「Amazon Web Services」(AWS)などのクラウドサービスを利用する際、ベンダーは全てを守ってくれるわけではない。ユーザーが知っておくべき、クラウドサービスの脆弱性とは。
「Amazon Web Services」(AWS)や「Microsoft Azure」などのクラウドサービスでは、アプリケーションやデータが攻撃や窃盗などの不正行為から自動的に保護される――そう考えているなら、それは間違いだ。クラウドサービスベンダーもユーザーも、セキュリティの確保においてそれぞれ責任を負うことになる。
クラウドサービスでも、脆弱(ぜいじゃく)性、設定ミス、攻撃の可能性を完全には排除できない。本稿は、脆弱性という言葉を「セキュリティ体制における見落とし、ギャップ、弱点などの欠陥」という意味合いで用いる。クラウドサービスを利用する上で気を付けるべき脆弱性を10個紹介する。
クラウドサービスでアプリケーションをホストする各種リソースとサービスを構成するのはユーザーの役割になる。ITチームは優先順位を付けて、多種多様な設定とオプションを学ぶ必要がある。
リソースやサービスのアクセス権限は基本的に制限する必要がある。仮にアクセス権限の設定に見落としがあると、外部からのアクセスを許し、悪用や変更が可能になる恐れがある。
構成のオプションやパラメーターはクラウドサービスベンダーごとに異なる。アプリケーションをホストするインフラの構成やクラウドサービスの仕組みを理解して実践するのはユーザーの役割になる。
構成ミスやその被害を軽減するため、ITチームは以下のような措置を講じることができる。
攻撃者や一部のユーザーは、アクセス制御が十分になされていないIDとアクセスの管理に付け込んで、認証のメカニズムを回避する。
例えば、悪意を持ったユーザーは脆弱(ぜいじゃく)なパスワードを巧みに利用して資格情報を推測する。パスワードの最低文字数、大文字と小文字の併用、記号の使用、定期的なパスワードの変更など追加の要件を適用して、アクセス制御を強化する。
次のような一般的な手段を用いて、アクセス制御のセキュリティを強化する。
クラウドサービスのアカウントは誰でも作成できる。セキュリティに詳しくないユーザーがデータ管理やセキュリティオプションの構成を誤り、クラウドインフラにあるデータやアプリケーションが悪用されかねない状態のまま放置していることが珍しくない。ITツールを会社の承認を得ずに使う「シャドーIT」については、悪用の報告がなされないこともあり、企業は取り返しがつかない状態になるまで問題緩和の機会を得られなくなっている。
企業内の組織や従業員は、自社が定める標準や法規制要件に従い、脆弱性の拡大防止と自社全体の安全確保に努める必要がある。
特に連携設定がされていないソフトウェア同士は、API(アプリケーションプログラミングインタフェース)を介して相互に通信する。ソフトウェアのAPIは一般的に、迅速な導入を支援する目的で公開されている。APIには機密性があるデータへのアクセスを許可する必要があるが、残念ながら十分な認証や承認を介さずに実装されているAPIがある。
認証や承認の機能がサポートされないAPIがある。APIが認証や承認の機能をサポートしているとしても、ユーザーが敬遠して使用していないのが実情だ。このようなAPIは、インターネット接続があれば誰でもデータにアクセスできるため、データが侵害される恐れがある。
安全ではないAPI、またはセキュリティが脆弱といった欠陥があるAPIが、近年のサイバー攻撃の標的として急浮上している。
クラウドサービスベンダーのAPIを使用するのであれ、クラウドサービスにデプロイするAPIを作成するのであれ、APIを使用および開発する際には以下の点に留意すべきだ。
APIを開発して実装する企業は、APIが社内の機密性の高いデータにアクセスできることを認識し、徹底的なセキュリティレビューの対象だと考える必要がある。外部のAPIについても同様に綿密な検査を実施することが不可欠だ。確立したセキュリティガイドラインを満たさないAPIの使用は避けるべきだ。
インフラのセキュリティについてはクラウドサービスベンダーが責任を担い、データやアプリケーションのセキュリティはユーザーが責任を担う。この共有責任モデルの考え方の下で、クラウドサービスベンダーだけではなくユーザーもセキュリティの責任を負う。
攻撃者がクラウドサービスの脆弱性を悪用して正当な業務目的なくデータにアクセスできた場合、データ侵害とそれに起因する結果についてはユーザーが全責任を負うことになる。結果として考えられる例は次の通りだ。
侵害が起きれば企業はその報いを受ける。例えば、法規制の要件に違反する侵害が起きれば、罰金や刑罰を受ける可能性がある。顧客のために保管していたデータが侵害されれば、訴訟や改善措置が必要となる。
次回はクラウドサービスを利用する上での6~10個目のポイントを紹介する。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
ロッテはシステムのAWS移行を進める中、DX推進の鍵は内製化比率の向上にあると考え、内製化の強化に踏み切った。本資料では、内製化の実現に向け、支援を受けながら、初めて取り組んだAWS開発と人材育成を成功させた事例を紹介する。
B2B取引の決済手段として多くの企業が採用している請求書払い(後払い)だが、入金遅延や未払いが発生するリスクもある。そこで、これらのリスクと業務負担を解消する決済代行サービスが登場した。本資料で詳しく紹介する。
SaaSの決済手段ではクレジットカード払いを設定するのが一般的だが、B2B取引においてはそれだけだと新規顧客を取りこぼすこともある。Chatworkやココナラなどの事例を交え、決済手段を多様化する重要性と、その実践方法を解説する。
ハイブリッドクラウドやエッジコンピューティングの普及に伴い、企業が管理すべきIT資源が急増している。こうした中で注目を集めるのが、あるクラウドサービスだ。分散環境における課題とその解決策について、導入事例とともに解説する。
AI活用やデータドリブン経営が加速する一方で、レガシーインフラが問題になるケースが増えている。特に複数の世代にわたってIT資産が混在しているインフラ環境では、運用負荷やコストが増大してしまう。この問題をどう解消すればよいのか。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...