パブリッククラウドのセキュリティは依然として組織にとって大きな懸念事項である

パブリック クラウドの導入に対する最大の脅威は、不注意なユーザー、脆弱な構成、そしてキル チェーンを経由してクラウド プラットフォームに侵入し、アクセスするサイバー攻撃です。

[[272724]]

導入率の上昇と大きなメリットにもかかわらず、多くの組織はパブリック クラウド上で資産をホストすることに依然として懸念を抱いています。

最近のいくつかの調査報告では、こうした懸念が強調されています。 Cyber​​security Insiders と ISC2 による 2019 年クラウド セキュリティ レポートによると、組織の 93% がパブリック クラウドのセキュリティについて中程度から極度の懸念を抱いていることがわかりました。 Bitglass が最近発表したクラウド セキュリティ レポートでは、回答者の 90% 以上がパブリック クラウドのセキュリティについて懸念を表明しました。

両方のレポート、およびCyber​​security Insidersが執筆しCheck Pointがスポンサーとなった別のレポートでは、組織がなぜそれほど懸念しているのかが詳しく説明されています。

これらのレポートには、回答者がパブリック クラウドの導入に対する最大の脅威と見なすものに関する同様のリストが含まれています。主な問題としては、データの損失や漏洩、不正アクセス、クラウド プラットフォームの誤った構成などが挙げられます。その他には、外部データ共有、可視性の欠如、悪意のある内部者、マルウェア/ランサムウェア、データプライバシー、コンプライアンス、データ主権などがあります。

エンタープライズ・ストラテジー・グループのシニア主席アナリスト、ジョン・オルトシク氏は、この調査結果は驚くべきものではないと述べた。

「セキュリティインシデントは常に発生しており、エラーの可能性が高まる可能性がある」と彼は述べた。 「たとえば、コンテナでアプリケーションをホストしている場合は、コンテナの脆弱性と攻撃ベクトルを理解する必要があります。サーバーレス モデルを使用している場合にも同じことが起きる可能性があります。セキュリティ制御を配置する場所と監視する必要があるものがすべて変わります。」

オルツィク氏は、導入を妨げる最大のパブリッククラウド セキュリティの脅威を、少し異なる方法で説明し、不注意なユーザー、脆弱な構成、キル チェーンを越えてクラウドに侵入してアクセスする攻撃に絞り込むと述べました。

彼は、知識不足のためか、単に気にかけないからか、不注意なユーザーは常に存在するだろうと述べた。 OLTSik は、ユーザーを教育するだけでなく、悪意のある、疑わしい、または不注意な行動を識別できる方法でユーザーを監視することの重要性を常に強調しています。これを実現する最善の方法としては、最小権限、ロールベースのアクセス制御、強力な認証を通じてユーザーが実行できる操作を制限することが挙げられます。彼は、ユーザー行動分析ツールと行動監視ツールの使用、そして適切な ID およびアクセス管理 (IAM) の実践を推奨しています。

「SIEM（セキュリティ情報およびイベント管理）を使用して相関ルールを作成し、誰かがステップ1、2、3を続けて実行している場合はエラーであると判断することもできます」と同氏は付け加えた。

脆弱な構成に対処するために、Oltsik 氏はスキャンおよび分析ツールを実装することを推奨しています。 「例えば、S3 バケットが誰も認証しないようにすることが数年前のデフォルト設定であり、多くの人がトラブルに巻き込まれた」と同氏は語った。

パブリック クラウド セキュリティに関する最後の疑問は、サイバー攻撃が「キル チェーン」を越えてクラウド プラットフォームに侵入し、機密データにアクセスする可能性があることです。これは大きな問題です。オルツィク氏が説明したように、ハッカーはクラウド コンピューティングをローカル データにアクセスする手段として利用したり、フィッシング、ソーシャル メディア、その他の攻撃を通じてユーザーを侵害したりして、そのベクトルを使用してクラウド内のデータにアクセスします。 「これは複雑な問題だが、解決方法はある」と彼は語った。

「企業は、異常を発見し、それが下流のアプリケーションやデータにどのような影響を与えるかを理解するために、ユーザーや開発者が何をしているか、そして正常な動作は何かを理解する必要がある」と彼は説明した。 「言い換えれば、キルチェーン、つまり、ある場所で起こったことが別の場所で起こることにどう影響するかを理解する必要があるのです。」

同氏は、キルチェーンを理解し監視する最良の方法の 1 つは、攻撃者が組織に対して侵入を行う際に使用する戦術と手法の知識ベースである Mitre Attack Framework を使用することだと付け加えた。

レガシーセキュリティツールの問題点

3 つの調査レポートはすべて、オンプレミス環境向けに設計されたセキュリティ ツールは、本質的にクラウド環境に移植可能ではないという事実を強調しています。 Check Point の調査レポートには、「従来のセキュリティ ツールは、クラウド コンピューティングの動的で分散された仮想環境向けに設計されていません。回答者の 66% は、従来のセキュリティ ソリューションはクラウド コンピューティング環境ではまったく機能しないか、機能が限られていると回答しています。」と記載されています。

「それは本当だ。しかし、それに対処する方法はある」とオルツィク氏は語った。たとえば、オンプレミスのセキュリティ ツールに多額の投資を行った組織は、それらのツールを廃棄して新しいツールを購入することを望まないかもしれません。代わりに、クラウドにエージェントを展開して、従来のセキュリティ制御とクラウド セキュリティ制御のハイブリッド ツールを作成できます。

しかし、それは一時的な対策です。 ESG の調査によると、企業は、従来のツールと統合される限り、クラウド専用に構築されたツールを好むことがわかりました。

「多くの企業はポリシーの重複やデータ収集、ルールの強制を望んでいません。しかし、クラウドは異なる環境であり、監視や制御の方法も異なるため、全体的なセキュリティ戦略に適合する限り、さまざまなモデルを受け入れる必要があります」とオルツィク氏は述べた。

しかし、長期的には（一般的には3年以内）、企業は統合を推進するでしょう。

「今日では、オンプレミスのデータセンターや複数のクラウドのアプリケーションに投資することは珍しいことではありません」とオルトシック氏は語った。 「これからは異種混合の世界になります。つまり、常にすべての環境に適応できるセキュリティ ツールが必要になります。データとワークロードの場所に基づいてルールを記述しなくても、ワークロードとデータにアクセスできるようにする必要があります。」

ESG は、企業はスタンドアロンのクラウド セキュリティ ツールから始めて、数年かけてそれを自社の環境に統合する傾向があることを発見しました。 「シスコ、パロアルト、チェックポイントなどのベンダーがクラウドコンピューティングツールを取得し、自社のアーキテクチャに統合しているのはそのためだ」と同氏は語った。