GCP“危ないAPI”の発見者が語る クラウドとオンプレミスの“根本的な違い”：悪用されると危険な「Google Cloud Platform」のAPI【第5回】

クラウドセキュリティを万全にするには、どのようなことに気を付ければよいのか。「Google Cloud Platform」のAPIに潜む危険性を指摘した、Mitiga Securityに聞いた。

[Arielle Waldman，TechTarget]

　クラウドセキュリティベンダーのMitiga Securityは、Googleのクラウドサービス群「Google Cloud Platform」のセキュリティを調査する過程で、サイバー攻撃者によって悪用される恐れがある2つのAPI（アプリケーションプログラミングインタフェース）を発見した。今回の調査に携わったMitigaのプリンシパルコンサルタント、アンドルー・ジョンストン氏は調査報告の中で、2つのAPIを悪用する攻撃シナリオのリスクを懸念する企業のために、GCPインフラの堅牢（けんろう）化の方法を説明している。

　ジョンストン氏が説明する堅牢化方法の一つは、あらかじめベンダーが設定している組み込みのロール（アクセス権限群）を使用せず、「最小特権の原則」に従って、必要に応じて特定のアクセス権限をエンドユーザーに割り当てることだ。

クラウドとオンプレミスのセキュリティには“根本的な違い”が

併せて読みたいお薦め記事

連載：悪用されると危険な「Google Cloud Platform」のAPI

• 第1回：悪用されると危険なGCP「2つの正規API」とは？　VM乗っ取りの恐れも
• 第2回：GCPの設定ミスが原因？　正規APIを悪用してVMを乗っ取る“驚きの手口”
• 第3回：セキュリティ専門家が「GCP」の正規APIに示した“重大な懸念”とは？
• 第4回：GCPに見つかった“危険な正規API”悪用問題　Googleはどう動いた？

　「クラウドサービスのセキュリティは進化している分野であり、オンプレミスシステムとは異なる注意と対策が必要だ」とジョンストン氏は指摘する。Mitigaがこの調査での発見から得た最大の収穫は、クラウドサービスへの移行に伴う意図しない副作用への認識が深まったことだという。

　開発者にとってクラウドサービスは、開発スピードやスケーラビリティの向上、設定の容易化といったさまざまなメリットをもたらす。しかしクラウドセキュリティに関しては「まだ課題があり、混乱もある」とジョンストン氏は述べる。その大きな原因は、これまでオンプレミスシステムで使われてきた用語や考え方が、クラウドサービスに必ずしも同じようには適用されないことにある。

　その一例がコントロールプレーン（ネットワークの各機能と、データ通信の経路の総称）だ。コントロールプレーンは、クラウドベンダーがインフラのハードウェア部分の保護に責任を持ち、ユーザー企業がアプリケーションやデータの保護に責任を持つというクラウドセキュリティの前提「責任共有モデル」にも関わってくる。責任共有モデルにおいて、コントロールプレーンの影響を理解することは、ユーザー企業の責任だからだ。責任共有モデル自体も、具体的な内容を巡って混乱を招きやすい。

　オンプレミスシステムで使われてきた用語や考え方が、クラウドサービスではどのように変わるのか。クラウドサービスを構成する基本的な技術とは何か――。これらについて理解することが、クラウドサービスのセキュリティ向上のために重要だとジョンストン氏は考えている。「企業がクラウドサービスの活用を続ける中で、クラウドサービスの攻撃対象領域がどのようなものかを理解し、適切なログ管理とアラート設定を実施することが非常に重要だ」（同氏）

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。