2022年9月に開催された「ITmedia Security Week 2022 秋」、Day3の「クラウド&ゼロトラストゾーン」では、ニューリジェンセキュリティ クラウドセキュリティ事業部 CTO 兼 副部長 仲上竜太氏による講演「データ超分散時代のクラウドセキュリティの始め方」が行われた。@ITでも「働き方改革時代の『ゼロトラスト』セキュリティ」を連載する仲上氏は、本セッションでクラウドを活用する企業が直面する「データ超分散時代」におけるセキュリティ向上施策としても注目される“CCoE”の役割と考え方を述べた。かつてオンプレミスでシステムを構築していたころとは異なるガバナンスの考え方を見直してみよう。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
デジタルトランスフォーメーション(DX)やテレワークが浸透した今、システムの作り方は大きく変わりつつある。コロナ禍によって多くの組織がテレワークの環境を整備した。オンプレミスのシステムからクラウドサービスの利活用にコマを進め、物理的なオフィスを縮小した企業もある。分散、そしてデジタル化という変化は、これまでの紙中心だった働き方から、データ中心の世界に変化したといえる。
しかし、その変化は利便性向上だけにとどまらなかった。これまでは境界を作り、多層型防御の形でセキュリティを向上させることができた。これはオフィスやデータセンターなどがオンプレミスにあり、データも端末も人も1カ所または数拠点に存在したからできた対策だ。しかし、SaaS利用やテレワークにおける分散化で、インターネットから到達できる“界面”(サーフェス)が劇的に増大する。これはサイバー攻撃者から手の届く範囲が大きく広がったとも表現できる。
「これまでの“境界”の外にデータや利用者が分散されている。複数のクラウド上に分散されているだけでなく、コミュニケーションやサービスそのものもクラウドに蓄積されているので、攻撃が可能な“アタックサーフェス”が増大していることへの対処が課題になっている」(仲上氏)
これまでは境界内で監視ができていたことが、境界外のPCやデータが増えたことによって、コントロールしづらくなっているのが現状だ。それをどうコントロールするかが大きな課題となっている。
サイバー攻撃も変化し続けている。これまで専門的な知識が必要とされていたサイバー攻撃も、ランサムウェア攻撃を請け負う「ランサム・アズ・ア・サービス」と表現できるような業者が登場し、分業とエコシステムが形成されつつある。
2022年に入って再度攻撃が激化した「Emotet」をはじめとするマルウェアは、メールに添付されたファイルをきっかけに侵入を試みてくる。さらには更新されていないVPN機器の脆弱(ぜいじゃく)性を悪用して社内に侵入する攻撃や、クラウド設定ミスによる情報漏えいも目立つ。海外子会社、関連会社、運用委託先を踏み台とするようなサプライチェーンからの侵入も多数報道されるようになった。
このようなサイバー攻撃のトレンド変化、そしてデジタルワークプレースの変化が重なり、ネットワーク境界における検知や対処に加え、デジタルの全領域における対策が必須となっている。もはや単一のセキュリティ施策では足りないのだ。
不運なことに、われわれ守る側とサイバー攻撃側とでは、非対称性が存在する。攻撃者は無制限の時間をかけ、世の中に存在する全ての企業から「脆弱な企業」を選択して攻撃を順番に仕掛けることができる。強固なセキュリティ対策を講じている企業も確かに存在するが、そうではない企業を選べばいいだけなのだ。
さらには、巧妙化した匿名化手法を駆使し、金銭授受に至るまで身元を隠蔽(いんぺい)ができるようになった。国境を越えた攻撃が容易に成立し、攻撃ツールは専門家から仕入れることもできるエコシステムが出来上がっている。
一方、われわれ守る側はいつ来るか分からない攻撃に対し、24時間365日の防御が必要となる上に、限られたリソースでの対処が求められる。非常に厳しい状況に置かれているといえよう。
このような状況の中、クラウドはどのような危険にさらされているのだろうか。
仲上氏はまず、クラウド設定ミスや漏えいIDを狙った攻撃を紹介する。インターネット上のパブリッククラウドの設定ミスによって、意図せずファイルやデータが公開状態になっている問題だ。仲上氏は「クラウドの設定が正しければ、データは守られていると考えてよい。しかし、ミスがあると誰でも読み取れてしまう危険がある」と警鐘を鳴らす。利用するクラウドサービスが複数ある場合、設定はそれぞれ異なる。「それらの設定を一つ一つ、正しく運用し続けることで防がねばならない。これは非常に難しい」(仲上氏)
特に設定ミスは、設定した本人には気が付きにくい。攻撃者は常にツールを使い、誤って公開されているようなクラウドサービスがないかどうかをクローリングしていると考えてよい。ミスした数分後にはクローラーがやってきて、情報が奪われてしまう可能性があるのだ。
さらに、クラウドサービスにアクセスするためのAPIキーをアプリケーションのソースコードにハードコードするというミスが目立っている。誤ってAPIキーを公開(漏えい)すると、これも攻撃者によって検索され、キーを窃取されてしまう。このようなクラウドのクレデンシャルを悪用することで、クラウドサービス上に意図しない、高額の仮想マシンを立ち上げられ、仮想通貨のマイニングに使われてしまう。こういった攻撃は課金アラート以外では気が付きにくく、月次でしかチェックしていない場合は大きなダメージとなるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.