GCP“危ないAPI”の発見者が語る クラウドとオンプレミスの“根本的な違い”悪用されると危険な「Google Cloud Platform」のAPI【第5回】

クラウドセキュリティを万全にするには、どのようなことに気を付ければよいのか。「Google Cloud Platform」のAPIに潜む危険性を指摘した、Mitiga Securityに聞いた。

2022年06月28日 05時00分 公開
[Arielle WaldmanTechTarget]

 クラウドセキュリティベンダーのMitiga Securityは、Googleのクラウドサービス群「Google Cloud Platform」のセキュリティを調査する過程で、サイバー攻撃者によって悪用される恐れがある2つのAPI(アプリケーションプログラミングインタフェース)を発見した。今回の調査に携わったMitigaのプリンシパルコンサルタント、アンドルー・ジョンストン氏は調査報告の中で、2つのAPIを悪用する攻撃シナリオのリスクを懸念する企業のために、GCPインフラの堅牢(けんろう)化の方法を説明している。

 ジョンストン氏が説明する堅牢化方法の一つは、あらかじめベンダーが設定している組み込みのロール(アクセス権限群)を使用せず、「最小特権の原則」に従って、必要に応じて特定のアクセス権限をエンドユーザーに割り当てることだ。

クラウドとオンプレミスのセキュリティには“根本的な違い”が

 「クラウドサービスのセキュリティは進化している分野であり、オンプレミスシステムとは異なる注意と対策が必要だ」とジョンストン氏は指摘する。Mitigaがこの調査での発見から得た最大の収穫は、クラウドサービスへの移行に伴う意図しない副作用への認識が深まったことだという。

 開発者にとってクラウドサービスは、開発スピードやスケーラビリティの向上、設定の容易化といったさまざまなメリットをもたらす。しかしクラウドセキュリティに関しては「まだ課題があり、混乱もある」とジョンストン氏は述べる。その大きな原因は、これまでオンプレミスシステムで使われてきた用語や考え方が、クラウドサービスに必ずしも同じようには適用されないことにある。

 その一例がコントロールプレーン(ネットワークの各機能と、データ通信の経路の総称)だ。コントロールプレーンは、クラウドベンダーがインフラのハードウェア部分の保護に責任を持ち、ユーザー企業がアプリケーションやデータの保護に責任を持つというクラウドセキュリティの前提「責任共有モデル」にも関わってくる。責任共有モデルにおいて、コントロールプレーンの影響を理解することは、ユーザー企業の責任だからだ。責任共有モデル自体も、具体的な内容を巡って混乱を招きやすい。

 オンプレミスシステムで使われてきた用語や考え方が、クラウドサービスではどのように変わるのか。クラウドサービスを構成する基本的な技術とは何か――。これらについて理解することが、クラウドサービスのセキュリティ向上のために重要だとジョンストン氏は考えている。「企業がクラウドサービスの活用を続ける中で、クラウドサービスの攻撃対象領域がどのようなものかを理解し、適切なログ管理とアラート設定を実施することが非常に重要だ」(同氏)

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news035.jpg

低迷するナイキやアディダスを猛追する「HOKA」の “破壊的”ブランディングとは?
ランナーの間で好感度が低迷しているNikeに対し、ディスラプター(破壊的企業)として取...

news051.jpg

新紙幣の発行、3社に1社が日本経済に「プラスの影響」と回答――帝国データバンク調査
20年ぶりの新紙幣発行は日本経済にどのような影響を及ぼすのでしょうか。帝国データバン...

news196.png

WPPとIBMが生成AIを活用したB2Bマーケティング領域で連携
IBMのビジネス向けAIおよびデータプラットフォームである「watsonx」の機能を「WPP Open...