クラウドセキュリティの課題、解決への道は？：11の課題と5つのベストプラクティス

WhiteSourceは、クラウドセキュリティの課題とリスクを特定し、ベストプラクティスを紹介した。構成ミスや認証情報の管理ミス以外にも多数の課題が挙げられている。

[＠IT]

　オープンソースセキュリティとライセンスコンプライアンス管理プラットフォームを手掛けるWhiteSourceは2021年6月24日（米国時間）、クラウドセキュリティの課題とリスクを特定し、ベストプラクティスを紹介した。

クラウドセキュリティの課題とリスク

　WhiteSourceは「クラウドコンピューティングは多くのデジタルビジネスの基盤となっており、これからのソフトウェア開発を支える。だが、セキュリティに関しては、大きな課題が残っている」との認識を示す。

　「クラウドは、ハッカーがこっそり、ますます巧妙化する攻撃を仕掛けるための格好の場となっている。また今後、内部者による意図的な、または偶発的な攻撃のプラットフォームとなる可能性も高い」という。

　WhiteSourceはまず、クラウドセキュリティの主な課題として、クラウドセキュリティに関する業界団体Cloud Security Alliance（CSA）のレポート「Top Threats to Cloud Computing: Egregious Eleven」で挙げられている11の項目について何が問題なのかを紹介し、その後、ベストプラクティスを解説した。

（1）データ侵害

　データ侵害は標的型攻撃や不適切なセキュリティ、人的エラーの結果として発生する可能性がある。データ侵害が発生すると、ブランドアイデンティティーが損なわれる他、規制違反で制裁金を科されることがあり、知的財産が失われる恐れもある。データはサイバー攻撃の主要な標的だ。データにアクセスできる人を保護し、侵害を防ぐことが、クラウドの展開における最大の課題だろう。

（2）構成ミスと不適切な変更管理

　コンピューティング資産は、セットアップ時に誤って構成される場合がある。これはデータ侵害の主な原因だ。

（3）クラウドセキュリティアーキテクチャと戦略の欠如

　企業は多くの場合、「クラウドへの移行は、既存のITスタックとセキュリティ対策を単にクラウド環境に移すことだ」と誤解している。「戦略の欠如」という問題をさらに悪化させるのは、企業がセキュリティよりも機能や移行スピードを優先することだ。

（4）アイデンティティーや認証情報、アクセス、鍵の不十分な管理

　クラウドを保護するには、企業は次の4点を実行しなければならない。

1. 認証情報を保護する
2. 鍵、パスワード、証明書を自動的に変更する
3. アイデンティティー、認証情報、アクセスの管理システムを実装する。このシステムは、クラウドコンピューティングの要求を満たすスケーラビリティを備えていなければならない
4. 多要素認証と強力なパスワードを使用する

（5）アカウントハイジャック

　アカウントハイジャックは、高い権限を持つアカウントを乗っ取ることだ。これが起こると、データや資産の損失、オペレーションの侵害につながる恐れがある。この脅威を軽減するには、縦深防御やIAM（アイデンティティーとアクセス管理）が重要だ。

（6）内部脅威

　内部者は、ファイアウォールやVPNなどの境界セキュリティ対策をかいくぐることなく、システムを侵害することが可能だ。

（7）安全ではないインタフェースやAPI

　安全ではないAPIは、セキュリティ侵害を招く恐れがある。そのため、偶発的な攻撃と悪意ある攻撃を防ぐ設計を行う必要がある。

（8）弱いコントロールプレーン

　弱いコントロールプレーンは、担当者がネットワークの盲点や脆弱（ぜいじゃく）性を認識していないということだ。

（9）メタストラクチャとアプリストラクチャの不備

　クラウドサービスプロバイダーレベルにおけるクラウドのメタストラクチャ（インフラレイヤーと他のレイヤー間のインタフェースを提供するプロトコルとメカニズム）はもちろん、アプリストラクチャ（クラウド上に展開されたアプリケーションと、その構築のために使われる下層のアプリケーションサービス）の透明性の欠如が問題を起こす。利用者に重大な影響を与え、高くつく失敗につながる恐れがある。

（10）クラウド使用状況の可視性が限られている

　これは、社内のクラウドサービスの使い方が安全かどうかを可視化したり、分析したりできない場合に発生する。例えば、従業員が認可されていないアプリケーションを使っていると、あるいは認可されたアプリケーションを不正に使っていると、SQLインジェクション攻撃やDNS攻撃を招く恐れがある。

（11）クラウドサービスの悪用や不正使用

　これは、ハッカーがクラウドサービスを使って悪意あるアプリケーションをホストし、ユーザーを標的にフィッシング攻撃やスパムメール攻撃、DDoS攻撃を行うことだ。

クラウドセキュリティのベストプラクティスとは

　クラウドセキュリティのベストプラクティスは、3段階に分かれる。すなわち、（1）全体的なリスクの理解、（2）クラウドの保護、（3）問題が見つかった場合の修正だ。

　アプリケーションを保護するとともに、クラウド展開のセキュリティ管理を担当する適切な専門家を配置する必要もある。

クラウドリスクの理解

　クラウドの使い方を可視化し、全体的なリスクプロファイルを適切に理解する必要がある。

　どのような種類のデータとアプリケーションをクラウドに移行しているのか、それらは機密データを含んでいるのか、誰がそれらにアクセスできるのかを調査しなければならない。クラウドサービスプロバイダーを調査し、どのようなセキュリティ対策を講じているのかを把握する必要もある。ユーザーの行動や、悪意ある意図を示唆する変更にも目を光らせなければならない。

クラウドの保護

　クラウドを保護する適切な施策を展開する。その中には、データの暗号化やユーザーのアクセス制御、IAMツールの実装、データ共有の制限、APIのセキュリティ確保などが含まれる。

　クラウド展開の手法によっては、アプリケーションとネットワークトラフィックのセキュリティについても責任を負う場合がある。

クラウドセキュリティの問題の修正

　本番環境でも、クラウド展開を継続的に可視化し、セキュリティ問題が発生したら、修正する必要がある。

　例えば、ユーザー認証の強化のために多要素認証を導入したり、詐欺検知のために機械学習ツールを導入したりしなければならないかもしれない。ポイントは、新しいセキュリティポリシーや手続きを実装し、進化する脅威状況への対応を継続することだ。

アプリケーションの保護

　クラウドセキュリティの問題に加えて、クラウドで実行しているアプリケーションのセキュリティにも注意する必要がある。アプリケーションセキュリティツールは数多く出回っており、マイクロサービスやコンテナ、Kubernetesの展開に対応したツールもある。

熟練したセキュリティ専門家の配置

　最近では、熟練したセキュリティ専門家を見つけることは難しい。しかも、全てのセキュリティ専門家がクラウドネイティブ技術に精通しているとは限らない。幅広いクラウドコンピューティングセキュリティツールを管理できるセキュリティ専門家を見つけることは、クラウド展開を成功させるために不可欠だ。