クラウドを危険にさらすIaCテンプレートが約20万件 パロアルト:「クラウド脅威レポート 2020年春」を発表
パロアルトネットワークスが発表した「クラウド脅威レポート 2020年春」によると、脆弱性を含んだクラウドのIaCテンプレートが、19万9000件以上も見つかった。暗号化されていないクラウドデータベースも43%を占めていた。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
パロアルトネットワークス(以下、パロアルト)は2020年3月6日、「クラウド脅威レポート 2020年春」を発表した。IaC(Infrastructure as Code)テンプレートを利用してクラウドインフラを自動構築する際に適切なセキュリティツールとプロセスが利用されず、さまざまな脆弱(ぜいじゃく)性によってこれらのテンプレートが改ざんされる事例が増えてきている、としている。
クラウド脅威レポート 2020年春(出展:パロアルトネットワークスクラウドの設定ミスはテンプレートの利用が原因
今回のレポートによると、重大度が「中」から「高」程度の脆弱性を含んだクラウドのIaCテンプレートが、19万9000件以上も見つかったという。パロアルトの2019年の調査によると、クラウドに関するインシデントの65%が単純な設定ミスによるものだった。そのため同社は、「今回の調査で見つかったクラウドの設定ミスは、テンプレートの利用が原因だと示唆される」と分析している。
さらに、クラウド上で稼働するデータベースの43%が暗号化されておらず、ログ記録が無効化されているクラウドストレージサービスが60%を占めていることも分かった。パロアルトは、データの暗号化は、攻撃者に情報を読み取られることを防ぐだけでなく、HIPAA(Health Insurance Portability and Accountability Act)などのコンプライアンス基準の要求事項でもあると指摘するが、今回の調査でこれが十分に満たされていないことが明らかになった。ストレージサービスのログについては、クラウドでセキュリティ被害を受けたときに、その全容を解明する際に重要だとしている。
クラウドを使った「仮想通貨の不正採掘」
関連記事
クラウドはセキュリティ上「最も弱い鎖」? Check Pointが指摘
Check Pointがイベント「CPX360 2020」を開催。創業者兼CEOを務めるギル・シュエッド氏が基調講演の中で、サイバー犯罪を巡る5つのトレンドを指摘した。
IaC活用でSIエンジニアの長時間労働をなくせ――TISとリアルグローブ、IaC(Infrastructure as Code)活用研究会を設立
TISやリアルグローブなど複数の企業が共同で、「IaC活用研究会」を設立した。参加者の間でInfrastructure as Code(IaC)や生産性向上の取り組みを共有し、エンジニアの働き方の変化を促す。IaC関連ツールに関する技術や知識、ノウハウの習得も進めるという。
クラウドセキュリティの強化には、IAMとCASBの組み合わせが必要
アイデンティティー管理は今後の企業におけるクラウドセキュリティの要といえる。だが、カバーできない部分もある。これを補完するために検討したいのが、クラウドアクセスセキュリティブローカーの活用だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。