2022年パブリッククラウドセキュリティ調査：王冠の宝石はまだ手の届くところにある

このほど、Orca SecurityはMicrosoft Azure、Google Cloud、Amazon AWSなど世界的に主流のパブリッククラウドサービスのセキュリティ状況を調査した「2022年パブリッククラウドセキュリティ状況レポート」を発表した。研究者らは、多くの企業がクラウド コンピューティング アプリケーションのセキュリティを IT 構築の優先事項として挙げているものの、多くの基本的なセキュリティ対策が依然として効果的に実施されていないことを発見しました。特定された攻撃の 78% は、既知の脆弱性を初期アクセス攻撃ベクトルとして使用し、ユーザーの 71% は依然としてパブリック クラウド サービス プロバイダーが提供するデフォルトのビジネス アカウントを使用しており、クラウド コンテナ サービスの 62% は依然として古いバージョンの Kubernetes によってオーケストレーションおよび実行されています。

報告書の主な調査結果

• 「王冠の宝石」は手の届くところにあります。調査では、パブリック クラウド上のデータ資産への不正アクセスには平均して 3 つの手順しかかからないことが判明しました。つまり、攻撃者はパブリック クラウド環境内で相互に関連する 3 つの悪用可能な欠陥を見つけるだけで、データを盗んだり組織を脅迫したりできるということです。
• クラウドネイティブのセキュリティ サービスを改善する必要があります。クラウド ネイティブ サービスは仮想化アプリケーションよりも簡単に有効化できますが、適切に保護され、正しく構成されている必要があります。データによると、パブリック クラウド アプリケーションを使用する企業の 70% が、パブリックにアクセス可能な Kubernetes API サーバーと関連アプリケーションを保有しています。
• 現在、パブリック クラウドのセキュリティ インシデントにおける主な初期攻撃ベクトルは脆弱性です。特定された攻撃パスの 78% は、既知の脆弱性 (CVE) を初期アクセス攻撃ベクトルとして使用しており、企業が脆弱性管理を優先する必要があることが浮き彫りになりました。
• クラウド ストレージ資産のセキュリティが不十分: パブリックにアクセス可能な S3 バケットと Azure BLOB ストレージ資産は、ほとんどのパブリック クラウド環境に存在します。これは、攻撃者によって簡単に悪用される違反構成であり、多くのクラウド データ侵害の原因となっています。
• 基本的なセキュリティ対策が遵守されていない: 多要素認証 (MFA)、暗号化、強力なパスワード、ポート セキュリティなど、パブリック クラウド上の多くの基本的なセキュリティ対策が、まだ効果的に適用されていません。

脆弱性管理は深刻な問題である

毎日多数のセキュリティ脆弱性が発見されており、多くの企業組織では脆弱性の修復ペースに追いつくのが困難になっています。多くの組織は、新たに発見された脆弱性へのパッチ適用が遅れており、中には長年存在していたセキュリティホールに対処していない組織もあります。

• 調査対象企業の 10% では、10 年以上前に公開された脆弱性が依然として残っています。
• 調査対象企業のネットワーク資産の 11% は規制されていない状態にあり、一部の IT システム資産でサポートされていないオペレーティング システム (CentOS 6、Linux 32 ビット、Windows Server 2012 など) が使用されていることを意味します。
• 調査対象組織の 7% は、インターネットに面したポートを開いています。これはパブリック クラウド アプリケーションにとって非常に危険です。攻撃者は開いているポートや既知の脆弱性を常にスキャンしているため、セキュリティ上の災害がいつでも発生する可能性があります。
• 驚くべきことに、特定された攻撃パスの 78% が、初期アクセス攻撃ベクトルとして既知の脆弱性を使用していました。

上記のデータから、組織は脆弱性の管理にさらに多くのエネルギーを投入する必要があることがわかります。通常、アップデートを実行するだけでは十分ではありません。脆弱性パッチでは、更新によってさらに深刻な問題が発生しないようにするために、厳密なテストが必要です。組織は、どの脆弱性が企業の「大切な資産」に危険な攻撃経路をもたらすかを理解する必要があります。そのためには、クラウドのワークロード、構成、リスクの特定、およびそれらの組み合わせについて、深く幅広い理解が必要です。これにより、企業のセキュリティ チームは、最も危険な脆弱性を優先して修正することに集中できます。

最小権限の原則の実施の失敗

アイデンティティとアクセス管理の重要な要件は、最小権限の原則 (PoLP) を遵守することですが、レポートでは、多くの企業がパブリック クラウド環境のアプリケーションで適切な PoLP 対策をまだ講じていないことがわかりました。

• レポートによると、エンタープライズ パブリック クラウド アプリケーションの 44% に、少なくとも 1 つの特権 ID アクセス管理ロールが含まれています。攻撃者が特権認証情報にアクセスした場合、システムにアクセスできるようになるだけでなく、適時に検出することも困難になります。特権アクセスに対する適切な制限により、パブリック クラウド アプリケーションの攻撃対象領域を大幅に削減できます。
• ユーザーの 71% は、パブリック クラウド サービス プロバイダーが提供するデフォルトのビジネス アカウントを依然として使用しています。デフォルトでは、このアカウントはユーザーに編集者権限を付与しますが、これは PoLP の保護要件と一致しないため、安全ではありません。
• スキャンされた共有クラウド資産の 42% で、企業ユーザーの 50% 以上に管理権限が付与されていました。これは、パブリック クラウドでの権限の乱用が非常に一般的であることを示しています。

クラウド構成エラーが多発

ガートナーは「2021 クラウド セキュリティ ハイプ サイクル」で、2025 年までにクラウド データ侵害の 99% 以上がエンド ユーザーが予防できる誤った構成やエラーによって発生すると予測しています。 CIO は、「クラウド コンピューティングは安全か?」というセキュリティの考え方を変える必要があります。 「クラウドを安全に使用していますか？」このレポートは、この予測を再び裏付けています。

• ユーザーの 8% が​​パブリック アクセス ポリシーを使用して KMS キーを構成しました。これにより、悪意のある攻撃者にとって容易な攻撃ベクトルが作成されます。
• 企業の 51% は Google Storage バケットを使用していますが、統合アクセス管理は行っていません。アクセス レベルが均一でない場合は、アクセス制御リスト (ACL) または IAM を通じてバケット アクセスを制御できます。これは誤った構成になりやすく、悪意を持って悪用された場合、攻撃者が横方向に移動して権限を昇格できる可能性があります。
• 組織の 77% には、デフォルト ポートを使用する RDS データベース インスタンスが少なくとも 1 つあり、そのうち 42% はインターネットに接続されています。企業は RDS データベースのポートを速やかに変更する必要があります。潜在的な攻撃者が企業が使用しているポートを知っていると、スニフ テストを実行するのがはるかに容易になるためです。

クラウドネイティブセキュリティはまだ不完全

コンテナ、Kubernetes、サーバーレス サービスなどのクラウド ネイティブ サービスは、仮想マシンよりも軽量で使いやすく、使用するリソースが少なく、運用コストも低くなります。ただし、クラウド ネイティブ アプリケーションは、クラウド環境を危険にさらす可能性のある潜在的な脆弱性や誤った構成がないように、効果的に保護する必要があります。この調査では次のことがわかりました。

• コンテナの 62% は依然として古いバージョンの Kubernetes によってオーケストレーションされています。
• 組織の 69% には、環境変数で個人情報を公開するサーバーレス関数が少なくとも 1 つあります。
• コンテナの 16% は管理されていない状態です。つまり、サポートされていないオペレーティング システムを使用しているか、長期間パッチが適用されていません。

参考リンク: https://orca.security/resources/blog/state-public-cloud-top-critical-cloud-security-gaps/