セキュリティ現場で「クラウドが嫌われる」のはなぜか？：疲弊するセキュリティ担当者

組織が利用するクラウドサービスが増加するほど、セキュリティチームの負担は増している。クラウドサービスの利用がセキュリティの運用負荷増大につながるのはなぜなのか。

[Mark Wojtasiak，TechTarget]

　企業などの組織がクラウドサービスの導入によって業務の効率化にいそしむ一方で、そうした組織のセキュリティ担当者の負担は増すばかりだ。

　クラウドサービスの導入が加速する組織では、なぜセキュリティ担当者の負担が重くなるのか。セキュリティ対策の現場でどのような事態が起きているのか。背景には、単なるサイバー攻撃の増加だけではない事情がある。

セキュリティ現場で「クラウドが嫌われる」のはなぜか

併せて読みたいお薦め記事

クラウドの守り方

• クラウドサービスを守るどころか危険にする「駄目なセキュリティ」とは？
• クラウド事故を招く「危険」の数々　ユーザーだけでは対策できない穴も……

　新型コロナウイルス感染症（COVID-19）のパンデミック（感染症の世界的な流行）の影響でクラウドサービスへの投資が進んだ。それによって、攻撃の侵入口や経路になり得る「攻撃対象領域」（アタックサーフェス）が広がっている。それと同時に、セキュリティ担当者が分析するセキュリティアラートや設定すべきルール、使用するセキュリティツールなどが増え続けている。

　セキュリティ担当者の負担を増やしている原因は、攻撃対象領域の拡大だけではない。クラウドサービスのログ機能も問題だ。

　ログの管理に必要な機能を備えていないクラウドサービスが珍しくない。そのため、組織のITインフラは可視性が担保されず、セキュリティ担当者の仕事が困難となり、侵害発生の可能性を高める要因となっている。

　組織の安全性を維持するには、クラウドサービスの可視性を向上させる必要がある。

ログ機能の不備を放置するリスク

　ログの不備は組織のセキュリティリスクを招く。例えば、セキュリティベンダーVectra AIの調査チームがクラウドサービス群「Microsoft Azure」において発見した新しいエクスプロイト（脆弱＜ぜいじゃく＞性を悪用するプログラム）では、ログインジェクション（ログを利用して不正な命令を実行する攻撃手法）で管理者を攻撃し、管理者権限を入手できることが分かった。

　管理者権限が攻撃者に奪われれば、例えば組織の重要なデータがランサムウェア（身代金要求型マルウェア）によって暗号化される可能性がある。その結果、金銭を要求されたり、顧客の信頼を失ったりするだろう。

　ログの不備がもたらす問題は、脆弱性だけではない。セキュリティ担当者の負担が増大し、組織の侵害リスクが高まる。例えば、次のようなログ機能の不備がインシデントを引き起こす。

• データ形式の不一致
  • ログのデータ形式に一貫性がないと、セキュリティ担当者はセキュリティイベントの状況を十分に把握できない。IPアドレスやユーザー名の記述方法がわずかに違うだけでも問題が生じる。その結果、異なるデータを関連付けるために時間がかかり、インシデントへの対処に遅れが生じる可能性がある。
• サービス停止の通知頻度
  • クラウドサービスベンダーは通常、サービスが停止した際はユーザーに通知する。ログに不備があると、サービス停止が原因でクラウドサービスのログ機能に障害が発生しているのか、内部関係者によってログが無効化されているのか、判断が極めて難しくなる。
• ログイベント通知の遅延
  • 攻撃者は30分もあれば脆弱性やセキュリティギャップ（システムの脆弱性や実装上の不備、人為的ミスなどのセキュリティ問題の総称）を悪用して組織に侵入できる。ログイベント通知が遅れるとセキュリティ担当者が状況を分析する時間を十分に確保できず、侵害の重要な兆候を見逃す可能性がある。

クラウドサービスベンダーがすべき対策

　クラウドサービスのログに関する課題は簡単には解決できない。これがオンプレミスの場合なら、ログが不十分だと分かれば、別のベンダーに変更して精度と有効性の改善を試みることもできるだろう。だが、クラウドサービスの場合はそうはいかない。どのようなログをどのように提供するかは、AWS（Amazon Web Services）やMicrosoftなどのクラウドサービスベンダーの方針次第だからだ。ログの質を向上させ、顧客ベースのセキュリティを強化することは、クラウドサービスベンダーの仕事だ。

　クラウドサービスベンダーがすべき対策ははっきりしている。まず、全てのイベントをログに記録されるようにすることだ。ユーザーが効率的にログを分析できるように、複数のログをまとめたレコードを迅速に配信することも同様に重要だ。

　これらの対策を実施すれば、ログの全体的な使いやすさと有効性が高まり、ユーザーがトラブルシューティングを効率的に実施し、より良いインサイト（洞察）を得られるようになる。

AIの活用で負のスパイラルを抑止

　クラウドサービスベンダーがログの機能を改善して有効性を高める必要があるのに対し、組織側もリスクを軽減する対策を実施する必要がある。攻撃対象領域の拡大といった外的要因を組織が制御することは難しいが、セキュリティチームの負担が増加し続ける状況を抑制することはできる。

　例えば、AI（人工知能）技術を活用して、誤検知を減らしたり、重要度が高いものを優先的に報告したりといった形でセキュリティアラートの品質を改善することができる。

　セキュリティアラートの品質が改善されるほど、セキュリティチームは攻撃を正確に特定して優先順位を付けることができるようになり、脅威への防御能力やインシデント時の復旧能力が高まる。それはクラウドサービスの導入がますます進む世界において非常に重要なことだ。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。