GCP“危ないAPI”の発見者が語る クラウドとオンプレミスの“根本的な違い”悪用されると危険な「Google Cloud Platform」のAPI【第5回】

クラウドセキュリティを万全にするには、どのようなことに気を付ければよいのか。「Google Cloud Platform」のAPIに潜む危険性を指摘した、Mitiga Securityに聞いた。

2022年06月28日 05時00分 公開
[Arielle WaldmanTechTarget]

 クラウドセキュリティベンダーのMitiga Securityは、Googleのクラウドサービス群「Google Cloud Platform」のセキュリティを調査する過程で、サイバー攻撃者によって悪用される恐れがある2つのAPI(アプリケーションプログラミングインタフェース)を発見した。今回の調査に携わったMitigaのプリンシパルコンサルタント、アンドルー・ジョンストン氏は調査報告の中で、2つのAPIを悪用する攻撃シナリオのリスクを懸念する企業のために、GCPインフラの堅牢(けんろう)化の方法を説明している。

 ジョンストン氏が説明する堅牢化方法の一つは、あらかじめベンダーが設定している組み込みのロール(アクセス権限群)を使用せず、「最小特権の原則」に従って、必要に応じて特定のアクセス権限をエンドユーザーに割り当てることだ。

クラウドとオンプレミスのセキュリティには“根本的な違い”が

 「クラウドサービスのセキュリティは進化している分野であり、オンプレミスシステムとは異なる注意と対策が必要だ」とジョンストン氏は指摘する。Mitigaがこの調査での発見から得た最大の収穫は、クラウドサービスへの移行に伴う意図しない副作用への認識が深まったことだという。

 開発者にとってクラウドサービスは、開発スピードやスケーラビリティの向上、設定の容易化といったさまざまなメリットをもたらす。しかしクラウドセキュリティに関しては「まだ課題があり、混乱もある」とジョンストン氏は述べる。その大きな原因は、これまでオンプレミスシステムで使われてきた用語や考え方が、クラウドサービスに必ずしも同じようには適用されないことにある。

 その一例がコントロールプレーン(ネットワークの各機能と、データ通信の経路の総称)だ。コントロールプレーンは、クラウドベンダーがインフラのハードウェア部分の保護に責任を持ち、ユーザー企業がアプリケーションやデータの保護に責任を持つというクラウドセキュリティの前提「責任共有モデル」にも関わってくる。責任共有モデルにおいて、コントロールプレーンの影響を理解することは、ユーザー企業の責任だからだ。責任共有モデル自体も、具体的な内容を巡って混乱を招きやすい。

 オンプレミスシステムで使われてきた用語や考え方が、クラウドサービスではどのように変わるのか。クラウドサービスを構成する基本的な技術とは何か――。これらについて理解することが、クラウドサービスのセキュリティ向上のために重要だとジョンストン氏は考えている。「企業がクラウドサービスの活用を続ける中で、クラウドサービスの攻撃対象領域がどのようなものかを理解し、適切なログ管理とアラート設定を実施することが非常に重要だ」(同氏)

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news172.jpg

デジタルサイネージ一体型自動ドアによる広告配信サービス ナブテスコが提供
ナブテスコがデジタルサイネージ一体型自動ドアを広告メディアとして利用する新サービス...

news072.jpg

Threadsで目立つ投稿をするには? Metaがフィードアルゴリズムの仕組みに関する洞察を公開
X(旧Twitter)に変わるものとして期待されるMetaの短文投稿SNS「Threads」。Metaが公開...

news061.jpg

マーケターの87%は自分の仕事が生成AIなどのテクノロジーに取って代わられることを懸念――Gartner調査
Gartnerがマーケティング人材に関する調査を実施。環境的不確実性と技術的複雑性の中で、...