検索
連載

クラウド時代は「データ超分散時代」――CCoEがセキュリティ向上施策としても注目される理由ITmedia Security Week 2022 秋

2022年9月に開催された「ITmedia Security Week 2022 秋」、Day3の「クラウド&ゼロトラストゾーン」では、ニューリジェンセキュリティ クラウドセキュリティ事業部 CTO 兼 副部長 仲上竜太氏による講演「データ超分散時代のクラウドセキュリティの始め方」が行われた。@ITでも「働き方改革時代の『ゼロトラスト』セキュリティ」を連載する仲上氏は、本セッションでクラウドを活用する企業が直面する「データ超分散時代」におけるセキュリティ向上施策としても注目される“CCoE”の役割と考え方を述べた。かつてオンプレミスでシステムを構築していたころとは異なるガバナンスの考え方を見直してみよう。

Share
Tweet
LINE
Hatena

データ超分散時代に起きること


ニューリジェンセキュリティ クラウドセキュリティ事業部 CTO 兼 副部長 仲上竜太氏

 デジタルトランスフォーメーション(DX)やテレワークが浸透した今、システムの作り方は大きく変わりつつある。コロナ禍によって多くの組織がテレワークの環境を整備した。オンプレミスのシステムからクラウドサービスの利活用にコマを進め、物理的なオフィスを縮小した企業もある。分散、そしてデジタル化という変化は、これまでの紙中心だった働き方から、データ中心の世界に変化したといえる。

 しかし、その変化は利便性向上だけにとどまらなかった。これまでは境界を作り、多層型防御の形でセキュリティを向上させることができた。これはオフィスやデータセンターなどがオンプレミスにあり、データも端末も人も1カ所または数拠点に存在したからできた対策だ。しかし、SaaS利用やテレワークにおける分散化で、インターネットから到達できる“界面”(サーフェス)が劇的に増大する。これはサイバー攻撃者から手の届く範囲が大きく広がったとも表現できる。

 「これまでの“境界”の外にデータや利用者が分散されている。複数のクラウド上に分散されているだけでなく、コミュニケーションやサービスそのものもクラウドに蓄積されているので、攻撃が可能な“アタックサーフェス”が増大していることへの対処が課題になっている」(仲上氏)

 これまでは境界内で監視ができていたことが、境界外のPCやデータが増えたことによって、コントロールしづらくなっているのが現状だ。それをどうコントロールするかが大きな課題となっている。


リモートワークとクラウド活用範囲の拡大で、アタックサーフェス(攻撃可能な界面)が拡大している(仲上氏の講演資料から引用)

変わりゆく「攻撃」の手法

 サイバー攻撃も変化し続けている。これまで専門的な知識が必要とされていたサイバー攻撃も、ランサムウェア攻撃を請け負う「ランサム・アズ・ア・サービス」と表現できるような業者が登場し、分業とエコシステムが形成されつつある。

 2022年に入って再度攻撃が激化した「Emotet」をはじめとするマルウェアは、メールに添付されたファイルをきっかけに侵入を試みてくる。さらには更新されていないVPN機器の脆弱(ぜいじゃく)性を悪用して社内に侵入する攻撃や、クラウド設定ミスによる情報漏えいも目立つ。海外子会社、関連会社、運用委託先を踏み台とするようなサプライチェーンからの侵入も多数報道されるようになった。

 このようなサイバー攻撃のトレンド変化、そしてデジタルワークプレースの変化が重なり、ネットワーク境界における検知や対処に加え、デジタルの全領域における対策が必須となっている。もはや単一のセキュリティ施策では足りないのだ。


デジタル全領域での対策が必要(仲上氏の講演資料から引用)

 不運なことに、われわれ守る側とサイバー攻撃側とでは、非対称性が存在する。攻撃者は無制限の時間をかけ、世の中に存在する全ての企業から「脆弱な企業」を選択して攻撃を順番に仕掛けることができる。強固なセキュリティ対策を講じている企業も確かに存在するが、そうではない企業を選べばいいだけなのだ。

 さらには、巧妙化した匿名化手法を駆使し、金銭授受に至るまで身元を隠蔽(いんぺい)ができるようになった。国境を越えた攻撃が容易に成立し、攻撃ツールは専門家から仕入れることもできるエコシステムが出来上がっている。

 一方、われわれ守る側はいつ来るか分からない攻撃に対し、24時間365日の防御が必要となる上に、限られたリソースでの対処が求められる。非常に厳しい状況に置かれているといえよう。

 このような状況の中、クラウドはどのような危険にさらされているのだろうか。

 仲上氏はまず、クラウド設定ミスや漏えいIDを狙った攻撃を紹介する。インターネット上のパブリッククラウドの設定ミスによって、意図せずファイルやデータが公開状態になっている問題だ。仲上氏は「クラウドの設定が正しければ、データは守られていると考えてよい。しかし、ミスがあると誰でも読み取れてしまう危険がある」と警鐘を鳴らす。利用するクラウドサービスが複数ある場合、設定はそれぞれ異なる。「それらの設定を一つ一つ、正しく運用し続けることで防がねばならない。これは非常に難しい」(仲上氏)

 特に設定ミスは、設定した本人には気が付きにくい。攻撃者は常にツールを使い、誤って公開されているようなクラウドサービスがないかどうかをクローリングしていると考えてよい。ミスした数分後にはクローラーがやってきて、情報が奪われてしまう可能性があるのだ。

 さらに、クラウドサービスにアクセスするためのAPIキーをアプリケーションのソースコードにハードコードするというミスが目立っている。誤ってAPIキーを公開(漏えい)すると、これも攻撃者によって検索され、キーを窃取されてしまう。このようなクラウドのクレデンシャルを悪用することで、クラウドサービス上に意図しない、高額の仮想マシンを立ち上げられ、仮想通貨のマイニングに使われてしまう。こういった攻撃は課金アラート以外では気が付きにくく、月次でしかチェックしていない場合は大きなダメージとなるだろう。

クラウドセキュリティホールにつながる3つの課題

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  2. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  6. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  9. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る