ESET、クラウドの構成の誤りを修正するベストプラクティスを発表：自動化ツールの活用が効果的

セキュリティ企業ESETは、クラウドの構成上の問題を修正するベストプラクティスを発表した。ゼロデイ攻撃よりも人的エラーの方が高リスクであり、なるべく短時間でクラウドの構成の誤りを修正しなければならないという。

[＠IT]

　セキュリティ企業ESETはクラウドの構成上の問題を修正するベストプラクティスを発表した。「クラウドリソースの誤構成がさまざまなセキュリティインシデントにつながっており、ひいては企業に多大な損害をもたらしている」との認識が背景にある。

ゼロデイ攻撃よりも人的エラーの方が高リスクか

　ESETは、デジタルトランスフォーメーション（DX）に取り組む企業が増える中、ゼロデイ攻撃よりも人的エラーの方が、はるかに現実的なリスクとなっていると指摘する。さらに、クラウドに関しては、構成の誤りが特に顕著だとしている。「構成の誤りに起因するレコードの漏えいが年間数十億件発生しており、企業のセキュリティや評判、収益にとって大きな脅威となっている」と、ESETは述べる。

　実際、Verizonの「2021年度データ漏洩／侵害調査報告書（DBIR）」によると、2020年に発生したデータ侵害の17％は、「その他のエラー」が原因だった。

　IBMが2020年に発表した調査「X-Force 脅威インテリジェンス・インデックス 2020」によると、2019年に報告された85億件以上のレコード侵害のうち、86％がクラウドサーバなどさまざまなシステムの構成の不備に起因していた。2018年には、この割合は5割に満たなかった。企業が対策を取らなければ、この割合は上昇を続ける可能性があると、ESETは警告している。

なぜクラウドの構成を誤るのか

　クラウドリソースの誤構成にはさまざまな要因があるとESETは述べている。例えば、監督不足やポリシーに関する意識の低さ、継続的モニタリングの欠如、管理すべきクラウドAPIやシステムが多過ぎることなどだ。企業はさまざまなハイブリッド環境への投資を進めているため、最後に挙げた要因は特に深刻だ。

　さらにESETは、クラウドの構成の誤りは次のようにさまざまな形を取ると説明している。

・アクセス制限の不備
　「Amazon Simple Storage Service（Amazon S3）」へのパブリックアクセスが可能になっている、といったよくある問題などを含む。こうした問題は攻撃者がリモートからデータにアクセスしたり、クラウドアカウントに書き込んだりすることを可能にしてしまう。

・寛容過ぎるセキュリティグループポリシー
　この問題は、インターネットからSSHでポート22を介して「Amazon Elastic Compute Cloud（Amazon EC2）」サーバにアクセスできるようにしてしまい、リモート攻撃が可能になっている、といったものだ。

・権限管理の不備
　ユーザーやアカウントに付与する権限が最小ではなく、そのため組織を大きなリスクにさらしてしまう。

・インターネット接続経路に関する誤解

・仮想ネットワーク機能の誤構成

　また、シャドーITはこれらの問題が発生する可能性を高める。

クラウドの誤った構成を修正するには

　これらの誤った構成を自動的に検出し、できるだけ迅速に問題を修正することが重要だ。だが、それができている企業は非常に少ない。

　クラウドセキュリティとコンプライアンスを手掛けるFugueのレポート「The State of Cloud Security 2021 Report」によると、攻撃者は構成の誤りを10分以内に発見できるが、その問題を検出後、10分以内に修正している企業は10％にすぎない。企業の45％は、1時間〜1週間後に修正しているという。

　こうした状況を改善する第一歩は、クラウドセキュリティの責任共有モデルを理解することだとESETは述べている。これは、クラウドサービスプロバイダー（CSP）がクラウド（ハードウェアやソフトウェア、ネットワーク、その他のインフラ）のセキュリティに責任を負う一方、顧客はクラウド内のセキュリティを受け持ち、その中には自らの資産を構成することが含まれるというものだ。

　ESETはこの理解を確立し、次のベストプラクティスを実践することを勧めている。

・権限を制限する
　最小権限の原則をユーザーとクラウドアカウントに適用し、リスクを最小限に抑える。

・データを暗号化する
　ビジネスクリティカルなデータや、厳しい規制を受けるデータに、強力な暗号を適用し、漏えいの影響を軽減する。

・プロビジョニングの前にコンプライアンスをチェックする
　“コードとしてのインフラ”を優先的に扱うとともに、開発ライフサイクルのできるだけ早い段階で、ポリシー構成チェックを自動的に実行する。

・継続的に監査する
　クラウドリソースはライフサイクルが短く、変更が頻発することで知られている。その一方で、コンプライアンス要件も時間とともに進化していく。そのため、ポリシーに照らして構成チェックを継続的に行うことが不可欠になる。クラウドセキュリティポスチャー管理（CSPM）ツールを使って、このプロセスを自動化、簡素化することを検討するとよい。