クラウドの「ワークロード設定ミス」を防ぐ方法と、設定ミス撲滅に役立つツール:クラウドの4大設定ミスとその防止方法【後編】
クラウドサービスの設定ミスをなくすには、細かい設定に目を配り続けなければならない。ベンダー各社は、クラウドサービスの適切な設定を支援するツールを提供している。
企業がクラウドサービスで稼働させるワークロード(アプリケーション)に設定ミスがあると、情報漏えいやサイバー攻撃の原因になりかねない。前編「『クラウドIAMの設定ミス』の危険性と、設定ミスを防ぐ3つの方法」と中編「機密データを全世界に公開しないための『クラウドストレージ』『クラウドネットワーク』設定ミスの防ぎ方」に続く本稿は、企業がワークロードの設定ミスを防ぐための方法と、クラウドサービスの設定ミスを防ぐために役立つツールを紹介する。
4.ワークロードの設定ミス
設定ミスのあるワークロードは、企業を脅かす。例えばプライベートネットワークだけで稼働させるべきワークロードを、IT管理者やエンドユーザーが手違いでインターネットに接続させてしまうことがある。企業によっては、どのワークロードをインターネットで公開しているのかをIT管理者が把握してない場合すらある。このような形でワークロードを公開すると、サイバー攻撃者がそのワークロードの脆弱(ぜいじゃく)性を診断し、侵入の手掛かりを見つけやすくなる。攻撃者にワークロードを乗っ取られたり、不正に改ざんされたりしかねない。
ワークロードの設定ミスを防ぐために、企業のセキュリティチームは定期的に以下を実行する必要がある。
併せて読みたいお薦め記事
クラウドインフラの設定ミス 取るべき対策は
- ハッカーが明かす「クラウドサービス」に潜む“2つの危険”
- 「クラウドの設定ミスで情報漏えい」はなぜ起こるのか? 取るべき対策は
- 「Amazon S3」の“うっかり”設定ミスを防ぐ「IAM Access Analyzer」とは
- 非営利団体のCIS(Center for Internet Security)が提供する「CIS Benchmarks」(CISベンチマーク)といったセキュリティのベストプラクティスに基づいて、ワークロードのセキュリティ設定をする。
- 全てのワークロードのスキャンと検証をして、設定ミスを洗い出す。
- 管理用のAPI(アプリケーションプログラミングインタフェース)をインターネットで公開したり、こうしたAPIへのアクセスを必要以上に許可したりしていないことを特に確認する。
ツールを使って設定ミスを早期発見
主要IaaS(Infrastructure as a Service)ベンダーはユーザー企業のデータセキュリティ対策を支援するために、ログ記録や挙動監視など、さまざまなセキュリティサービスを提供している。ワークロードやクラウドサービスのIDを検査し、セキュリティ設定の不備や不正なアクティビティーを検知するツールを利用すれば、クラウドサービスの設定ミスで起きる被害を防ぐことができる。例えばAmazon Web Services(AWS)の脅威検出サービス「Amazon GuardDuty」を使えば、AWS内のワークロードやIDの監視を短時間で開始できる。
IaaSベンダーやサードパーティーのベンダーが提供するセキュリティツールを利用すれば、クラウドサービスの設定ミスを把握できる可能性が高まる。
TechTarget発 世界のインサイト&ベストプラクティス
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.