「Amazon Web Services」(AWS)などのクラウドサービスを利用する際、ベンダーは全てを守ってくれるわけではない。ユーザーが知っておくべき、クラウドサービスの脆弱性とは。
「Amazon Web Services」(AWS)や「Microsoft Azure」などのクラウドサービスでは、アプリケーションやデータが攻撃や窃盗などの不正行為から自動的に保護される――そう考えているなら、それは間違いだ。クラウドサービスベンダーもユーザーも、セキュリティの確保においてそれぞれ責任を負うことになる。
クラウドサービスでも、脆弱(ぜいじゃく)性、設定ミス、攻撃の可能性を完全には排除できない。本稿は、脆弱性という言葉を「セキュリティ体制における見落とし、ギャップ、弱点などの欠陥」という意味合いで用いる。クラウドサービスを利用する上で気を付けるべき脆弱性を10個紹介する。
クラウドサービスでアプリケーションをホストする各種リソースとサービスを構成するのはユーザーの役割になる。ITチームは優先順位を付けて、多種多様な設定とオプションを学ぶ必要がある。
リソースやサービスのアクセス権限は基本的に制限する必要がある。仮にアクセス権限の設定に見落としがあると、外部からのアクセスを許し、悪用や変更が可能になる恐れがある。
構成のオプションやパラメーターはクラウドサービスベンダーごとに異なる。アプリケーションをホストするインフラの構成やクラウドサービスの仕組みを理解して実践するのはユーザーの役割になる。
構成ミスやその被害を軽減するため、ITチームは以下のような措置を講じることができる。
攻撃者や一部のユーザーは、アクセス制御が十分になされていないIDとアクセスの管理に付け込んで、認証のメカニズムを回避する。
例えば、悪意を持ったユーザーは脆弱(ぜいじゃく)なパスワードを巧みに利用して資格情報を推測する。パスワードの最低文字数、大文字と小文字の併用、記号の使用、定期的なパスワードの変更など追加の要件を適用して、アクセス制御を強化する。
次のような一般的な手段を用いて、アクセス制御のセキュリティを強化する。
クラウドサービスのアカウントは誰でも作成できる。セキュリティに詳しくないユーザーがデータ管理やセキュリティオプションの構成を誤り、クラウドインフラにあるデータやアプリケーションが悪用されかねない状態のまま放置していることが珍しくない。ITツールを会社の承認を得ずに使う「シャドーIT」については、悪用の報告がなされないこともあり、企業は取り返しがつかない状態になるまで問題緩和の機会を得られなくなっている。
企業内の組織や従業員は、自社が定める標準や法規制要件に従い、脆弱性の拡大防止と自社全体の安全確保に努める必要がある。
特に連携設定がされていないソフトウェア同士は、API(アプリケーションプログラミングインタフェース)を介して相互に通信する。ソフトウェアのAPIは一般的に、迅速な導入を支援する目的で公開されている。APIには機密性があるデータへのアクセスを許可する必要があるが、残念ながら十分な認証や承認を介さずに実装されているAPIがある。
認証や承認の機能がサポートされないAPIがある。APIが認証や承認の機能をサポートしているとしても、ユーザーが敬遠して使用していないのが実情だ。このようなAPIは、インターネット接続があれば誰でもデータにアクセスできるため、データが侵害される恐れがある。
安全ではないAPI、またはセキュリティが脆弱といった欠陥があるAPIが、近年のサイバー攻撃の標的として急浮上している。
クラウドサービスベンダーのAPIを使用するのであれ、クラウドサービスにデプロイするAPIを作成するのであれ、APIを使用および開発する際には以下の点に留意すべきだ。
APIを開発して実装する企業は、APIが社内の機密性の高いデータにアクセスできることを認識し、徹底的なセキュリティレビューの対象だと考える必要がある。外部のAPIについても同様に綿密な検査を実施することが不可欠だ。確立したセキュリティガイドラインを満たさないAPIの使用は避けるべきだ。
インフラのセキュリティについてはクラウドサービスベンダーが責任を担い、データやアプリケーションのセキュリティはユーザーが責任を担う。この共有責任モデルの考え方の下で、クラウドサービスベンダーだけではなくユーザーもセキュリティの責任を負う。
攻撃者がクラウドサービスの脆弱性を悪用して正当な業務目的なくデータにアクセスできた場合、データ侵害とそれに起因する結果についてはユーザーが全責任を負うことになる。結果として考えられる例は次の通りだ。
侵害が起きれば企業はその報いを受ける。例えば、法規制の要件に違反する侵害が起きれば、罰金や刑罰を受ける可能性がある。顧客のために保管していたデータが侵害されれば、訴訟や改善措置が必要となる。
次回はクラウドサービスを利用する上での6〜10個目のポイントを紹介する。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
ハロウィーンの口コミ数はエイプリルフールやバレンタインを超える マーケ視点で押さえておくべきことは?
ホットリンクは、SNSの投稿データから、ハロウィーンに関する口コミを調査した。
なぜ料理の失敗写真がパッケージに? クノールが展開する「ジレニアル世代」向けキャンペーンの真意
調味料ブランドのKnorr(クノール)は季節限定のホリデーマーケティングキャンペーン「#E...
業界トップランナーが語る「イベントDX」 リアルもオンラインも、もっと変われる
コロナ禍を経て、イベントの在り方は大きく変わった。データを駆使してイベントの体験価...