2022年クラウドコンピューティングアプリケーション主要脅威調査

クラウド ワークロード、サプライ チェーン、エッジ コンピューティング、モノのインターネット (IoT)、ブロックチェーンなどの新しいテクノロジの普及と応用により、クラウド コンピューティング アプリケーションのセキュリティの状況は変化しました。クラウドにおける脅威、脆弱性、リスクに対する認識を高めるために、国際クラウド セキュリティ アライアンス (CSA) は最近、現在のクラウド コンピューティング分野におけるアプリケーション セキュリティの問題に関する調査を開始し、700 人を超えるクラウド コンピューティング技術業界の専門家を対象に調査を行い、「クラウド コンピューティングのトップ脅威レポート」をまとめて発表しました。レポートでは、次の 11 のセキュリティ上の課題がクラウド コンピューティングの適用を妨げる主な脅威になりつつあると考えています。

脅威1

アイデンティティ、資格情報、アクセス権

鍵管理が不十分

ID、資格情報、およびアクセス管理システムには通常、組織が重要なリソース (電子ファイル、コンピュータ システム、サーバー ルームや建物などの物理リソースなど) へのユーザー アクセスを管理、監視、保護できるようにするツールとポリシーが含まれています。このプロセスでは、ID、資格情報、およびアクセス管理システムを適切に維持し、継続的に監視することが重要です。 ID およびアクセス管理 (IAM) でリスク スコアリングを使用すると、セキュリティ体制を強化できます。明確なリスク配分モデル、継続的な監視、適切な行動の分離とセグメンテーションを使用すると、IAM システムのクロスチェックに役立ちます。

ビジネスへの影響

ID、資格情報、アクセス権、およびキーが適切に管理されていない場合、次のような悪影響が生じる可能性があります。

• ビジネス システム アクセスのコンプライアンスの欠如と従業員のネットワーク セキュリティに対する無関心。

• 重要なビジネス データが置き換えられたり破損したりし、権限のないユーザーや悪意のあるユーザーによるデータ漏洩を検出することが困難になります。

• ユーザーの信頼とビジネス収益の損失

• 重大なセキュリティインシデントへの対応およびフォレンジック調査から生じる追加の財務費用

• ランサムウェア攻撃とサプライチェーンの混乱。

セキュリティインシデント

2019 年 1 月から 7 月にかけて、Capital One Bank は、AWS アカウント内の Capital One のサーバーがユーザーによる任意のリクエストを実行したことによる大規模なデータ侵害に見舞われました。攻撃者は、パブリックインターネット上に設置されたサーバーを利用して、イントラネット内のサーバーに不正にアクセスし、コマンド実行やデータ漏洩などの危険を引き起こす可能性があります。

保護のポイント

• 多要素認証を使用します。

• クラウド ユーザーと ID に対して厳格なアクセス制御を使用し、特にルート アカウントの使用を制限します。

• ビジネスニーズと最小権限の原則に基づいてアカウントを分離およびセグメント化します。

• キーのローテーションにはプログラムによる集中型のアプローチを使用します。

• 使用されていない資格情報とアクセス権限を直ちに削除します。

脅威2

安全でないインターフェースとAPI

組織は、サードパーティの開発者や顧客に優れたデジタル エクスペリエンスを提供するために、API の導入を加速しています。しかし、API が普及するにつれて、これらのインターフェースのセキュリティを保護することが重要になります。 API とマイクロサービスには、誤った構成、不適切なコーディング方法、認証の欠如、不適切な承認などによって生じる脆弱性がないかチェックする必要があります。これらの穴により、インターフェースが攻撃に対して脆弱になる可能性があります。

API やその他のインターフェースの誤った構成は、セキュリティ インシデントやデータ侵害の主な原因です。一般的な問題には、認証されていないエンドポイントなどがあります。認証が弱い。過剰な権限;標準的なセキュリティ制御を無効にする。パッチが適用されていないシステム論理設計の問題;ログ記録や監視などを無効にします。これらの問題により、リソースの漏洩、削除または変更、データの調整またはサービスの中断などが発生する可能性があります。

ビジネスへの影響

API と安全でないインターフェースがビジネスに与える影響は、主に機密データや個人データが誤って公開されることです。このようなリスクの重大度は、API がどのように使用されるか、また脆弱性がどれだけ早く検出され軽減されるかによって異なります。

セキュリティインシデント

2021年5月5日、家庭用フィットネスブランドのPelotonがAPIの脆弱性を公開しました。ユーザー認証とオブジェクトレベルの承認が不十分だと、API を通じて Peloton の顧客の個人情報 (PII) が公開されることになります。データには、ユーザーの詳細な年齢、性別、都市、体重、運動統計が含まれており、ユーザーがプロフィール設定ページで非公開に設定した誕生日などの情報も明らかになる可能性があります。

保護のポイント

• API 関連の攻撃対象領域を追跡、プロファイルし、保護します。

• クラウドベースの API の成長と変化の傾向に対応するために、従来の制御および変更管理の戦略と方法を更新します。

• 企業は、異常な API トラフィックを継続的に監視し、ほぼリアルタイムで脆弱性を修正するための自動化テクノロジーを導入する必要があります。

• Open Cloud Computing Interface (OCCI) や Cloud Infrastructure Management Interface (CIMI) などのオープン API フレームワークの採用を検討します。

脅威3

誤った構成と不十分な変更管理

誤った構成とは、コンピューティング資産の誤った設定や不合理な設定を指し、偶発的な損傷や悪意のあるアクティビティに対して脆弱になります。よくある誤った構成には、安全でないデータ ストレージ要素またはコンテナーが含まれます。過剰な権限;デフォルトの資格情報と構成設定を変更しないままにします。標準的なセキュリティ制御を無効にする。パッチが適用されていないシステムログ記録または監視を無効にする。港およびサービスへの無制限のアクセス。秘密の安全でない管理;不適切な構成または構成検証の欠如。クラウド リソースの誤った構成はデータ侵害の主な原因であり、リソースの削除や変更、サービスの中断につながる可能性があります。

クラウド環境での変更管理が不適切だと、誤った構成が発生し、修復が妨げられる可能性があります。クラウド環境とクラウド コンピューティングのアプローチは、変更を制御するのがより困難であるという点で、従来の情報技術 (IT) とは異なります。従来の変更プロセスには複数の役割と権限が関係するため、有効になるまでに数日または数週間かかります。クラウド コンピューティングは、急速な変化に対応するために自動化、役割の拡張、アクセスに依存しているため、変化を制御することが困難です。さらに、複数のクラウド プロバイダーを使用すると、各プロバイダーの独自の機能がほぼ毎日強化および拡張されるため、複雑さが増します。この動的な環境では、変更管理と修復に対して俊敏かつ積極的なアプローチが必要です。

ビジネスへの影響

不適切な構成と不十分な変更管理の影響は次のとおりです。

• データの開示は機密性に影響を及ぼします。

• データ損失は可用性に影響します。

• データの破損は整合性に影響します。

• システムパフォーマンスは運用効率に影響します。

• 運用の持続可能性に影響を与えるシステムの中断

• 身代金要求は金銭的な影響を及ぼす。

• 違反や罰金によるコンプライアンスおよび財務上の影響

• 収入の損失

• 株価の下落

• 企業の評判への影響。

セキュリティインシデント

2021年1月7日、マイクロソフト社が大量のサードパーティデータを保存していたMicrosoft Azure Blob（クラウド）ストレージバケットの設定ミスにより、マイクロソフト社への協力を希望する企業の「プロモーション動画」やソースコード100本以上が公開された。

保護のポイント

• 企業は、脆弱性をリアルタイムで修正できるように、誤って構成されたリソースを継続的にスキャンする利用可能なテクノロジーを採用する必要があります。

• 変更管理アプローチでは、ビジネス変革とセキュリティ上の課題の動的な性質を反映し、リアルタイムの自動検証を使用して変更が適切に承認されるようにする必要があります。

脅威4

クラウドセキュリティアーキテクチャと戦略の欠如

クラウド セキュリティ戦略とアーキテクチャには、クラウド展開モデル、クラウド サービス モデル、クラウド サービス プロバイダー (CSP)、サービス リージョンの可用性ゾーン、特定のクラウド サービス、および一般原則の検討と選択が含まれます。さらに、さまざまなクラウド アカウント、ベンダー、サービス、環境にわたる IAM、ネットワーク、セキュリティ制御の先進的な設計も対象となります。戦略的な考慮はアーキテクチャ計画に先行し、アーキテクチャ設計を導く必要がありますが、クラウドの課題には、多くの場合、段階的かつアジャイルな計画アプローチが必要です。クラウド コンピューティングを成功させ、安全に保つには、セキュリティに関する考慮事項とリスクを無視することはできません。業界の侵害事例から、このような計画が欠如していると、クラウド環境やアプリケーションがサイバー攻撃に対して安全でない（または効果的に安全でない）状態になる可能性があることがわかっています。

ビジネスへの影響

クラウド セキュリティ戦略とアーキテクチャが欠如していると、効果的なエンタープライズおよびインフラストラクチャ セキュリティ アーキテクチャの実装の実現可能性が制限されます。これらのセキュリティ/コンプライアンス目標がなければ、クラウド コンピューティングは成功せず、コンプライアンス違反に対する罰金やその他の罰則が発生したり、不適切に実装されたリファクタリングや移行によって莫大なコストが発生したりする可能性があります。

セキュリティインシデント

2021年1月、ウォルマート傘下のアメリカの衣料品店ボノボスが大規模なデータ侵害に遭い、顧客の住所、電話番号、クレジットカード番号の一部、ウェブサイトでの注文など、数百万の顧客の個人情報が漏洩した。これは、バックアップ ファイルをホストする外部クラウド バックアップ サービスが侵害されたために発生しました。

保護のポイント

• 企業は、クラウド サービスとインフラストラクチャの設計と決定において、ビジネス目標、リスク、セキュリティの脅威、法令遵守を考慮する必要があります。

• クラウド環境では変化のペースが速く、集中管理が限られているため、クラウド サービスとインフラストラクチャのセキュリティ設計原則に従うことが開発にとってさらに重要になります。

• 脅威のモデリング、安全な設計、統合を補完する基本的なプラクティスとして、デューデリジェンスとサードパーティベンダーのセキュリティ評価を検討します。

脅威5

安全でないソフトウェア開発

ソフトウェア システムは複雑であり、クラウド テクノロジーによってその複雑さが増すことが多く、悪用や構成ミスの可能性が高まります。開発者は意図的に安全でないソフトウェアを作成するわけではありませんが、大手ソフトウェアベンダーは、システムの機密性、整合性、可用性に影響を与えるコードバグを修正するパッチを毎月リリースしています。すべてのソフトウェアのバグがセキュリティ上のリスクとなるわけではありませんが、歴史が証明しているように、小さなミスでも大きな脅威になる可能性があります。

ビジネスへの影響

安全でないソフトウェア開発によって生じる可能性のある影響には、次のようなものがあります。

• 顧客が製品やソリューションに対する信頼を失う。

• ブランドの評判にダメージを与えるデータ侵害

• 訴訟の法的および財務的影響。

セキュリティインシデント

2021年9月13日、研究者らは、Apple iOSがNSOのPegasusソフトウェアによって悪用され、リモートコード実行を可能にするゼロクリックの脆弱性が存在していることを発見した。

保護のポイント

• クラウド テクノロジーを使用すると、開発者はビジネス固有の問題に集中できます。

• 共有責任モデルを活用することで、修復などのプロジェクトを企業ではなくクラウド サービス プロバイダー (CSP) が所有できるようになります。

• CSP はセキュリティを重視しており、AWS Well-Architected フレームワークやセキュリティ設計パターンなど、サービスを安全に実装する方法に関するガイダンスを提供します。

脅威6

安全でないサプライチェーンシステム

クラウド コンピューティングの導入が急速に進む中、サードパーティのリソースは、オープン ソース コードから SaaS 製品や API のリスク、さらにはクラウド ベンダーが提供するマネージド サービスまで、さまざまな意味を持つ可能性があります。サードパーティからのリスクも、製品やサービスを提供する企業のプロセスの一部であるため、「サプライ チェーンの脆弱性」と見なされます。近年、サードパーティのサプライチェーン サービスへの依存が高まるにつれ、サイバー犯罪者がこれらの脆弱性を悪用するケースが増えています。調査によると、侵害の 2/3 はサプライヤーまたはサードパーティの脆弱性によって引き起こされています。

ビジネスへの影響

安全でないサプライ チェーン システムの主な影響は次のとおりです。

• クラウド内の重要なビジネス プロセスの損失または中断。

• クラウドビジネスデータは外部ユーザーによってアクセスされます。

• セキュリティ問題のパッチ適用や修正はプロバイダーとその対応速度に依存しますが、社内のアプリケーションや製品は継続的に更新する必要があります。脆弱なコンポーネントがアプリケーションにとってどれほど重要かに応じて、ビジネスへの影響は重大なものになる可能性があります。

セキュリティインシデント

フォルクスワーゲン グループの北米子会社は、2019 年 5 月から 2021 年 8 月の間にストレージ サービスを保護していなかったベンダーによるデータ侵害に見舞われました。このインシデントは 330 万人の顧客に影響を与え、漏洩したデータには個人を特定できる情報 (PII) や、一部の顧客の機密性の高い財務データが含まれていました。

保護のポイント

• 企業は、自社が作成していないコードや製品の脆弱性を防ぐことはできませんが、公式にサポートされている製品、コンプライアンス認証やバグ報奨金プログラムがあり、セキュリティアドバイザリや迅速な修正を提供している製品を探すなど、使用する製品について適切な決定を下すように努めることができます。

• オープンソース、SaaS 製品、クラウド プロバイダー、マネージド サービス、およびアプリケーションに追加されている可能性のあるその他の統合など、企業が使用しているサードパーティを特定して追跡します。

• サードパーティのリソースを定期的に確認します。不要な製品が見つかった場合は、それらを削除し、付与されている可能性のある権限（コード リポジトリ、インフラストラクチャ、アプリケーションへのアクセスなど）を取り消します。

• 弱いリンクにならないでください。該当する場合はエンタープライズ アプリケーションの侵入テストを実行し、開発者に安全なコーディング プラクティスを教育し、静的アプリケーション セキュリティ テスト (SAST) および動的アプリケーション セキュリティ テスト (DAST) ソリューションを使用します。

脅威7

システムの脆弱性

システムの脆弱性も、現在のクラウド サービス プラットフォームによく見られる欠陥です。攻撃者はこれを悪用してデータの機密性、整合性、可用性を侵害し、サービスの運用を妨害する可能性があります。すべてのコンポーネントに脆弱性が含まれている可能性があり、クラウド サービスが攻撃に対して脆弱になる可能性があることに注意することが重要です。これらのシステムの脆弱性は、主に次の 4 つのカテゴリに分類されます。

• ゼロデイ脆弱性 – 新たに発見された脆弱性で、まだパッチが開発されていないもの。パッチが展開されるまでハッカーを阻止するものがないため、ハッカーはこれらの脆弱性をすぐに悪用するでしょう。以前発見された Log4Shell は、ゼロデイ脆弱性の典型的な例です。

• セキュリティ パッチの不足 – パッチが適用されていない脆弱性の数が増えると、システム全体のセキュリティ リスクも増大します。そのため、既知の重大な脆弱性に対するパッチが利用可能になったら、できるだけ早くそれを導入することで、システムの攻撃対象領域を減らすことができます。

• 構成ベースの脆弱性 – システムがデフォルト設定または誤った設定で導入された場合に発生します。構成ベースの脆弱性の例としては、従来のセキュリティ プロトコルの使用、弱い暗号化パスワード、弱い権限、保護が不十分なシステム管理インターフェイスなどが挙げられます。さらに、システム上で不要なサービスを実行することも、構成に関連する問題です。

• 弱い認証またはデフォルトの資格情報 – 強力な認証資格情報がないと、潜在的な攻撃者がシステム リソースや関連データに簡単にアクセスできるようになります。同様に、安全に保存されていないパスワードはハッカーに盗まれ、システムへの侵入に使用される可能性があります。

ビジネスへの影響

クラウド コンピューティング システムの脆弱性がビジネスに与える影響には、次のようなものがあります。

• 多くのデータ侵害はシステムの脆弱性によって引き起こされます。

• データ侵害が発生すると、企業の業務が中断され、顧客による企業サービスの利用に影響が出る可能性があります。

• データ侵害などの問題に対処するために発生する追加の技術コスト。

セキュリティインシデント

2021 年 12 月に、Log4Shell (CVE-2021-45046) のリモート コードの脆弱性が発生し、Java ベースの Log4j ロギング ツール バージョン 2.0beta9-2.14.1 に影響を及ぼしました。クラウド システムで Java が広く使用されていることを考えると、Log4Shell は深刻な脅威となります。攻撃者は、脆弱なシステムに悪意のあるリクエストを送信して Log4Shell を悪用し、システムに任意のコードを実行させ、情報を盗んだり、ランサムウェアを起動したり、システムの制御を乗っ取ったりする可能性があります。

保護のポイント

• システムの脆弱性とは、通常は人為的なエラーによってもたらされるシステム コンポーネントの欠陥であり、ハッカーが企業のクラウド サービスを攻撃しやすくなります。したがって、「人間」の要素を強化することが重要です。企業は定期的にセキュリティのトレーニングと教育を実施できます。

• システムの脆弱性によって引き起こされるセキュリティ リスクは、定期的な脆弱性検出とパッチの展開、および厳格な IAM プラクティスによって大幅に軽減できます。

脅威8

クラウドコンピューティングデータの偶発的な漏洩

クラウド サービスにより、企業はこれまでにないスピードで構築、革新、拡張できるようになります。しかし、クラウドの複雑さとクラウド サービスの所有権への移行により、セキュリティのガバナンスと制御が不足することがよくあります。さまざまな CSP にわたるクラウド リソース構成の数が増えると、構成ミスが頻繁に発生し、クラウド インベントリとネットワークの可視性に対する透明性が欠如すると、偶発的なデータ漏洩につながる可能性があります。

ビジネスへの影響

予期しないデータ侵害によるビジネスへの影響には、次のようなものがあります。

• これらのデータには、機密性の高い顧客データ、従業員情報、製品データなどが含まれる場合があります。このようなデータが漏洩すると、フォレンジック チーム、顧客サポート プロセス、影響を受けた顧客への補償にかかる費用など、予期しない費用が発生する可能性があります。

• データ侵害は、内部調査やコミュニケーション、既存顧客の喪失、評判の低下による潜在顧客の喪失など、多くの間接的な追加コストも生み出します。

セキュリティインシデント

2021年1月、VIP Gamingはクラウド構成エラーにより、電子メール、ユーザー名、ソーシャル問題、ネットワークID、ネットワーク上のプレーヤーデータなど、6万人以上のユーザーの2,300万件の記録を公開しました。

保護の要点

• 構成ベースのソリューションでは必要な可視性の提供に制限があり、ワークロードを検査またはスキャンできないため、仮想マシン、コンテナー、およびそれらにインストールされているデータベース ソフトウェアを含む、マネージド サービスの PaaS データベース、ストレージ、コンピューティング ワークロードを確認する必要があります。

• ロードバランサー、アプリケーション ロードバランサー、コンテンツ配信ネットワーク (CDN)、ネットワーク ピアリング、クラウド ファイアウォール、Kubernetes ネットワークなど、トラフィックが外部に公開される可能性のあるルートやネットワーク サービスを識別するために、エンタープライズ クラウド環境を完全に可視化できるエンジンを選択します。

• データベースが最小権限の IAM ポリシーを実装していることを確認し、このポリシーの配布を制御および監視することでアクセス リスクを軽減します。

脅威9

クラウドワークロードの誤った構成と悪用

アプリケーションを実行するためのクラウド インフラストラクチャとセキュリティ制御の管理と拡張は、クラウド開発チームにとって依然として大きな課題です。サーバーレスおよびクラウドネイティブのコンテナ化されたワークロードは、責任をクラウド サービス プロバイダーに移すことで、この問題の万能薬となるようです。ただし、仮想マシンをクラウドに移行する場合よりも、クラウドとアプリケーションのセキュリティの成熟度がさらに高まります。

サーバーレス モデルでは、CSP が基盤となるインフラストラクチャのセキュリティと管理を担当します。開発と運用上の利点に加えて、CSP はデフォルトで関数コードを短命のコンテナで実行するので、攻撃対象領域も縮小されます。継続的に更新されるシステムにより、攻撃イベントの持続性が大幅に制限されます。ただし、CSP が顧客に対して、より長いライフサイクルと「ウォーム スタート」構成でサーバーレス コンテナを構成することを許可すると、環境のセキュリティが低下します。その他のリスクとしては、一時ファイルシステムや共有メモリなどがあり、機密情報が漏洩する可能性もあります。

インフラストラクチャに対する制御の欠如は、従来のセキュリティ ツールによるアプリケーション セキュリティの問題の軽減と可視性の実現を妨げます。企業は、攻撃範囲を縮小するために、クラウド環境、アプリケーション、視覚化、アクセス制御、シークレット管理を中心に強力なセキュリティを構築する必要があります。

ビジネスへの影響

サーバーレスおよびコンテナ化されたワークロードにより、クラウド コンピューティング アプリケーションの俊敏性が大幅に向上し、コストが削減され、運用が簡素化され、セキュリティも向上します。しかし、必要な専門知識とデューデリジェンスがなければ、これらのテクノロジーを使用して実装されたアプリケーション構成により、重大な侵害、データ損失、さらにはビジネスのキャッシュフローの枯渇が発生する可能性があります。

セキュリティインシデント

2021 年以降、ウォレット拒否 (DOW) 攻撃に関連するクラウド セキュリティ インシデントがますます増加しています。 DoW 攻撃は、どちらも損害を与えることを目的としている点で、従来のサービス拒否 (DoS) 攻撃と似ています。ただし、DoW 攻撃は特にサーバーレス ユーザーをターゲットにしています。この攻撃は、サーバーレスベンダーがアプリケーションが消費するリソースの量に基づいてユーザーに料金を請求するという事実を悪用します。つまり、攻撃者がウェブサイトに大量のトラフィックを流した場合、ウェブサイトの所有者は多額の請求を受ける可能性があります。

保護のポイント

• 企業は、クラウド セキュリティ ポスチャ管理 (CSPM)、クラウド インフラストラクチャ認証管理 (CIEM)、クラウド ワークロード保護プラットフォーム (CWPP) を通じて自動チェックを実装する必要があります。

• 企業は、安全でないクラウド構成のリスクと頻度を減らすために、クラウド セキュリティのトレーニング、ガバナンス プロセス、再利用可能な安全なクラウド アーキテクチャ パターンに投資する必要があります。

• 開発チームは、サーバーレス テクノロジーに移行する前に、セキュリティ関連のベスト プラクティスをより厳密に遵守する必要があります。

脅威10

組織犯罪集団とAPT攻撃

組織犯罪グループは、犯罪グループの組織レベルを説明することを目的としています。 APT (Advanced Persistent Threat) は、機密性の高いデータを盗み出すためにネットワーク上で長期にわたって違法行為を行う侵入者または侵入者グループを表すために使用される広義の用語です。 APT は、標的に侵入するための高度な戦術、技術、プロトコル (TTP) を確立しています。多くの場合、攻撃者は標的のネットワーク内で何ヶ月も検出されずに残り、ネットワーク内を横方向に移動して機密性の高いビジネス データや資産にアクセスすることができます。

ビジネスへの影響

• APT グループの動機はさまざまです。中には政治的な動機を持つもの（ハクティビストなど）もあれば、組織犯罪グループに所属するものもあり、国家主体のハッカーグループも存在します。

• APT 組織が企業に及ぼす可能性のあるビジネス影響を理解するには、企業は情報資産に対するビジネス影響分析を実施する必要があります。これにより、企業は、APT グループが自社を標的にする方法と理由、および潜在的なセキュリティ侵害がビジネスにどのような影響を与える可能性があるかを理解できるようになります。

セキュリティインシデント

2016年2月、ラザルスグループ（APT38）はバングラデシュ国立銀行をほぼ完全に強盗しました。 2022年1月、LAPSUS$はNvidiaの内部ネットワークに侵入し、機密データを盗みました。同グループは、Nvidiaからデータを強奪するのではなく、暗号通貨マイニングに使用されるグラフィック処理装置に対する制限の解除を要求している。

保護のポイント

• 企業の情報資産を理解するために、企業に対するビジネス影響分析を実施します。

• サイバーセキュリティ情報共有グループに参加し、関連する APT グループとその TTP (戦術、技術、手順) について学習します。

• これらの APT グループの TTP をシミュレートするための攻撃的なセキュリティ演習を実施し、セキュリティ監視ツールを調整してそれらを検出します。

脅威11

安全でないクラウドデータストレージ

クラウド ストレージのデータ侵害は、機密情報、保護情報、または秘密情報に関わる重大なセキュリティ インシデントです。このデータは、企業外の個人によって公開、閲覧、盗難、または使用される可能性があります。クラウド ストレージ データは標的型攻撃の最大のターゲットの 1 つであり、脆弱性の悪用、構成ミス、アプリケーションの脆弱性、セキュリティ対策の不備などが原因で発生する可能性があります。このタイプのデータ侵害には、個人の健康情報、財務情報、個人を特定できる情報、企業秘密、知的財産など、公開を意図していないあらゆる種類の情報が含まれる可能性があります。

ビジネスへの影響

クラウド ストレージのデータ漏洩によってビジネスに生じる可能性のある影響には、次のようなものがあります。

• 他の製品開発、戦略計画、さらには将来の攻撃の開始に使用できる可能性のある知的財産の損失。

• 顧客、利害関係者、パートナー、従業員間の信頼が失われ、ビジネス行動、投資、購入が阻害され、従業員のビジネスへの就業意欲が低下する可能性があります。

• 金銭的罰則やプロセスおよび業務の変更を含む、より厳格な規制。

• 地政学的要因は企業行動に影響を与えます。

セキュリティインシデント

2021年6月、Facebookは大規模なユーザーデータ漏洩で欧州で訴えられたが、5億3300万件以上のアカウント情報がダークウェブフォーラムで無料でダウンロードできることが判明するまで、この事件は明るみに出なかった。

保護のポイント

• クラウド ストレージには適切に構成された環境が必要です (SSPM、CSPM)。

• CSP のベスト プラクティス ガイダンス、監視、検出機能を適用して、攻撃やデータ侵害を検出し防止します。

• データはさまざまな場所に分散され、さまざまな役割によって管理されるため、従業員はクラウド ストレージの使用に関するセキュリティ意識についてトレーニングを受ける必要があります。

• 適切な場合にはクライアント側の暗号化を実装する。

• データを分類し、インシデントに対応して実行されたアクションを文書化します。