SANS 2022 クラウド セキュリティ調査によるクラウド脅威の進化

過去数年間、クラウドセキュリティの分野では多くの問題が露呈し、いくつかのセキュリティインシデントが発生しました。AWS では 3 回以上の深刻な障害が発生し、Roku、デルタ航空、Disney+ などの有名な Web サイトが数時間にわたって利用できなくなりました。 Microsoft の高リスクのセキュリティ脆弱性 (「NotLegit」と呼ばれる) により、数百のソース コード リポジトリが公開されました... クラウド サービス プロバイダーの停止、機密データの漏洩、クラウド資産の脆弱性、パブリック クラウド環境の使用に関連する違反が次々と発生しています。

しかし、セキュリティ上の問題がすべてあるにもかかわらず、ワークロードをクラウドに移行し、クラウドで新しいアプリケーションを構築し、さまざまな SaaS やその他のクラウド サービスに加入することがトレンドとなり、急速に増加しています。このほど、調査機関SANSは「2022年クラウドセキュリティ調査レポート」（以下、「レポート」）を発表しました。このレポートは、世界中の企業組織がクラウドのセキュリティチームが直面する脅威、クラウドの使用方法、クラウドのセキュリティを向上させるためにどのような対策を講じることができるかを理解できるようにすることを目的としています。

レポートによると、現在、クラウド セキュリティの分野における経営陣とベンダーの知識レベル、およびそれらが提供するツールとサービスは、どちらもある程度向上しています。しかし、全体的な進歩は遅い。企業組織は、急速に変化するサービスに対応するために、より優れた自動化機能を必要としており、また、絶えず変化するクラウドの脅威の状況に対処するために、より優れた集中型ツールとサービスを使用する必要もあります。

レポートでは、次のことも明らかになりました。サーバーレスは、インフラストラクチャ・アズ・コード (IaC) を上回り、セキュリティ自動化テクノロジーのトップになりました。回答者の半数以上が、クラウド ID 管理とアカウント制御を強化するために、社内の ID ディレクトリをクラウドベースのディレクトリ サービスと同期しています。 2021年からの意外な変化として、フォレンジックのためのログやシステム情報の取得に不満を感じている回答者が増えました。

クラウドの使用パターン

クラウドの使用パターンでは、ビジネス アプリケーションとデータが 68% でトップとなり、これが 3 回目のトップとなりました。次いでバックアップと災害復旧が57%を占めていますが、2021年の調査では4位に留まっており、この順位の上昇はランサムウェア攻撃によるものと考えられます。セキュリティ サービス (54%) とデータ ストレージおよびアーカイブ (42%) は、今年はそれぞれ 3 位と 4 位にランクされました。これは、クラウドの利用とランサムウェア攻撃の増加によっても推進されている可能性があります (詳細については、図 1 を参照)。

図1: パブリッククラウドにおけるさまざまなアプリケーションとサービスのシェア

今年の調査では、組織が使用しているパブリック クラウド プロバイダーの数も昨年とほぼ同じであることが示されています。 2019 年、最も多かった回答カテゴリーは 2 ～ 3 プロバイダーであり、その数は安定しています。小規模な組織は依然としてマルチクラウド展開への移行に消極的であり、20 を超えるクラウド プロバイダーを使用している組織は少数派に過ぎず、これは前回の調査と一致しています。興味深いことに、2021 年には 11 ～ 20 のプロバイダーを使用している組織はわずか 3% でしたが、この数は 2022 年には 9% に急増しました。2021 年には 4 ～ 6 のプロバイダーを使用している組織は 16% 強でしたが、2022 年には 23% に増加しました (図 2 を参照)。

図2: 現在組織が使用しているパブリッククラウドプロバイダーの数の分布

クラウド アプリケーションとマルチクラウド展開 (特にエンド ユーザー向け) の使用が増加するにつれて、回答者の 53% がクラウド アクセス セキュリティ ブローカー (CASB) を使用していると回答しており、これは 2021 年の 43% から大幅に増加しています。回答者の組織の 49% がクラウド ネットワーク アクセス サービスを活用しています。また、46% は、クラウド アプリケーションへのユーザー アクセスと認証を一元化するためにフェデレーション ID サービスも使用しています。プラットフォーム・アズ・ア・サービス (PaaS)、インフラストラクチャ・アズ・ア・サービス (IaaS)、およびその他のサービス プロバイダー環境へのアクセスを一元化するためにマルチクラウド ブローカーを採用している組織は多くありませんが、この数は 2021 年の 18% から 2022 年には 25% に増加すると予想されます。新しいセキュア アクセス サービス エッジ (SASE) カテゴリは、多数のセキュリティ サービスを中央プロキシ モデルに統合し、18% の採用率を達成しました。

クラウドにおける懸念、リスク、ガバナンス

クラウドでホストされる機密データの種類では、ビジネス インテリジェンス (46%) が昨年の 2 位から今年は 3 位に下がりました。 2022 年に最も多く使用されるデータの種類は金融ビジネスデータで、54% を占めています。一方、従業員データは2021年に53%のシェアで第1位となり、今年は49%のシェアで第2位となった。全体的に、データの種類には若干の変化がありましたが、ここでの一般的な傾向は、以前に観察されたものと非常に似ています。約半数の組織が、さまざまな機密データをクラウドに保存する意向を示していますが、顧客の支払いカード情報 (22%) や医療情報 (23%) など、より厳しく規制されている特定のデータ タイプが保存される可能性は低くなっています (図 3 を参照)。

図3: クラウド内の機密データの種類の分布

EU 一般データ保護規則 (GDPR) などのプライバシー規制が既存または計画中のクラウド戦略に影響を与えているかどうかを尋ねたところ、ほぼ 3 分の 2 (62%) が「はい」と回答しました。これは 2021 年の 55% から増加しています。特定のデータ タイプ、特に消費者の個人データについては、組織はクラウド プロバイダーがプライバシー コンプライアンスのニーズに適切に対応できることを確認する必要があります。この成長傾向は昨年に比べて継続する可能性が高い。

「クラウドにおける最大の懸念」という点では、過去数年間、部外者によるデータへの不正アクセスが一貫して最大の懸念事項となってきました。しかし、今年は状況が大きく変わり、不正アクセスは 4 位 (51%) に留まり、続いて不正なアプリケーション コンポーネントまたはコンピューティング インスタンス (54%、1 位)、不適切に構成されたインターフェイスおよび API (52%、2 位)、インシデントに対応できないこと (51%、3 位) となりました。この変化は、組織がクラウド ロックインに慣れつつある一方で、シャドー IT や構成ミスの問題を以前よりも懸念していることを示唆しています。

最も「実現した」問題は、必要なときにクラウド サービスがダウンしたり利用できないこと (32%)、スキルとトレーニングの不足 (31%)、不正な外部アクセス (28%) です。これらの「既存の」問題は業界全体に存在しており、長い間続いています。クラウド環境が拡大し、より複雑になるにつれて、直接的な侵入がない場合でも、クラウド API とアプリケーション コンポーネントに対する認識と可視性の欠如が、さらなる懸念につながる可能性があると考えられます。しかし、侵入は発生しており、回答者が侵入シナリオを管理できないことに対する高いレベルの懸念が続くと思われます。 「懸念事項」と「実際のインシデント」の詳細な内訳については、図 4 を参照してください。

図4：「懸念」（青）と「実際の出来事」（赤）の詳細な内訳

また、この調査では、回答者の 62% がリモート ワーク シナリオによってクラウド導入に対するリスクと脅威が増大すると考えている一方で、29% は増大しないと答え、約 10% は不明であると回答しました。リスクが増大していると考える人のうち、最も多く挙げられた理由は、監督と監視機能の欠如（35%）であり、次いでリモートユーザーによる侵入（33%）となっています。その他の理由としては、構成エラー（29%）や未熟な制御とプロセス（20%）などが挙げられます。

クラウドの導入には常に侵害に関する懸念が生じますが、そうした懸念にもかかわらず、データによれば、過去 12 か月間で既知の侵害の割合はほとんど変わっていません。回答者の約19％が実際に侵害を経験したと答えており、これは2021年の結果とほぼ同じです。ただし、過去と比較して「不確実性」の割合が大幅に増加しているため、この割合はさらに高くなる可能性があります。2022年の回答者の21％がハッキングされた可能性があると「疑っている」が、それを証明できないのに対し、2021年には17％でした。

侵害の原因については、今年最も多かった回答はアカウント/認証情報の乗っ取り（45%）とクラウド サービス/リソースの誤った構成（43%）であり、これは過去 2 回の調査と一貫した結果となっています。 2021 年に 3 番目に大きな懸念事項は安全でないインターフェースまたは API (36%) でしたが、今年はこれらの API の悪用が 3 番目に大きな懸念事項 (34%) となりました。サービス拒否 (DoS) 攻撃は 2021 年の 30% から 26% に減少しました (小さな変化ですが注目に値します)。図 5 は、クラウド攻撃に関係する要因の完全な内訳を示しています。

図5: クラウド攻撃に関与する要因の分布

これらの変化は、クラウドの性質の変化と、利用可能なプロバイダーとコントロールの成熟度を反映していると考えられます。多くの制御要素はパブリック クラウド プロバイダーによって完全に管理されるため、このレイヤーの攻撃対象領域は大幅に削減されます。 DDoS 攻撃は依然として発生していますが、パブリック クラウド プロバイダーとサードパーティ サービスがここ数年で人気を博し、DDoS 保護が改善されたため、侵入シナリオで DDoS 攻撃が発生する頻度は低下しているようです。しかし、資格情報の保護は依然として不十分であり、クラウド リソースの誤った構成は依然として重大な問題です。

クラウドにおけるセキュリティとガバナンス

クラウドの使用が拡大するにつれて、組織はプロセスとガバナンス モデルを開発および強化する必要があります。ここでは進歩が見られました。組織の 77% がクラウド セキュリティとガバナンスのポリシーを導入しており、2021 年には 69% でした。一方、「ポリシーがない」と回答した回答者の数は、2021 年の 23% から 15% に減少しました。これは、組織がクラウド セキュリティの責任をクラウド プロバイダーと共有するために、ガバナンスとポリシー プログラムを着実に改善および強化していることを示しています。適切な監視とガバナンスのメカニズムがなければ、多くのクラウド プログラムはシャドー IT、構成の問題、クラウドの可視性の欠如に悩まされ続けます。

過去数年間、組織はクラウド展開向けの最も一般的なセキュリティ制御のいくつかを着実に実装しており、これらの制御の多くは、オンプレミスまたは直接管理されたスタンドアロン プラットフォームではなく、PaaS/IaaS 環境でのセキュリティ アズ ア サービス (SecaaS) サービスとしても利用できるようになりました。 2021 年現在、VPN (45%) は最もうまく実装されている社内管理ツールのままですが、従来の VPN を管理している組織は以前よりも少なくなっています。 2021 年には、ネットワーク アクセス制御、脆弱性スキャン、ウイルス対策ソフトウェアも、組織が組織内で管理するための優れた制御として宣伝されましたが、今年はログとイベントの管理、多要素認証も増加しました。

今年の調査で上位にランクされた SeCaaS サービスは多要素認証とウイルス対策であり、CASB の実装は減少しました。クラウド内のコントロールの完全な分布を図 6 に示します。

図 6: クラウド内のコントロールの完全な分散、統合管理コントロール (青)、SeCaaS (赤)、両方 (緑)

数字はおおむね肯定的で、クラウドベースの SeCaaS ツール (これらのサービスのほとんどは 2021 年に 10 ～ 15% の範囲でしたが、現在ではいくつかが 20% を超えています) とハイブリッド オプションの使用が増加していることを示しています。さらに、クラウド API の使用と統合も増加しています。 2021 年には、回答者の 51% がセキュリティ制御 (自動化とクラウド セキュリティの成熟度の重要な要素) を実装するためにクラウド プロバイダー API を活用していると回答し、現在その数は 61% にまで増加しています。これらの API を活用する場合、最も一般的なコントロールは ID およびアクセス管理 (2021 年の第 2 位から第 1 位に上昇) であり、次に構成管理、ログ記録およびインシデント管理が続きます。完全な分布は図 7 に示されています。

図7: API統合クラウドセキュリティ制御と完全に分散された機能

ほとんどの場合、組織は依然として多くの制御を社内で管理していますが、これも徐々に変化しています。ただし、組織は従来のオンプレミス環境とクラウド環境の間でいくつかの制御を統合し、ハイブリッド クラウド セキュリティ モデルを作成することに成功しています。調査では、回答者の約 67% が、組織がウイルス対策ソフトウェア ツールを正常に統合していると信じており (2021 年の 64% から増加)、63% が、組織が多要素認証を統合していると信じており、53% が、脆弱性管理がハイブリッド モデルで適切に統合されていると信じており、約 51% の回答者が、ネットワーク アクセス制御を統合していると確信していました (以前は 47%)。強力なハイブリッド統合を示すその他の技術分野には、EDR、暗号化、IDS/IPS などがあります。ハイブリッド制御統合の完全な分布を図 8 に示します。

図8: ハイブリッド制御統合の完全な分布、青は現在、赤は今後12か月

「今後 12 か月以内にどのコントロールを統合する予定ですか?」と質問されたとき、 35% がフォレンジックとインシデント対応 (IR) ツールの統合を計画していると回答し、33% がクラウド リスク評価ツールの統合を計画しており、インシデント管理と SIEM プラットフォームが 3 位にランクされました。これは、多くのチームにとって長い間未熟な制御とプロセスの領域であった検出とインシデント対応に組織がより重点を置いていることを示唆していますが、クラウド リスクへの重点が高いことは、企業が「クラウド中心」のレポートと制御分析も必要としていることを示唆しています。

クラウド セキュリティ体制を改善するために自動化およびオーケストレーション ツールを使用しているかどうかを尋ねたところ、ほとんどのセキュリティ チームは、自動化された制御と監視ポリシーの使用を増やしていると回答しました。この傾向は数年にわたって続いています。昨年の調査で最もよく使用されたツールは、IaC を実装するためのテンプレート テクノロジー (AWS CloudFormation、Azure Resource Manager テンプレート、Terraform など) でした。今年の調査では、これらの IaC ツールは依然として頻繁に使用されています (54%) が、サーバーレス テクノロジーに置き換えられています (55%)。

全体的に、自動化およびオーケストレーション ツールの使用は全面的に増加しており、組織がクラウド導入の速度と効率を向上させるにつれて、この傾向は続くと予想されます。現在使用されている自動化/オーケストレーション ツール/方法の完全な内訳については、図 9 を参照してください。

図9: 自動化/オーケストレーションツール/方法の完全な内訳

クラウド ID およびアクセス管理 (IAM)

クラウド実装（エンドユーザー サービスとクラウド インフラストラクチャおよびアプリケーションの展開の両方）における ID の重要性を考慮して、セキュリティ チームにクラウドでの ID 機能とツールをどのように活用しているかを尋ねました。回答者の半数以上 (53%) が、Active Directory などの ID ストアをクラウド ディレクトリ サービスに同期し、他のクラウド サービスとのフェデレーションと、クラウド資産へのユーザー アクセスの制御の柔軟性の向上を実現しています。回答者の約 38% が、クラウド プロバイダーが提供する ID に ID をマッピングしており、3 分の 1 以上がフェデレーションとシングル サインオン (SSO) に ID サービス (IDaaS) を使用しています。その他の企業では、オンプレミスの ID スイートを活用してハイブリッド クラウドを統合したり、IAM ポリシーを利用してクラウド内のオブジェクト アクセスと動作を制御したりしています (図 10 を参照)。

図 10: 調査対象組織がクラウドのアイデンティティ機能とツールをどのように活用しているかの分布