといって、セキュリティパッチやアップデートが不要というわけではない。クラウドソフトウェアのセキュリティアップデートが提供されたら、できるだけ早く適用すべきだ。特に、サイバー犯罪者もその脆弱性を把握しており、全力で悪用しようとしているため、早期の適用が望ましい。そのためには、適切なクラウドベンダーを選ぶことが重要だ。

優良クラウドサービスプロバイダーは、自社製品のセキュリティ脆弱性を認識したら、できるだけ早く顧客にパッチを提供し、エクスプロイトを悪用する攻撃から保護された状態を維持する最大限の機会を得られるようにしている。ただ、それは顧客がアップデートを遅れずに適用する場合の話だ。

しかし、クラウドサービスプロバイダーの選択によって、クラウドセキュリティ戦略全体に大きな違いが生まれる可能性がある。多くのベンダーは対応が早く、クラウドソフトウェアの問題に関するアップデートや修正を迅速に提供するが、そうでないベンダーもある。契約書に署名する前に、そのベンダーが前者なのか後者なのかを見極めることが重要だ。

サービスの料金が非常に安くても、定期的なパッチ提供や攻撃対象領域の監視をしないクラウドプロバイダーは、選択する意味がない。結局のところ、漏えいのおそれがあるのは利用企業のデータだからだ。

クラウド関連のサイバーセキュリティ戦略を策定しても、それで終わりではない。クラウドサービスを最初に使い始めたときと同じように、セキュリティを無視して何も起きないことを祈る、というわけにはいかない。サイバーセキュリティは常に進化しており、新たな脅威が次々と出現する。ネットワークとユーザーを可能な限り安全に保護するために、新しい戦略を適用する必要がある。

出典:クラウドセキュリティを軽視しない--不十分な保護が招く多大なリスク -