クラウドセキュリティを万全にするには、どのようなことに気を付ければよいのか。「Google Cloud Platform」のAPIに潜む危険性を指摘した、Mitiga Securityに聞いた。
クラウドセキュリティベンダーのMitiga Securityは、Googleのクラウドサービス群「Google Cloud Platform」のセキュリティを調査する過程で、サイバー攻撃者によって悪用される恐れがある2つのAPI(アプリケーションプログラミングインタフェース)を発見した。今回の調査に携わったMitigaのプリンシパルコンサルタント、アンドルー・ジョンストン氏は調査報告の中で、2つのAPIを悪用する攻撃シナリオのリスクを懸念する企業のために、GCPインフラの堅牢(けんろう)化の方法を説明している。
ジョンストン氏が説明する堅牢化方法の一つは、あらかじめベンダーが設定している組み込みのロール(アクセス権限群)を使用せず、「最小特権の原則」に従って、必要に応じて特定のアクセス権限をエンドユーザーに割り当てることだ。
「クラウドサービスのセキュリティは進化している分野であり、オンプレミスシステムとは異なる注意と対策が必要だ」とジョンストン氏は指摘する。Mitigaがこの調査での発見から得た最大の収穫は、クラウドサービスへの移行に伴う意図しない副作用への認識が深まったことだという。
開発者にとってクラウドサービスは、開発スピードやスケーラビリティの向上、設定の容易化といったさまざまなメリットをもたらす。しかしクラウドセキュリティに関しては「まだ課題があり、混乱もある」とジョンストン氏は述べる。その大きな原因は、これまでオンプレミスシステムで使われてきた用語や考え方が、クラウドサービスに必ずしも同じようには適用されないことにある。
その一例がコントロールプレーン(ネットワークの各機能と、データ通信の経路の総称)だ。コントロールプレーンは、クラウドベンダーがインフラのハードウェア部分の保護に責任を持ち、ユーザー企業がアプリケーションやデータの保護に責任を持つというクラウドセキュリティの前提「責任共有モデル」にも関わってくる。責任共有モデルにおいて、コントロールプレーンの影響を理解することは、ユーザー企業の責任だからだ。責任共有モデル自体も、具体的な内容を巡って混乱を招きやすい。
オンプレミスシステムで使われてきた用語や考え方が、クラウドサービスではどのように変わるのか。クラウドサービスを構成する基本的な技術とは何か――。これらについて理解することが、クラウドサービスのセキュリティ向上のために重要だとジョンストン氏は考えている。「企業がクラウドサービスの活用を続ける中で、クラウドサービスの攻撃対象領域がどのようなものかを理解し、適切なログ管理とアラート設定を実施することが非常に重要だ」(同氏)
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
