クラウドを危険にさらすIaCテンプレートが約20万件 パロアルト「クラウド脅威レポート 2020年春」を発表

パロアルトネットワークスが発表した「クラウド脅威レポート 2020年春」によると、脆弱性を含んだクラウドのIaCテンプレートが、19万9000件以上も見つかった。暗号化されていないクラウドデータベースも43%を占めていた。

» 2020年03月09日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 パロアルトネットワークス(以下、パロアルト)は2020年3月6日、「クラウド脅威レポート 2020年春」を発表した。IaC(Infrastructure as Code)テンプレートを利用してクラウドインフラを自動構築する際に適切なセキュリティツールとプロセスが利用されず、さまざまな脆弱(ぜいじゃく)性によってこれらのテンプレートが改ざんされる事例が増えてきている、としている。

画像 クラウド脅威レポート 2020年春(出展:パロアルトネットワークスWebページより引用)

クラウドの設定ミスはテンプレートの利用が原因

 今回のレポートによると、重大度が「中」から「高」程度の脆弱性を含んだクラウドのIaCテンプレートが、19万9000件以上も見つかったという。パロアルトの2019年の調査によると、クラウドに関するインシデントの65%が単純な設定ミスによるものだった。そのため同社は、「今回の調査で見つかったクラウドの設定ミスは、テンプレートの利用が原因だと示唆される」と分析している。

 さらに、クラウド上で稼働するデータベースの43%が暗号化されておらず、ログ記録が無効化されているクラウドストレージサービスが60%を占めていることも分かった。パロアルトは、データの暗号化は、攻撃者に情報を読み取られることを防ぐだけでなく、HIPAA(Health Insurance Portability and Accountability Act)などのコンプライアンス基準の要求事項でもあると指摘するが、今回の調査でこれが十分に満たされていないことが明らかになった。ストレージサービスのログについては、クラウドでセキュリティ被害を受けたときに、その全容を解明する際に重要だとしている。

クラウドを使った「仮想通貨の不正採掘」

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。