クラウドのセキュリティを脅かす理由の一端が明らかになった。それはクラウドを利用する組織のIAMポリシーの欠如だ。緩いIAMポリシーに起因するリスクを分かりやすく解説する。
IDおよびアクセス管理(IAM)のポリシーを適切に管理していない組織が多過ぎるとPalo Alto Networksは言う。同社は、99%の組織のIAMポリシーは「あまりにも緩い」と指摘する。
200以上の組織における1万8000のクラウドアカウントで68万以上のIDを分析したPalo Alto Networksは、その結果を「衝撃的」と評した。同社のジョン・モレロ氏(Prisma Cloud担当部門のバイスプレジデント)は言う。「分散し、急速に進化し、動的に変化するというクラウドの性質を考えると、効果的で適切なIAMポリシーなしではセキュリティを確保できない」
こうした問題は、主としてユーザーアカウントの誤った管理から生じると同社は指摘する。44%の組織がIAMパスワードの再利用を許可し、53%のクラウドサービスが脆弱(ぜいじゃく)なパスワードの利用を許可している。
それだけではない。必要な範囲をはるかに超える操作を実行できる権限を与えていることも明らかになった。組織の99%が、全く使われていないか、長期間使われないロール、サービス、リソースに過剰なアクセスを許可した状態で放置しているという。
クラウドプロバイダーの組み込みIAMポリシーを誤って使っていることも多い。
過剰なアクセス許可と緩いポリシーが組み合わされば、攻撃者に金庫の鍵を渡したも同然だ。
コロナ禍によってクラウドの採用が大幅に増加した。現在のクラウド環境は攻撃者にとってこの上なく魅力的だ。
Palo Alto NetworksのUnit 42チームは、クラウドを狙う攻撃者とそれ以外の攻撃者を分けて定義すべきだと考えている。クラウドを狙う攻撃者はクラウド用にチューニングした戦術、手法、手口を展開し、IAMポリシーの誤った管理がほぼ普遍的な弱点であることを熟知している。
これまでは無防備なクラウドストレージインスタンスや構成ミスのあるインスタンスをスキャンするだけだった攻撃者が、ゼロデイや(「Log4Shell」などの)ゼロデイに近い攻撃を取り入れようとしている。ゼロデイ攻撃はクラウドプロバイダーのアクセスキーやシークレットキーといったメタデータを入手するのに役立つ。メタデータを入手した攻撃者は正規ユーザーに見えるため、クラウド内を簡単に動き回れる。
Palo Alto Networksは、クラウドのIAMポリシーを堅牢(けんろう)にし、不要なアクセス許可の削除に重点を置くことを勧める。このベストプラクティスには、
などがある。
CNAPP(Cloud Native Application Protection Platform)の導入も効果的だ。CNAPPとは、従来サイロ化していた
などの機能を組み合わせた統合プラットフォームだ。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。