すべての企業が、セキュリティリスク、脅威、課題に日々直面しています。多くの人は、これらの用語はすべて同じ意味だと考えていますが、微妙な違いがあります。その微妙な違いを理解することで、クラウド資産をより適切に保護できるようになります。
リスク、脅威、課題の違いは何ですか?
- リスクとは、データの損失の可能性や弱点のことです。
- 脅威とは、攻撃または攻撃者の種類のことです。
- 課題とは、実用的なクラウドセキュリティを実装する際の組織におけるハードルのことです。
ひとつの例を考えてみましょう。クラウドにホストされ、パブリックインターネットに公開されているAPIエンドポイントはリスクであり、そのAPIを利用して機密データにアクセスしようとする攻撃者(および攻撃者が試みる可能性のある具体的なテクニック)は脅威であり、組織の課題は、パブリックAPIを効果的に保護しながら、パブリックAPIを必要とする正当なユーザーや顧客が利用できるようにすることです。
完全なクラウドセキュリティ戦略は、この3つすべてに対処しているため、基盤に亀裂は生じません。それぞれがクラウドセキュリティを異なる方法や角度から見ていると捉えることができます。企業の成長のためにクラウドを安全に使用するには、堅実な戦略による、リスクの軽減(セキュリティコントロール)、脅威に対する防御(安全なコーディングと展開)、課題の克服(カルチャー的および技術的なソリューションの実装)が必要になります。
2023年版クラウドリスクレポート(英語版)
この新しいレポートをダウンロードして、2023年に最も蔓延しているクラウドセキュリティの脅威について精通し、2024年にはそれらの脅威からの保護を強化してください。
今すぐダウンロード4 クラウドセキュリティリスク
リスクを完全に排除することはできませんが、リスクを管理することはできます。一般的なリスクを事前に知っておくことで、環境内でリスクに対処する準備を整えることができます。クラウドセキュリティの4つのリスクとは?
1. 管理されていない攻撃対象領域
攻撃対象領域とは、環境におけるすべての露出部分のことです。マイクロサービスの導入は、公開されているワークロードの爆発的増加につながる可能性があります。すべてのワークロードが攻撃対象領域の拡大につながります。綿密に管理していなければ、攻撃されるまでインフラストラクチャの露出に気づかない可能性があります。
このような電話を深夜に受けたい人はいないでしょう。
攻撃対象領域には、攻撃につながる微細な情報漏洩も含まれます。例えば、クラウドストライクの脅威ハンターチームは、パブリックWi-Fiで収集したサンプリング済みDNSリクエストデータを利用してS3バケットの名前を割り出す攻撃者を見つけ出しました。クラウドストライクは、攻撃者がダメージを与える前に攻撃を阻止しましたが、これはリスクの遍在性を示す非常によい例です。S3バケットの管理を強化しても、その存在を完全に隠すことはできません。パブリックインターネットやクラウドを使用する限り、攻撃対象領域は自動的に世界に露出されることになります。
これは、ビジネスを運営するうえで必要なことかもしれませんが、目を光らせておいてください。
2. 人的エラー
Gartnerによると、2025年までは、クラウドセキュリティ障害の99%は、なんらかの人的エラーに起因するだろうとのことです。人的エラーは、ビジネスアプリケーションを構築する際、常に存在するリスクです。このリスクは、パブリッククラウドでリソースをホストすることで高まります。
クラウドの使いやすさは、ユーザーが、認識されていないAPIを適切な管理なしに使用し、境界に穴を開ける可能性があることを意味します。人が正しい判断を下せるよう強力に管理することで、人的エラーを管理します。
最後のルールは、ミスで人を責めないことです。責めるべきはプロセスです。人が正しいことを行えるよう、プロセスとガードレールを構築してください。非難しても、ビジネスの安全性が高まるわけではありません。
3. 設定ミス
クラウドの設定は、プロバイダーが時間をかけてサービスを追加していくにつれて、大きくなっていきます。多くの企業は複数のプロバイダーを使用しています。
プロバイダーにはさまざまなデフォルト設定があり、サービスごとに微妙に異なる固有の実装があります。組織が各種クラウドサービスのセキュリティ保護能力を高めるまで、攻撃者は設定ミスを悪用し続けます。
4. データ侵害
データ侵害は、知らないうちに、または許可なく、機密情報が手元から離れていったときに発生します。攻撃者にとってはデータが何よりも価値のあるものであり、攻撃の主要目標となっています。クラウドの設定ミスやランタイム保護の欠如により、盗難の可能性が高まります。
データ侵害の影響は、盗まれたデータの種類によって異なります。個人を特定できる情報 (PII) や個人の健康情報 (PHI) は、本人確認情報を盗用する目的やフィッシングメールに利用する目的を持つ者に、窃盗者によってダークウェブで販売されます。
内部文書やEメールなどその他の機密情報は、企業の評判を傷つけたり、株価を操作したりするために利用される可能性があります。データを盗む理由が何であれ、侵害は、クラウドを使用する企業にとって依然として大きな脅威です。
クラウドセキュリティリスクの管理方法
クラウドでのリスクを管理するには、次のヒントに従ってください。
- 定期的なリスク評価を実施して、新しいリスクを発見します。
- 特定したリスクを軽減するために、セキュリティ管理に優先順位を付けて実装します(クラウドストライクが支援できます)。
- 受け入れることを選択したリスクを文書化して再検討します。
詳細
クラウドストライクのクラウドセキュリティ評価サービスで、クラウドセキュリティの設定ミスや、クラウドセキュリティベストプラクティスからの逸脱を特定してください。クラウドセキュリティ評価
クラウドセキュリティの4つの脅威
脅威とは、クラウド資産に対する攻撃であり、リスクを悪用しようとします。クラウドセキュリティが直面する4つの一般的な脅威とは?
1. ゼロデイエクスプロイト
クラウドは「他の誰かのコンピューター」です。しかし、コンピューターやソフトウェアを使用している限り、たとえそれが他の組織のデータセンターで実行されているものであっても、ゼロデイエクスプロイトの脅威に直面します。
ゼロデイエクスプロイトは、ベンダーがパッチを適用していない一般的なソフトウェアやオペレーティングシステムの脆弱性を標的にします。これは危険な状態です。クラウドの設定が優秀だとしても、攻撃者はゼロデイ脆弱性を悪用して環境内に足場を築くことができます。
2. 持続的標的型攻撃(APT攻撃)
持続的標的型攻撃(APT攻撃)とは、巧妙かつ持続的なサイバー攻撃であり、その攻撃で侵入者はネットワーク内で検知されない存在となり、長期間にわたって機密データを盗みます。
APTは、短時間の「ドライブバイ」攻撃ではありません。攻撃者は環境内にとどまり、ワークロードからワークロードへと移動し、機密情報を探し出して盗み、最高入札者に売り渡します。これらの攻撃は、ゼロデイエクスプロイトを使用して開始され、その後数か月間検知されない可能性があるため危険です。
3. インサイダー脅威
インサイダー脅威とは、組織の内部から発生するサイバーセキュリティの脅威であり、通常、現在または過去の従業員、または企業ネットワーク、機密データ、知的財産 (IP) に直接アクセスできる人物、およびビジネスプロセス、企業ポリシー、またはそのような攻撃の実行に役立つその他の情報に関する知識を持つ人物によって引き起こされます。
4. サイバー攻撃
サイバー攻撃とは、サイバー犯罪者、ハッカー、その他のデジタル攻撃者が、一般的に情報の改ざん、窃盗、破壊、暴露を目的として、コンピューターネットワークまたはシステムにアクセスしようとする試みです。
企業に対して行われる一般的なサイバー攻撃には、マルウェア、フィッシング、DoSおよびDDoS、SQLインジェクション、IoTベースの攻撃などがあります。
クラウドセキュリティの脅威への対処方法
攻撃には非常に多くの種類があり、それらすべてから身を守るのは至難の業です。ここでは、こういった脅威などからクラウド資産を保護する際に使用できる、3つのガイドラインを紹介します。
- マイクロサービスを構築するときは、安全なコーディング標準に従う。
- クラウド設定を二重、三重にチェックして穴をふさぐ。
- 確実な基盤を構築した上で、脅威ハンティングで攻勢に出る(クラウドストライクがサポートできます)。
詳細
Falconクラウドセキュリティのパワー、独自のハンティング手法、比類のない専門知識により、機械学習は数ある脅威ハンティング用の武器の1つになります。CrowdStrike® Falcon OverWatch℠
クラウドセキュリティにおける4つの課題
課題とは、理論と実践のギャップです。クラウドセキュリティ戦略の必要性を認識したのは素晴らしいことです。しかし、どこから始めればよいのでしょうか?カルチャーの変化にどのように取り組めばよいのでしょうか?それを実現するための日々の実践的なステップは何でしょう?
クラウドを活用する際に、すべての企業が直面するクラウドセキュリティの4つの課題
1. クラウドセキュリティ戦略とスキルの欠如
従来のデータセンターのセキュリティモデルは、クラウドには適していません。管理者は、クラウドコンピューティング特有の新しい戦略とスキルを習得する必要があります。
クラウドにより組織は俊敏性を得る一方で、クラウドのセキュリティ上の課題を効果的に理解する知識とスキルが不足している組織では、クラウドが脆弱性の原因となる可能性があります。計画性の欠如は、クラウドプロバイダーとユーザーのセキュリティ義務を定めた責任共有モデルに関する重要性の誤解という形で現れることもあります。この誤解は、意図的でないセキュリティホールの悪用につながる可能性があります。
2. アイデンティティ/アクセス管理 (IAM)
アイデンティティ/アクセス管理 (IAM) は不可欠です。当たり前のことのように思えるかもしれませんが、課題は細部にあります。
何千人もの従業員を抱える企業に必要なロールと権限を作成するのは大変な作業です。包括的IAM戦略には、ロールの設計、特権アクセス管理、実装の3つのステップがあります。
まず、クラウドを使用するユーザーのニーズに基づいた堅固なロール設計から始めます。特定のIAMシステムの外側でロールを設計します。これらのロールは、従業員が行う作業を表すものであるため、クラウドプロバイダーの間で変化することはありません。
次に、特権アクセス管理 (PAM) の戦略で、どのロールがその特権により高い保護を必要とするかについて概要を設定します。特権認証情報にアクセスできるユーザーを厳密に管理し、定期的にローテーションします。
最後に、設計したロールをクラウドプロバイダーのIAMサービス内に実装します。これらを事前に開発しておけば、このステップははるかに簡単になります。
3. シャドーIT
シャドーITは、標準的なITの承認と管理のプロセスを回避するため、セキュリティ上の課題となります。
シャドーITは、従業員が自分の業務を遂行するためにクラウドサービスを採用した結果として生じます。クラウドリソースは簡単に使い始めたり、終了させたりできるため、その拡大を制御することは困難です。例えば、開発者は自分のアカウントを使用して、ワークロードをすばやく生成することがあります。残念ながら、この方法で作成されたアセットは適切に保護されておらず、デフォルトパスワードや設定ミスによってアクセス可能になる場合があります。
DevOpsの導入は、問題を複雑にします。クラウドチームとDevOpsチームは、フリクションレスで高速な実行を希望します。しかし、セキュリティチームが必要とする可視性と管理レベルを、DevOpsアクティビティを妨げずに取得することは困難です。DevOpsには、安全なアプリケーションを展開し、継続的インテグレーション/継続的デリバリー (CI/CD) パイプラインと直接統合するためのフリクションレスな方法が必要です。セキュリティチームがDevOpsのスピードを落とすことなく必要な情報を取得するための統一されたアプローチが必要です。ITチームとセキュリティチームは、DevOpsのスピードでクラウドに機能するソリューションを見つける必要があります。
4. クラウドコンプライアンス
組織は、PCI DSSやHIPAAなどの機密データを保護するための規制を遵守する必要があります。機密データには、クレジットカード情報、患者の医療記録が含まれます。コンプライアンス基準を確実に満たすために、多くの組織では、アクセスを制限し、アクセス権が付与されたユーザーが実行できる操作を制限しています。アクセス制御手段が設定されていないと、ネットワークへのアクセスを監視することが困難になります。
専門家のヒント
環境およびその内部に存在するすべての機密データの保護を目的とした、最も一般的なクラウドセキュリティフレームワークの最新情報をご確認ください。クラウドセキュリティフレームワーク
クラウドセキュリティの課題を克服する方法
課題はそれぞれ異なるため、独自のソリューションが必要です。クラウドサービスを利用する前に、時間をかけて計画を立てます。健全な戦略では、ここで説明したような一般的なクラウドの課題が考慮されています。そうすることで、予想される課題ごとに行動計画を立てることができるようになります。
クラウド侵害に直面していますか?
クラウドストライクのサービスチームにご連絡ください。攻撃者のアクティビティを迅速に可視化し、
御社のチームと連携して侵害を封じ込め、組織をできるだけ速やかに業務に復帰させます。
