クラウドセキュリティの課題、解決への道は？：11の課題と5つのベストプラクティス

WhiteSourceは、クラウドセキュリティの課題とリスクを特定し、ベストプラクティスを紹介した。構成ミスや認証情報の管理ミス以外にも多数の課題が挙げられている。

[＠IT]

　オープンソースセキュリティとライセンスコンプライアンス管理プラットフォームを手掛けるWhiteSourceは2021年6月24日（米国時間）、クラウドセキュリティの課題とリスクを特定し、ベストプラクティスを紹介した。

クラウドセキュリティの課題とリスク

　WhiteSourceは「クラウドコンピューティングは多くのデジタルビジネスの基盤となっており、これからのソフトウェア開発を支える。だが、セキュリティに関しては、大きな課題が残っている」との認識を示す。

　「クラウドは、ハッカーがこっそり、ますます巧妙化する攻撃を仕掛けるための格好の場となっている。また今後、内部者による意図的な、または偶発的な攻撃のプラットフォームとなる可能性も高い」という。

　WhiteSourceはまず、クラウドセキュリティの主な課題として、クラウドセキュリティに関する業界団体Cloud Security Alliance（CSA）のレポート「Top Threats to Cloud Computing: Egregious Eleven」で挙げられている11の項目について何が問題なのかを紹介し、その後、ベストプラクティスを解説した。

（1）データ侵害

　データ侵害は標的型攻撃や不適切なセキュリティ、人的エラーの結果として発生する可能性がある。データ侵害が発生すると、ブランドアイデンティティーが損なわれる他、規制違反で制裁金を科されることがあり、知的財産が失われる恐れもある。データはサイバー攻撃の主要な標的だ。データにアクセスできる人を保護し、侵害を防ぐことが、クラウドの展開における最大の課題だろう。

（2）構成ミスと不適切な変更管理

　コンピューティング資産は、セットアップ時に誤って構成される場合がある。これはデータ侵害の主な原因だ。

（3）クラウドセキュリティアーキテクチャと戦略の欠如

　企業は多くの場合、「クラウドへの移行は、既存のITスタックとセキュリティ対策を単にクラウド環境に移すことだ」と誤解している。「戦略の欠如」という問題をさらに悪化させるのは、企業がセキュリティよりも機能や移行スピードを優先することだ。

（4）アイデンティティーや認証情報、アクセス、鍵の不十分な管理

　クラウドを保護するには、企業は次の4点を実行しなければならない。

1. 認証情報を保護する
2. 鍵、パスワード、証明書を自動的に変更する
3. アイデンティティー、認証情報、アクセスの管理システムを実装する。このシステムは、クラウドコンピューティングの要求を満たすスケーラビリティを備えていなければならない
4. 多要素認証と強力なパスワードを使用する

（5）アカウントハイジャック

　アカウントハイジャックは、高い権限を持つアカウントを乗っ取ることだ。これが起こると、データや資産の損失、オペレーションの侵害につながる恐れがある。この脅威を軽減するには、縦深防御やIAM（アイデンティティーとアクセス管理）が重要だ。

（6）内部脅威

　内部者は、ファイアウォールやVPNなどの境界セキュリティ対策をかいくぐることなく、システムを侵害することが可能だ。

（7）安全ではないインタフェースやAPI

　安全ではないAPIは、セキュリティ侵害を招く恐れがある。そのため、偶発的な攻撃と悪意ある攻撃を防ぐ設計を行う必要がある。

（8）弱いコントロールプレーン

　弱いコントロールプレーンは、担当者がネットワークの盲点や脆弱（ぜいじゃく）性を認識していないということだ。