侵入ぐらいは“かすり傷”――クラウド／SaaSへの侵入が簡単になった今、企業はどう“実害”を防げばいいのか：ITmedia Security Week 2023 秋

2023年8月に開催された「ITmedia Security Week 2023 秋」において、サイバーセキュリティの専門会社トライコーダの現役ペネトレーションテスター、上野宣氏が「クラウドサービス上の機密情報を攻撃者は如何にして奪取するのか」と題して講演した。

[宮田健，＠IT]

　企業に疑似攻撃をかけ、システムや組織の脆弱（ぜいじゃく）性を明らかにするペネトレーションテストは、クラウドの登場でいかに変化したのか。そしてクラウドによって、防御手法をどう変えなければならないのか。守る側が持つべき新たな視点について、上野氏が経験から語った内容を要約する。

拡大する「アタックサーフェス」　攻撃はマルウェアだけではない

トライコーダ 代表取締役 上野宣氏

　クラウドサービス、特にSaaSの利用はもはや当たり前となった。セキュリティを考えたとき、その守りは十分なのだろうか――。上野氏は冒頭、そのような問い掛けから始める。社内と社外をファイアウォールなどで区切り、いわゆる「境界型防御」で組織を守ってきた企業も、クラウド利用、そしてテレワークによって、情報資産や端末が境界の外にも存在するのが現状だ。その結果、これまで作り上げてきたセキュリティ対策に、知らぬ間に“ほころび”が生まれている。

　攻撃者から見ると、「攻撃の対象となる領域」つまりアタックサーフェスが拡大していることが重要なポイントだ。例えば、これまでの境界を作り出すネットワーク機器やエンドポイントもアタックサーフェスとなっており、SaaSなどのクラウドサービスの利用が進んだことで、オフィスとは物理的に離れたクラウドも狙われている。そのため、上野氏はアタックサーフェスマネジメントの視点を持つことの重要性を説く。

　「サイバー攻撃の入り口となり得るIT資産を把握し、管理する取り組みがアタックサーフェスマネジメント。これだけ聞くと当たり前のように思えるが、企業規模が大きくなればなるほど、情シスが管理していないサーバや、勝手に設置されたルーター、シャドーITによるクラウドサービス利用などを全て把握するのが難しくなる。そのため、アタックサーフェスを発見するには、外部からスキャナーを使って資産を特定し、リスクを評価して対処する必要がある」（上野氏）

攻撃者は明確な意図を持って攻撃してくる。クラウドサービスももちろんその対象だ（上野氏の講演資料から引用）

セキュリティは総合的に機能しているか？