2018年に注目すべき脅威をチェック「クラウドセキュリティ」の5大脅威 「API」「IoT」から人的ミスまで (1/2)

2018年も、ITセキュリティチームはクラウド導入の安全性確保に引き続き心を砕くことになるだろう。本稿ではAPI、IoT、人間がかかわるミスに関連する共通のリスクを取り上げる。

[Stephen J. Bigelow，TechTarget]

　企業のクラウド使用状況が変化する中、セキュリティモデルが複雑化し、ユーザー企業とベンダーの双方に新たなリスクが生まれている。本稿では、2018年に企業を脅かすクラウドセキュリティの脅威を5つ取り上げる。同時に、この脅威に対抗するベストプラクティスも紹介する。

併せて読みたいお薦め記事

「クラウドセキュリティ」についてもっと詳しく

• クラウドセキュリティ、最大のリスクは「人のうっかりミス」
• 「クラウドセキュリティ」が2017年の“ホット”なIT投資先に、その背景は？

クラウドセキュリティの現実解「CASB」とは

• いまさら聞けない、「CASB」と「URLフィルタリング」は何が違うのか？
• 「CASB」（Cloud Access Security Broker）製品の失敗しない選び方　4つのポイント
• クラウドセキュリティの“熱い”キーワード「CASB」とは何か？　誕生の理由は？

1．曖昧な責任の所在

　「ワークロード（システム）はクラウドにあるのだから、自社には保護責任がない」と考えるユーザー企業もあるが、その認識は誤っている。実際には、ベンダーがユーザー企業のワークロードやデータを保護する義務は、サービス品質契約（SLA）に明記されている範囲に限定される。データの保持や回復、セキュリティに関する責任は、ベンダーではなく主にユーザー企業側にある。

　肝心なのは、ベンダーとユーザー企業の責任範囲を明示した「責任共有モデル」と、クラウドのワークロードを保護するのに必要な手順を理解しておくことだ。これに加え、ワークロードやストレージサービスを2カ所以上のリージョン（地域）に分散させる冗長構成によって、データが失われるリスクを軽減する必要がある。ある時点でのストレージ内容を取得する「スナップショット」をはじめとするバックアップ、リカバリーといった強力なデータ保護手段の導入は、有力な選択肢となる。データを暗号化したり、暗号化鍵を適切に管理／保護したりすることも重要だ。

2．不十分なセキュリティツールとテスト

　パブリッククラウドベンダーが提供するツールやサービスは、以下を目的として設計されていることが少なくない。

• クラウドセキュリティの強化
• クラウドリソースのセキュリティ状況の検証
• 攻撃の緩和

　例えばAmazon Web Services（AWS）は、

• プライベートネットワーク空間を構築できる「Amazon VPC」
• Webアプリケーションファイアウォールの「AWS WAF」
• パブリックインターネットを避けるための専用線接続を実現する「AWS Direct Connect」

といったセキュリティ関連サービスを提供している。こうしたサービスを利用すると同時に、Googleの「Stackdriver Monitoring」やMicrosoftの「Azure Monitor」といった監視ツールを活用して、クラウドの潜在的な脅威を特定することが重要だ。

　ペネトレーションテスト（侵入テスト）を実施して、システムが攻撃にどのように反応するかを確認し、脆弱（ぜいじゃく）性を明らかにしておく必要がある。ペネトレーションテストは、基本的にはシステムに意図的な攻撃を仕掛けて、脆弱な点を特定する。クラウドベンダーは、承認済みのリソースに対する侵入テストを許可し、支援する。

　分散型サービス拒否（DDoS）攻撃など、攻撃の進行中にはクラウドのユーザー企業がほぼ対処できない攻撃もある。こうした種類の攻撃は、クラウドのワークロードを応答不能に陥れてしまうためだ。DDoS攻撃による悪意のあるトラフィックは、クラウドリソースを大量に消費するため、ユーザー企業のコスト増につながる可能性がある。クラウドのこうした脅威を自動的に特定して軽減するには、クラウドベンダーが提供するDDoS保護サービスを使用することが重要だ。

3．人がかかわるミス

　人がかかわる要素が、セキュリティにおいて最も脆弱な要素の1つであることは今も変わらない。クラウドでは、こうした人的ミスによるリスクが増大する。