クラウドを危険にさらすIaCテンプレートが約20万件 パロアルト：「クラウド脅威レポート 2020年春」を発表

パロアルトネットワークスが発表した「クラウド脅威レポート 2020年春」によると、脆弱性を含んだクラウドのIaCテンプレートが、19万9000件以上も見つかった。暗号化されていないクラウドデータベースも43％を占めていた。

[＠IT]

　パロアルトネットワークス（以下、パロアルト）は2020年3月6日、「クラウド脅威レポート 2020年春」を発表した。IaC（Infrastructure as Code）テンプレートを利用してクラウドインフラを自動構築する際に適切なセキュリティツールとプロセスが利用されず、さまざまな脆弱（ぜいじゃく）性によってこれらのテンプレートが改ざんされる事例が増えてきている、としている。

クラウド脅威レポート 2020年春（出展：パロアルトネットワークスWebページより引用）

クラウドの設定ミスはテンプレートの利用が原因

　今回のレポートによると、重大度が「中」から「高」程度の脆弱性を含んだクラウドのIaCテンプレートが、19万9000件以上も見つかったという。パロアルトの2019年の調査によると、クラウドに関するインシデントの65％が単純な設定ミスによるものだった。そのため同社は、「今回の調査で見つかったクラウドの設定ミスは、テンプレートの利用が原因だと示唆される」と分析している。

　さらに、クラウド上で稼働するデータベースの43％が暗号化されておらず、ログ記録が無効化されているクラウドストレージサービスが60％を占めていることも分かった。パロアルトは、データの暗号化は、攻撃者に情報を読み取られることを防ぐだけでなく、HIPAA（Health Insurance Portability and Accountability Act）などのコンプライアンス基準の要求事項でもあると指摘するが、今回の調査でこれが十分に満たされていないことが明らかになった。ストレージサービスのログについては、クラウドでセキュリティ被害を受けたときに、その全容を解明する際に重要だとしている。

クラウドを使った「仮想通貨の不正採掘」