2023年のパブリッククラウドデータセキュリティ状況に関する観察：企業の約40％が既存のセキュリティ対策に自信を持てていない

このほど、イスラエルのクラウドデータセキュリティ企業であるLaminarが「2023年パブリッククラウドデータセキュリティ状況調査レポート」を発表した。研究者は、企業組織のセキュリティ管理および運用保守担当者約 100 名へのアンケート調査とインタビューを通じて、現在のパブリック クラウド データ セキュリティ リスクの状況と課題をより深く理解することを目指しています。レポートの調査データによると、調査対象企業の 39% が既存のクラウド データ セキュリティ保護対策の適用に自信を持てていないことがわかりました。マルチクラウド環境全体で統一されたデータ保護ビューと戦略を取得し、多層防御戦略に準拠したセキュリティ制御を実装するために、クラウドネイティブのセキュリティ ソリューションを求める企業が増えています。

報告書の主な調査結果

• 過去 12 か月間に、調査対象企業の 77% で、パブリック クラウド データが不正な人物によって不正アクセスされました。これは、昨年の同時期の 51% と比較して増加しています。
• 昨年と比較すると、パブリック クラウド上のデータ セキュリティを保護する上で、シャドー データが最大の課題 (68%) となり、次いで、さまざまなクラウド ストレージ アーキテクチャの効果的な管理 (65%)、インターネット アプリケーション用のさまざまなクラウド リソースの監視 (52%) となっています。
• 調査対象企業の 97% が、パブリック クラウド上のデータ セキュリティの問題に対処するために、専任のデータ セキュリティ担当者またはチームを設置しています。この割合は2022年（58%）と比較して大幅に増加しました。
• パブリック クラウド データ ストレージの可視性を高める企業が増えていますが、シャドー データに対する懸念も大幅に増加しており、回答者の 93% がシャドー データについて懸念しており、これは昨年の 82% から増加しています。調査対象企業の 32% は、公開すべきではない機密データがパブリック クラウド ストレージ スペースに違法に保存されているかどうかを判断できないと回答しました。
• クラウド アプリケーションの急速な成長とデータの民主化により、データ資産に対する新たな攻撃対象領域が生まれ、攻撃者が企業データにアクセスするためのエントリ ポイントが拡大しました。調査対象企業の 39% は、既存のクラウド データ セキュリティ保護対策の適用に自信がありません。マルチクラウド環境全体で統一されたデータ保護ビューと戦略を取得し、多層防御戦略に準拠したセキュリティ制御を実装するために、クラウドネイティブのセキュリティ ソリューションを求める企業が増えています。
• クラウド アプリケーションの構成ミスや放置されたクラウド データ ストアなど、クラウドにおける新たなデータ セキュリティのギャップが急速に発生しており、攻撃者はこれを悪用してクラウド サービスにアクセスし、データを盗んでいます。 OWASP 研究者によるテストによると、クラウド アプリケーションの 90% に、程度の差はあれセキュリティ構成ミスの問題があります。
• 調査データによると、企業のパブリッククラウドにおけるデータ漏洩やセキュリティ攻撃の主な原因は依然として「人的要因」（82%を占める）であり、主に内部の悪意ある人員、アプリケーションの過失、操作ミスなどが含まれています。誰でも間違いを犯すものです。そのため、企業は健全なプロセスと高度なテクノロジーで防御を強化する必要があります。

パブリッククラウドデータに対するトップ5の脅威

報告書によると、パブリック クラウドにおける最も一般的かつ深刻なデータ セキュリティ リスクには、パッチが適用されていないクラウド アプリケーション、過剰なユーザー認証、機密情報の違法な保管などが含まれています。これらのリスクは、クラウド セキュリティに多額の投資をしている組織であっても、あらゆる規模の企業組織に共通しています。

01パッチ未適用のクラウドアプリケーションサービス

既知の脆弱性やバグを持つクラウド アプリケーション サービスは、クラウド環境における主な攻撃経路となっています。調査によると、36% の組織がクラウド環境内にパッチ未適用の Web サービスを持っており、それがインターネットに公開されて攻撃者に簡単にアクセスされ、サービスのダウンタイム、潜在的なリモート コード実行、場合によっては不正なリモート アクセスにつながる可能性があることがわかりました。

02Gitリポジトリ内の機密情報

調査では、調査対象組織の 50% が機密データを含む Git リポジトリを少なくとも 1 つ保有していることがわかりました。データベースのパスワード、API キー、暗号化キー、ハッシュ ソルト、シークレットなどの機密情報は、開発者が誤って Git リポジトリにプッシュすることがますます容易になっています。これらはアプリケーションのソースコードの一部であるため、攻撃者は簡単に抽出して組織のシステムを侵害することができます。したがって、企業はリポジトリや履歴レコードに保存されている機密データを完全に検出し、直ちに削除する必要があります。

03 キーは通常ファイルシステムに保存されます

調査対象企業の 49% は、機密性の高いパブリック クラウド アプリケーション キーを仮想マシン内のファイル システムに保存しています。組織のキーを持つユーザーは誰でも、組織のすべてのクラウド リソースにアクセスし、EC2 インスタンスの起動、S3 オブジェクトの削除など、組織が実行できるすべての操作を実行できます。機密性の高いパブリック クラウド アプリケーション キーがファイル システムに保存されている場合、悪意のある攻撃者がこれらのキーを入手した場合、そのキーを使用して機密データにアクセスし、悪意のある操作を実行する可能性があります。特に、機密性の高いパブリッククラウドのキーセキュリティ研究者は、クラウド攻撃経路に「悪意のある横方向の移動を可能にする重大なセキュリティ脆弱性の 1 つ」を発見しました。

04 クラウド管理IDの権限超過

調査では、33% の組織がパブリック クラウド環境内のユーザー ID の 10% 以上に過剰な管理権限を付与していることがわかりました。ユーザーに権限を付与するのは、アクセス許可を制限するよりもはるかに簡単ですが、これはクラウド データのセキュリティを危険にさらす間違いです。原則として、企業は、まれな状況を除いて、完全な管理者権限を持つユーザー ロールを定義しないでください。これは、最小権限の原則 (PoLP) に違反し、クラウド上のデータ セキュリティの攻撃対象領域が大幅に増加し、アカウントが完全に乗っ取られるリスクが増大するためです。

05共有権限を持つクラウドアプリケーション

調査対象組織の 70% には、同じ IAM ロールを共有する複数のクラウド アプリケーション システムがあり、クラウド アプリケーションの 86% が IAM ロールを共有していることがわかりました。パブリック クラウド サービス プロバイダーの AWS では、最小権限の原則を確保するために、企業がクラウド アプリケーション機能ごとに個別の ID ロールを作成することを推奨しています。各機能に専用の IAM ロールを割り当てることで、組織はクラウド アプリケーションと IAM ロールの間に 1:1 の対応関係を作成できます。これにより、データが不正アクセスから保護され、組織はさまざまなセキュリティおよびコンプライアンス標準を遵守できるようになります。

クラウドデータに対する脅威の変化

パブリック クラウド データの活用とイノベーションのスピードが加速し、組織のセキュリティ攻撃対象領域が拡大しています。これまで、セキュリティ チームは境界制御を強化するために内部セキュリティ システムを導入していました。現在、企業は、参加者、インフラストラクチャ、アプリケーションにまたがり、高度に分散され、頻繁に作成、移動、変更、分析、削除される非常に動的なクラウド データを保護する必要があります。従来の攻撃対象領域は「外から内へ」の活動によって決まりますが、新しいクラウド データ リスク環境は「内から外へ」作成され、一見正当な内部関係者が新しいデータ リスクを作成します。

レポートでは、クラウド テクノロジーの変化のスピードと俊敏性がデータの急増を促すにつれて、シャドー データとそれが生み出す革新的な攻撃対象領域も増加していることがわかりました。そして、変化のスピードが猛烈なため、これらの課題はますます大きくなります。つまり、クラウド全体でデータ ワークロードがますます急速に増加し、セキュリティが追いつくのが難しくなるということです。研究者たちはこれを「セキュリティ実行ギャップ」と呼んでいます。

なぜなら、このセキュリティギャップは今後も指数関数的に拡大し続けるからです。企業のセキュリティ チームには、データ量に合わせて拡張でき、複数のクラウド ストレージ プラットフォーム、分析パイプライン、さらにはクラウド ストレージのごみ箱全体でデータをリアルタイムに監視および管理できる、より柔軟なクラウド ネイティブ データ セキュリティ ソリューションが必要になります。

このレポートでは、パブリック クラウド上のシャドー データ リスクにもいくつかの新たな変化と課題が見られることも示されています。

• テスト環境に重複データを配置する: ほとんどの組織では、開発環境またはテスト環境にビジネス データベースの部分的なコピーを保持しています。開発者はデータのスナップショットを作成しても、コピーしたデータを適切に削除または保護しなかったり、使用後にセキュリティ処理を実行することを忘れたりする可能性があります。
• バックアップ データの管理不足: すべての企業には少なくとも 1 つのバックアップ データ ストレージがあり、運用データの正確なコピーが提供され、異常な状況が発生した場合に復元できます。ただし、これらのバックアップ データ ストアは、運用データベースほど適切に監視および保守されないことがよくあります。
• アプリケーションの移行後にレガシー データが削除されない: オンプレミスのデータベースを最新のクラウド データ ストアに移行した後、チームがオンプレミスのレガシー データを削除し忘れる場合があります。
• データ保守ログは悪意を持って使用される可能性があります。開発者やログ記録フレームワークは機密データをリストしますが、これらのファイルは適切なアクセス制御と暗号化がないため、簡単に公開されます。
• データは分析パイプラインに保存されます。多くの組織では、オンデマンドで使用および分析できるように、Snowflake またはクラウド サービス プロバイダーによって作成された分析パイプラインにデータを保存しています。これらはアプリケーション/ビジネス所有者には表示されない場合があります。

シャドーデータはクラウドデータ保護における最大の課題になりつつある

クラウドデータ侵害に積極的に対応する

レポートによると、多くの企業が、ビジネス チームに権限を与えて独自のビッグ データ分析およびデータ グリッド ソリューションを作成する段階にまだ至っていないことがわかりました。データは今やあらゆる場所に存在し、ビジネス チームはパブリック クラウド内のビジネス データにアクセスするためにさまざまな SaaS アプリケーションを使用する必要があります。したがって、エンタープライズ DevOps チームは、クラウド データ アクセス ポリシーの複数のバージョンを作成する必要があり、データ チームは、マルチクラウド環境に基づくデータ分析をサポートするために統合されたデータ レイクを作成する必要があります。

データ侵害率が上昇するにつれ、企業に対してサイバーセキュリティのツールと実践を改善するよう求める圧力が高まります。多くの企業は、マルチクラウド環境全体で完全なデータの観測、監視、制御を実現するには適切なツールが必要であることに気づき始めています。クラウドネイティブ システムは、拡大するクラウド インフラストラクチャで俊敏なデータ セキュリティを実現しますが、従来のローカライズされたセキュリティ ソリューションはクラウド上での拡張や移行には適していません。

ほぼ全員 (92%) の回答者は、クラウド データ侵害の増加により、高度なサイバー セキュリティ保護プラットフォームに対する企業経営陣の関心と購入サポートが増加したと回答しており、この割合は 2022 年の 50% をはるかに上回っています。ただし、回答者の 39% は、既存のデータ セキュリティ ソリューションがクラウド データの課題に対応できるかどうかについて「ある程度自信がある」または「あまり自信がない」と回答しており、2022 年の 24% から増加しています。このデータは、セキュリティ専門家が、増大するデータ セキュリティの問題に対処するためにクラウド ネイティブ ソリューションの必要性をますます認識していることも示しています。

インタビューを受けた企業の多くは、クラウドネイティブテクノロジーに加えて、クラウド上のデータセキュリティ保護を強化するために、新世代の DSPM (データセキュリティ状況管理) ソリューションも必要であると述べています。 DSPM の主な機能には、データ セキュリティ ポリシーの実装、データ リスク評価、データ分類、データ漏洩防止、データ アクセス監視、データ検出、データ リスク修復、データ リスク ランキング、データ所有者の識別、データ コンプライアンス レポート、データ フロー マッピング、データ リネージュの識別などがあります。組織は上記の指標に基づいて適切なソリューションを選択し、現在のパブリック クラウド データ セキュリティのニーズに完全に対応できるかどうかを確認できます。

参考リンク:

https://laminarsecurity.com/wp-content/uploads/2023/03/laminar-state-of-public-cloud-data-security-report-2023.pdf

https://orca.security/resources/blog/the-top-5-cloud-security-risks-of-2023/