GCP“危ないAPI”の発見者が語る クラウドとオンプレミスの“根本的な違い”悪用されると危険な「Google Cloud Platform」のAPI【第5回】

クラウドセキュリティを万全にするには、どのようなことに気を付ければよいのか。「Google Cloud Platform」のAPIに潜む危険性を指摘した、Mitiga Securityに聞いた。

2022年06月28日 05時00分 公開
[Arielle WaldmanTechTarget]

 クラウドセキュリティベンダーのMitiga Securityは、Googleのクラウドサービス群「Google Cloud Platform」のセキュリティを調査する過程で、サイバー攻撃者によって悪用される恐れがある2つのAPI(アプリケーションプログラミングインタフェース)を発見した。今回の調査に携わったMitigaのプリンシパルコンサルタント、アンドルー・ジョンストン氏は調査報告の中で、2つのAPIを悪用する攻撃シナリオのリスクを懸念する企業のために、GCPインフラの堅牢(けんろう)化の方法を説明している。

 ジョンストン氏が説明する堅牢化方法の一つは、あらかじめベンダーが設定している組み込みのロール(アクセス権限群)を使用せず、「最小特権の原則」に従って、必要に応じて特定のアクセス権限をエンドユーザーに割り当てることだ。

クラウドとオンプレミスのセキュリティには“根本的な違い”が

 「クラウドサービスのセキュリティは進化している分野であり、オンプレミスシステムとは異なる注意と対策が必要だ」とジョンストン氏は指摘する。Mitigaがこの調査での発見から得た最大の収穫は、クラウドサービスへの移行に伴う意図しない副作用への認識が深まったことだという。

 開発者にとってクラウドサービスは、開発スピードやスケーラビリティの向上、設定の容易化といったさまざまなメリットをもたらす。しかしクラウドセキュリティに関しては「まだ課題があり、混乱もある」とジョンストン氏は述べる。その大きな原因は、これまでオンプレミスシステムで使われてきた用語や考え方が、クラウドサービスに必ずしも同じようには適用されないことにある。

 その一例がコントロールプレーン(ネットワークの各機能と、データ通信の経路の総称)だ。コントロールプレーンは、クラウドベンダーがインフラのハードウェア部分の保護に責任を持ち、ユーザー企業がアプリケーションやデータの保護に責任を持つというクラウドセキュリティの前提「責任共有モデル」にも関わってくる。責任共有モデルにおいて、コントロールプレーンの影響を理解することは、ユーザー企業の責任だからだ。責任共有モデル自体も、具体的な内容を巡って混乱を招きやすい。

 オンプレミスシステムで使われてきた用語や考え方が、クラウドサービスではどのように変わるのか。クラウドサービスを構成する基本的な技術とは何か――。これらについて理解することが、クラウドサービスのセキュリティ向上のために重要だとジョンストン氏は考えている。「企業がクラウドサービスの活用を続ける中で、クラウドサービスの攻撃対象領域がどのようなものかを理解し、適切なログ管理とアラート設定を実施することが非常に重要だ」(同氏)

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news073.jpg

社会人Z世代の休日の過ごし方 関東と関西の違いは?
大広若者研究所「D'Z lab.」は、37人へのインタビューと1000人へのアンケートを基に、社...

news175.png

製造業の8割が既存顧客深耕に注力 最もリソースを割いている施策は?
ラクスは、製造業の営業・マーケティング担当者500人を対象に、新規開拓や既存深耕におけ...

news105.jpg

「生成AIで作った広告」が物議 そのとき、コカ・コーラはどう動いた?
生成AIを広告制作に活用し、議論を呼んだCoca-Cola。この経験から何を学んだのか。