クラウドコンピューティングの構成エラーによって生じる脆弱性に対処する方法

大規模なハッキングやエクスプロイトを準備する際、サイバー攻撃者は自身のスキルや狡猾さよりも、被害者の人為的ミス、無知、不注意に頼ることが多いです。現実には、ほとんどの企業は、セキュリティのほとんどのギャップに対処するための適切なセキュリティ ツールとリソースをすべて備えています。

しかし、調査では、予測不可能な人的要因を管理するのが最も難しいことが判明しました。たとえば、ユーザーの誤った構成は、依然としてクラウド セキュリティに対する最大の脅威です。しかし、この脅威にはさまざまな方法で対抗することができます。以下では、クラウドの誤った構成に基づく違反を可能な限り効果的に修復し、軽減する方法を説明します。

クラウドの誤った構成を理解する

ガートナーの副社長兼アナリストであるニール・マクドナルド氏によると、「クラウド サービスに対する攻撃の成功のほぼすべては、顧客の設定ミス、管理ミス、脆弱性に起因しています。」これは非難しているように聞こえるかもしれないが、正確である。しかし、サプライヤーの過失によって発生する違反は多くありません。

クラウドの誤った構成とは、パフォーマンス、セキュリティ、または全体的な信頼性を損なう可能性のあるクラウド サービスの不適切な実装を指します。悪意のある攻撃者は、これらの脆弱性を利用して、誤って構成されたインフラストラクチャを悪用し、サイバー攻撃を仕掛ける可能性があります。

誤った構成の原因と例は次のとおりです。

• 経験の浅いユーザー。
• ストレージ アクセス設定が正しくありません。
• 適切な資格情報の検証が不足しています。
• ワークロードへのアクセスは制限が少なくなります。
• ログ記録と監視を無効にします。

ユーザーに適切なトレーニングと教育を提供する

AWS の責任共有モデルでは、コンプライアンスとセキュリティはベンダーまたはクラウドセキュリティプロバイダーの単独の責任ではありません。本質的に、顧客はデータやその他のデジタル資産を保護する上でプロバイダーと同じくらい重要な役割を果たします。ただし、AWS の責任共有モデルはほんの一例にすぎません。通常、ほとんどのクラウド コンピューティング ベンダーは、責任の共有に関して独自のプロトコルと理念を採用しています。

したがって、顧客は十分なトレーニングを受け、セキュリティを意識する必要があります。また、Web サイトの脆弱性とは異なり、クラウド セキュリティの脆弱性のほとんどは、すべてではないにしても、クライアント/顧客側のエラーによって発生します。

モバイル ワークフォース インフラストラクチャの移行によって、企業のサイバーセキュリティ リスクが増大する様子を見てきました。ユーザー/スタッフは最新のプロトコルとプラクティスを認識している必要があります。

このプロセスでは、習慣を変え、クラウド プラットフォーム、ネットワーク、または Web サイト監視ツールの操作方法に関する基本的な理解を深める必要がある場合があります。この知識は構成の検証に役立ちます。さらに、誤った構成によって発生する可能性のある障害や異常を検出することも可能になります。

ストレージアクセス構成エラー

データ ストレージに使用されるクラウド オブジェクト (S3 ストレージなど) へのアクセス権を保持し、それを外部のアクターに公開することは、最も一般的な間違いの 1 つです。心配なことに、一部の企業がこれらのアクセス権の一部を一般に公開していることが確認されています。

サイバー犯罪者は、企業の秘密や資格情報を探すために、公開されている S3 バケットや公開されている GitHub リポジトリを積極的にスキャンします。したがって、パスワード、API キー、管理者の資格情報を安全かつ暗号化された状態に保つことがますます重要になります。

監視の盲点を解消

クラウド コンピューティングは、本質的に企業がリモート ワークを実現するための基盤です。プログラミングや会計のいずれの目的でも、SaaS 製品にアクセスする場合の利点は十分に文書化されています。ただし、企業や個人がクラウド提供のサービスを自社のソフトウェア スタックに統合するにつれて、セキュリティと構成の要件は変化します。追跡すべき可動部分がさらにあります。

したがって、監視とログ記録が有効になっており、正しいセキュリティ グループ構成に適用されていることを確認することが重要です。クラウド設定をいつ、誰が変更したかを文書化しておくと役立ちます。これにより、企業はエラーに対処し、従業員のトレーニングを改善できるようになります。

セキュリティの強化

こうした誤った構成が発生するもう 1 つの理由は、企業が時代遅れのセキュリティ モデルから脱却できず、統一されたクラウドの可視性が欠如していることです。セキュリティとインフラストラクチャの急速な変化により、ユーザーによる切り替えも容易になる可能性があります。たとえば、マルチクラウド環境では、クラウドの構成ミスが発生する可能性が高くなる可能性があります。

クラウドの導入はまだ比較的新しいものです。したがって、現代のクラウド サービスの進化に対応できるセキュリティ リソースや手順を見つけるのは困難です。従来のオンプレミスのセキュリティ制御のほとんどは、クラウド インフラストラクチャに移行されています。

ただし、オンプレミスの物理セキュリティの一部はクラウド サービスのセキュリティには適用されないため、それだけでは十分ではない可能性があります。たとえば、すべてのアカウントとすべての地域にわたる可視性を得ることは困難になる可能性があります。

これは、企業が大規模な運用環境を持ち、さまざまな領域や部門でリスクとコンプライアンスのための複数のセキュリティ ツールを備えている場合に特に当てはまります。人工知能とネットワークおよびファイル分析を組み合わせたセキュリティ サービスを実装することをお勧めします。ソリューションは、企業向けに動的なログ記録と監視も提供する必要があります。

誤った設定を制限する

誤った構成を排除することはほぼ不可能ですが (特に複雑なクラウド コンピューティング資産を持つ大企業の場合)、誤った構成とそれが引き起こす可能性のある損害を制限することは可能です。それでも、企業に深く根付いた安全文化が重要です。企業は、適切なアクターのみが重要なクラウド資産と構成データにアクセスできるゼロトラスト環境を実装することから始めることができます。

多くのクラウド サービス プロバイダーには、誤った構成に対処するためのツールが組み込まれています。これらには、ログ記録、監視、アクセス制限などの機能が含まれます。基本的に、組織は安全なクラウド コンピューティング ベンダーを選択するだけで、最も一般的な構成ミス エラーのいくつかに対処し、侵害を防ぐことができます。​