昨今、テレワーク等によるビジネススタイルの変革や、利便性などの観点から、企業におけるクラウドサービスの利用が一般的になってきています。企業を取り巻く環境が大きく変化しているなか、クラウド特有のリスクを見逃した結果、セキュリティ事故に発展しまうケースが発生しています。
これらの事故は防ぐことができるのでしょうか?本記事では、クラウド利用時に気を付けるべき、「設定ミス」を防ぐためのポイントを解説します。
増加するクラウドからの情報漏洩
米国サンディエゴの非営利団体Identity Theft Resource Centerが公表したレポート「END-OF-YEAR DATA BREACH REPORT 2019」によると、2019年のキートレンドとして「UNSECURED DATA」が挙げられています。これは、設定ミスなどにより、情報を外部に公開してしまうセキュリティリスクを指しています。
実際に、クラウド上で機密情報を意図せずに露呈してしまう事件が多発しています。クラウドストレージ利用やDBサーバのクラウド展開など、クラウド移行に伴い新たに設計を行ったものの、セキュリティに関する設定が十分でなかったことから、クラウド上の機密情報を無認証状態でインターネットに公開してしまい、数千万件の顧客情報や数億件の個人情報を漏えいさせてしまったケースもあります。
このように、クラウド利用に伴う、ストレージの設定不備やネットワーク・サービスへのアクセス制御不備などから、意図せぬ情報漏えいや不正アクセスが発生しています。
なぜクラウドの設定不備は起きるのか?
クラウドサービスへの移行に伴い、これまで社内領域に保管されていた情報が、インターネット上の社外領域に保管され、利用されることとなります。これに伴い、外部の脅威に常に晒され、攻撃を受けるケースも増加することから、これまで以上に情報を厳格に管理する必要があります。
また、クラウドサービスを利用するにあたって、利用するクラウド環境によって設定内容が変わることや、同じ設定と思ってもアクセスできる範囲が変わるなど、環境ごとに考慮することが変化します。
クラウドサービスは外部からアクセスするのが前提であることや、クラウド環境自体の管理も必要になることから、これまでのオンプレミス環境とは異なる観点でのセキュリティ対策の考慮が必要になります。しかしながら、システム運用チームの意識レベルによっては、複雑で変化のスピードが速いクラウド特有のリスクへの対応がおろそかになり、情報管理が不十分になりがちです。
例えば、クラウドサービスにより、アクセス権の設定方法やデフォルト設定が異なることから、認識不足による意図しない設定や、そもそもの設定の誤りによって、社外からアクセス可能な状態になるケースがあります。具体的には、IaaS形態でクラウドサービスを利用している際に、サーバ自体の設定は十分であるものの、クラウドサービス全体設定に不備があることにより、担当者以外もアクセス可能となってしまっている事例も発生しています。
加えて、ハイブリッドクラウド環境やマルチクラウド環境では、横断的な設定管理も必要となってくることから、適切なセキュリティに関する設定を行うことはさらに困難となってきます。
このため、CSPM(Cloud Security Posture Management)を利用するなど、セキュリティポリシーの一元管理を可能にするソリューションの活用が効果的と言われています。
設定不備を防ぐためにできること
クラウド事業者から提供されるサービスの設定不備に起因する、外部への漏えいリスクを想定し、クラウドサービスにおける設定値を管理することは、クラウドサービス上の情報を保護するために重要です。一方で、様々なクラウドサービスが存在し、機能のアップデートが頻繁に行われることなどから、すべてのサービスのすべての設定を管理することは、技術的にも困難で現実的ではありません。
このため、クラウドサービス利用者の責任範囲において、クラウドサービス事業者より提供されるサービスの設定不備に起因するリスクに対する、評価の枠組みを構築する必要があります。
そもそも、どのクラウドサービスの、どのセキュリティに関する設定を管理すれば良いのかを判断する基準の作成や、クラウドサービスの全般的な評価と設定値管理の枠組みの統合についても、検討が必要かもしれません。
加えて、クラウドサービスの変化に応じてそうした枠組みをメンテナンスする必要があります。
クラウドサービス事業者、クラウドサービス、管理対象とする設定を定期的に評価し、評価の枠組み自体も継続的に改善することが、クラウドサービスの変化に応じてなおセキュリティのベースラインを維持するためには重要です。
まとめ
ここまで、クラウド事業者から提供されるサービスの設定不備に起因するセキュリティリスクや、このようなリスクを防ぐための考え方について述べました。一方で、クラウドサービスの利用は、コストや期間の面などで多くのメリットがあるため、リスクを気にするあまり、クラウド移行に過度に時間を要しては元も子もありません。
先進的な企業では、ビジネスとセキュリティのバランスを考慮したルールや管理プロセスを構築・整備するなど、ビジネススピードを止めないように工夫しています。
クラウドサービスの利用がこれからますます拡大していくことが想定されることから、企業におけるセキュリティの在り方を、改めて考える必要が出てきています。
NRIセキュアでは、新規検討中・利用中のクラウドサービスを対象にした、セキュリティ評価や対策の実行支援を提供しています。クラウドサービスの利用にあたって、お困りごとがございましたら、ぜひNRIセキュアにご相談ください。
クラウドセキュリティを強化するためのコンサルティングサービスの、ホワイトペーパーを公開していますので、ご興味のある方は、ダウンロードしてご覧ください!