クラウドコンピューティングのセキュリティリスク

クラウド業界は、OpenStack、Microsoft Azure、Google Storage、Amazonといったクラウドベースのプラットフォームに対する人気の高さに牽引されて、まもなく2,500億ドルの節目に到達すると予想されています。クラウドコンピューティングの採用が主流となり、企業は数百万ドルのIT予算をクラウドイニシアティブに投資し続けています。

より多くの企業が、ビジネスレジリエンスの向上、業務のデジタル化、ハイブリッドワーキングのサポートといった優先事項やベストプラクティスに重点を置くようになると、より多くのビジネスプロセスとインフラがクラウドに移行されます。ガートナーの予測では、インフラストラクチャ、ソフトウェア、ビジネスプロセスアウトソーシングに対するIT支出の45%以上が、2024年までに従来型ソリューションからクラウドソリューションに再分配されると見ています。

クラウド技術とその市場は成熟しましたが、多くの企業がクラウドコンピューティングのセキュリティリスクをいまだに見落としています。SailPointの調査によると、驚くことに企業の45%が攻撃、25%が侵入を経験しています。クラウドセキュリティが抱える問題としては、その環境の複雑さが大きな比重を占めています。企業の多くは複数のベンダーを利用していますが、一貫したセキュリティポリシーを適用できていません。企業がクラウドコンピューティングのリスクを軽減するには、クラウドセキュリティをリスク軽減戦略の一部に組み込む必要があります。

クラウドコンピューティングの多様なセキュリティリスク

クラウドコンピューティングのセキュリティリスクは、使用される提供モデルによって若干異なりますが、多くのリスクはあらゆるタイプのクラウドソリューションに及んでいます。時間をかけてこれらのリスクを理解し、評価することは、リスクを軽減するための適切なプロセスとツールを確保する上で役立ちます。クラウドへの移行にはリスクが伴いますが、必要なのはそのリスクを理解することです。

情報漏洩

クラウドコンピューティングの最大のセキュリティリスクの1つである情報漏洩は、あらゆる規模、あらゆる業界の企業に大きな損害をもたらします。情報漏洩は、セキュリティ事故によって重要データへの未認証アクセスが生じることで発生します。つまり、このような未認証アクセスによって情報が流出することになります。防止可能なクラウドセキュリティの問題でさえも、大規模で世間の注目を集める情報漏洩を数多く引き起こしています。

データ損失

情報の流出や侵害以外に、重要なクラウドリソースが回復できないほど損なわれるリスクもあります。システムに侵入されると、侵入者はファイルを操作し、取り消すことができない損害を与えられるようになります。このような損害は、社内のユーザーエラーによって生じる場合もあります。最も重要なデータをバックアップしていない場合、それが削除、改ざん、許可なくロックされるリスクを常にある程度抱えていることになります。必要なユーザーがリソースからロックアウトされた場合、問題をソリューションプロバイダと解決するために貴重な時間を浪費することになります。

インサイダーの脅威

インサイダーは、悪意を持って行動しなくてもセキュリティリスクとなります。多くの場合、ユーザーが機密ファイルを保存したり、それを未承認または安全でないクラウドサービスを介して外部者と共有したりするだけで、リスクにさらされている状況は生じます。特にBYOD環境では、デバイスやクラウドアプリケーションに対するITチームの可視性が制限されることが多いため、これは心配の種となります。クラウドのガバナンスモデルがよく考えられていない場合、自社の従業員の無自覚な行動によってリスクにさらされる可能性があります。

過剰な権限と特権

クラウド環境では、新しい仮想マシンやインスタンスを立ち上げ、コンテナやオブジェクトを簡単に追加できます。しかし、これは攻撃対象領域と誤用の可能性を広げる、過剰かつ未使用のアクセスにつながる場合があります。簡単に言えば、クラウド・ガバナンスのフレームワークに存在する権限が多いほど、不適切な人物が不適切なものにアクセスする機会は増加します。

不十分なアクセス管理

多くの企業は、アイデンティティアクセス管理（IAM）プログラムをクラウドエコシステムに拡張する全体的な戦略を持たずにクラウドを採用しています。統合ソリューションの欠如は、一貫性のないポリシーと適用だけでなく、可視性のギャップを生じ、認証情報の漏洩や情報漏洩につながります。IAMソリューション内の自動化を活用することで、セキュリティに関連する多くの労力を削減し、より優れた保護を実現すると同時に時間を節約できます。

特権アクセス管理

特権アクセス管理（PAM）は、最小権限などのベストプラクティスによってセキュリティリスクを大幅に削減できます。この場合、アクセス権は通常アクティビティの実行に必要なものに基づいて制限されます。ただし、多くの企業ではオンプレミスとクラウドのエコシステム全体にPAMが導入されておらず、ギャップが生じています。重要なのは、要求されたファイルやアプリケーションをユーザーが実際に必要とする場合にのみ権限を付与することです（さもなければ、インフラストラクチャのリスクを実質的なメリットもなく増やしてしまいます）。

設定不備とその他の脆弱性

デフォルトのデータベース設定や安全でないアクセスキーなどの設定不備は非常に多く、これらの脆弱性は攻撃者に悪用されがちです。サイバー犯罪者には基本セキュリティシステムの侵害経験があるため、アクセス制御のカスタマイズを疎かにしている企業は簡単に標的にされてしまいます。設定不備は、通常は人的エラーの結果であり、予防可能なものです。実際のところ、このような不備は最も一般的な情報漏洩原因の1つです。

信頼性の低いネットワーク

重要なビジネスタスクにクラウドサービスを利用するときは、信頼できるソリューションの選択が不可欠です。クラウド以外では、自社のインターネットがダウンした場合のリスクもあります。IAMソリューションは、インターネット接続が及ぶ範囲内でしか利用できません。また、ネットワークが1分ダウンするごとに、クラウドコンピューティングシステムも1分ダウンします。このような事態が発生した場合、時間帯によっては、待たされたお客様と気まずいやり取りをすることになりかねません。

規制違反

ほとんど全ての企業が法規制遵守の影響を受けます。各企業内にクラウドベンダーやソリューションが多数存在するため、クラウドでのセキュリティとコンプライアンスの管理は複雑になります。基盤となるインフラストラクチャを保護する責任はクラウド・プロバイダーにありますが、そのインフラストラクチャやそこに存在するデータを安全に使うかどうかについては、依然としてユーザーにかかっています。

お客様からの信頼の喪失

情報漏洩またはセキュリティ侵害が発生した場合は、被害を受けた可能性のあるすべてのお客様に通知する責任があります。これはもちろん、お客様のエクスペリエンスを損ない、企業の信頼を失うことにつながります。このような状況を一掃し、お客様の離反を抑えるには、リソースを投入する必要があります。企業規模によっては、ガバナンスクラウドのイメージ悪化に対応するために、広報活動の展開が必要になるかもしれません。

安全でないAPI

アプリケーションプログラミングインターフェース（API）は、コンピューティングリソースのプロビジョニングを可能にします。攻撃者は安全でないAPI（認証なしのAPIや未検査のオープンソースソフトウェアを使用するAPIなど）を悪用し、クラウドリソースへのアクセスを獲得します。外部での使用のために内部ソースからのデータ送信をお客様がトリガーする場合、事態はさらに複雑になる可能性があります。APIの設定に欠陥があると、再利用可能なトークン、漏洩パスワード、認証なしの匿名アクセスなどの脅威につながる可能性があります。インフラストラクチャへの新たな侵入口をサイバー犯罪者が見つけられないようにするには、テクノロジースタックの安全確保が唯一の方法となります。

クラウドセキュリティのまとめ

クラウドコンピューティングのセキュリティリスクに対する防御のために、企業はすべてのクラウドリソースに可視性を提供し、アクセスポリシーの一貫的な適用と管理を行うクラウドアクセスおよび権限管理ソリューションの採用を検討する必要があります。さらに、企業はクラウドアクセスおよび権限管理ソリューションを総合的なアイデンティティ管理戦略に統合するクラウドガバナンスフレームワークの導入を検討する必要があります。クラウドガバナンスへアイデンティティ中心のアプローチを採用することで、企業は既存のアイデンティティプロセス、ワークフロー、サインオフ、レポートをクラウド環境で利用できるため、管理の簡略化、セキュリティの強化、コンプライアンスの容易化を図ることができます。

詳細はクラウドガバナンスをご覧ください。

FAQ

クラウドコンピューティングとは

クラウドコンピューティング（多くの場合「クラウド」と呼ぶ）とは、コンピューティングリソースやサービスを提供するための、またはそれにアクセスするための、インターネットベースのアプリケーション、ネットワーキング、ソフトウェアソリューションを意味します。クラウドサービスは、次のような様々なタイプのモデルで提供されます。

• パブリッククラウド：最も一般的なデプロイ形態であるパブリッククラウドは、クラウドサービスプロバイダの顧客間で共有されるリソースです。サポートするすべてのインフラストラクチャをプロバイダーが所有して管理します。
• プライベートクラウド：1つの組織が独占的に使用するプライベートクラウドは、社内データセンターまたはプロバイダーによってホスティングされ、パブリッククラウド以上の柔軟性とコントロールを提供します。
• ハイブリッドクラウド：ハイブリッドクラウドは、パブリッククラウドとプライベートクラウドを組み合わせたもので、企業は両環境間でワークロードとアプリケーションを移動できます。
• コミュニティクラウド：あまり一般的でないコミュニティクラウドは、行政機関や金融機関など、特定のコミュニティに属する組織間で共有され、通常はサードパーティによって提供されます。

さまざまなクラウドコンピューティング

• SaaSは、ユーザーがローカルデバイスにインストールするのではなく、インターネット経由でアクセスするアプリケーションを意味します。通常、クラウドサービスプロバイダは従量課金制を採用し、基盤となるすべてのインフラストラクチャとデータを自社のデータセンターでホスティングします。また、ソフトウェアとハードウェアの管理も行います。
• PaaSは、企業がアプリケーションを開発してデプロイするためのインフラストラクチャ、ミドルウェア、開発ツールなどを提供する開発プラットフォームです。PaaSには、オープンソースのもの（OpenShift、Cloud Foundryなど）と、非公開のもの（Microsoft Azure、SalesforceのForce.comなど）があります。
• IaaSは、クラウド上のスタック全体（コンピューティングリソース、ストレージネットワークなど）のプロビジョニングと管理を行い、企業は、ミドルウェア、データベース、データ、オペレーティングシステムなどを管理します。
• CaaSは、エンジニアやIT部門がコンテナ（必要なすべてのエンジニアリングツールが含まれるソフトウェアのパッケージ）を編成、管理し、チームがハイレベルのデプロイ作業に集中できるようにするクラウドベースのサービスです。
• FaaSは、モジュール化されたコードをデプロイすることで、エンジニアが具体的なイベントに応じてコードを記述、更新できるようにするサーバーレスアプローチを意味します。
• ITaaSとは、各種ITサービスを企業に利用サービスごとの課金制で提供する柔軟なモデルであり、企業内のコスト管理にも有用です。
• XaaSは、上記のすべてを1つのモデルにまとめたものです。これは、世界中の企業が「as-a-Service」のアプローチを採用し、ビジネス全体に適用していることを反映しています。