クラウド構成エラーは、主に企業のIT管理者のせいにされる

クラウド セキュリティに関しては、特に組織が最小権限アクセス モデルから逸脱した場合、従業員は組織にとって最大の敵になる可能性があります。

データ侵害は最近、業界メディアで大きな注目を集めており、不適切なクラウド構成が原因とされることが多く、投票記録、Verizon の顧客データ、さらには軍事機密がクラウド ストレージに漏洩する事態につながっています。

クラウド セキュリティに関する次の Q&A では、BetterCloud の CEO 兼創設者である David Politis が、SaaS セキュリティ インシデントが大きなニュースになる理由と、企業がこれらのクラウド構成エラーを制御してデータを保護する方法について説明します。

[[238601]]

最近、クラウド コンピューティングの誤った構成が原因でデータ侵害が発生したという報告が多数あります。これは新たな問題だと思いますか、それとも深刻化した問題だと思いますか?

David Politis:この問題は、SaaS アプリケーションの導入が始まった頃から存在していました。しかし、多くの場合、設定ミスは手遅れになるまで特定されないため、今になってようやく注目を集めるようになりました。ほとんどの場合、ビジネス構成は、標準アプリケーションが展開されたとき、または設定が数年前または 6 か月前に変更されたときにすでに設定されており、組織は、何らかの侵害が発生するまでその構成に注意を払い始めませんでした。

たとえば、一部のお客様と話し合ったあるケースでは、3 年前に管理者が多すぎるために X、Y、Z の問題が発生するとお客様に伝えましたが、これらの問題は 3 年間放置されていました。しかし突然、これらの企業の全従業員の連絡先が漏洩するという問題が発生しました。この企業は従業員数が 10,000 人であり、この期間中、この企業の全従業員がすべての電子メール配信リストにアクセスできました。

さらに、最近、別のクライアントから「弊社のスーパー管理者が誤って社内の従業員プロファイルの 3 分の 1 を削除してしまった」という報告がありました。同社には約3,000人の従業員がいるが、そのうち3分の1の従業員のプロフィールには電子メールのみが残っており、ファイルや予定表などの他の情報はなかったため、これらの人々が解雇されたと他人は信じていた。

この期間中、従業員はいかなる情報やデータにもアクセスできなかったため解雇されたと考えていました。関連するアプリケーションを復元する必要がありました。 1,000 人の従業員にとって、この 15 分間のダウンタイムに対処するのは混乱を招きました。

私たちはこのような種類の事件が起こるのを見てきました。それが、データ セキュリティ会社を設立した理由です。しかし、現在になってようやく、こうした SaaS アプリケーションの導入が増加し、こうした問題が大規模に発生し、メディアで取り上げられるようになりました。

クラウドの誤った構成によって発生する可能性のあるさまざまな SaaS セキュリティの問題について言及しました。これらのデータ侵害はより大きな問題を隠蔽しているのでしょうか?

Politis:むしろ、不注意によるミスが、非常に困難を極めたのです。これは悪意のある行為ではありません。悪意のある攻撃はあるものの、こうした状況の多くは悪意のあるものではありません。これは設定ミスか、誰かが犯した単なる一般的なミスのどちらかです。ユーザーを削除することさえも、管理者が最小権限モデルに従うようにアプリケーションを構成する方法を理解していないため、単に管理者のミスの結果です。

たとえそれが単なるミスであったとしても、SaaS アプリケーションの使用方法が転換点に達したため、漏洩したデータの種類はおそらく最も機密性の高いデータだったと思います。多くの場合、クラウド コンピューティングは記録システムとして使用されます。 5 年前を振り返ると、一般的にクラウドは重要な記録を保存するためのシステムとは考えられていませんでした。一部のもの、おそらく一部の設計ファイルなどをクラウドに保存するのは小さな対策ですが、現在では多くの企業が人事などの重要なファイルをクラウドに保存しています。

最近、クライアントのセキュリティ評価を実施したところ、すべての人事文書がクラウド ストレージ システムのパブリック フォルダーに保存されていることが判明しました。そして、クライアント企業の従業員によると、この設定は決して悪意のあるものではなかったが、行うべきではなかったとのことでした。従業員の身元調査などの文書は公開されているファイルです。これらの資料は、見つける方法を知っていれば他の人も利用できます。

これは、企業の従業員データが 15 分間削除されるよりも悪いことだと思います。そしてそれは完全に間違っています。私たちは、これらのクラウドベースのシステムにあまり精通していない人事リーダーを持つクライアントと話をしました。単にフォルダ レベルで何かを誤って構成しただけで、そのフォルダに追加したすべてのファイルが外部に公開されてしまいました。しかし、これはおそらくもっと危険だと考えています。なぜなら、おそらくこれは毎日のように起こっていることであり、このような間違った行動を捕まえるのは実際には非常に難しいと思うからです。

すべての企業は、どこかにクラウド構成エラーがあると考えていますか?これらの問題を見つけるのはどれくらい難しいでしょうか?

Politis:私たちの経験では、調査したエンタープライズ クラウド環境の 10 件中 9 件に構成エラーがあり、組織の規模に関係なく、環境のどこかに重大な構成ミスが存在します。ほとんどの場合、誤った構成を見つけることは可能ですが、それは干し草の山から針を探すようなものです。管理コンソールでページごとに移動するしか方法がないために、時間がかかります。すべての設定をクリックして、すべてのグループ、すべてのチャネル、すべてのフォルダーを確認します。したがって、今すぐにプログラムで実行しない限り、これを実行するより良い方法はありません。

私たちはこうした盲点を特定するために会社を設立しました。これは本当に必要なことだからです。これらの環境を確認し、Salesforce、Slack、Dropbox、Google にログインし始めると、数百人の従業員がいる環境を調べるのに数か月かかることがあり、そのためにはすべての構成と、構成ミスが問題になる可能性のあるさまざまな領域をすべてチェックする必要があります。

今日の人々が使用しなければならない方法は、手動操作によってそれを完了することです。組織の規模、SaaS アプリケーションの使用期間、通常使用するクラウドの数、管理しなければならないデータの拡散、そしてさらに重要な、すべての SaaS に分散される権限、構成設定、およびアクセス許可によっては、これには長い時間がかかる場合があります。

これらの問題の大部分は IT チームの責任ではないことがわかります。多くの場合、SaaS アプリケーションは IT 組織や IT リーダーがオンボーディングされるよりも長く存在するため、誤った構成は IT 組織より前から存在している可能性があります。

多くの場合、エンドユーザーはこれらのアプリケーションを細かく制御できるため、誤った構成を行う可能性があります。これは、シャドー IT を有効にし、シャドー IT によって特定の方法で構成されたものである可能性があります。アプリケーションが IT 組織に引き継がれると、構成のクリーンアップの多くが実行されないため、IT チームが持つポリシーに適合しなくなります。

また、販売業務を担当する必要があるため管理者が多すぎるクライアントも多く、一般的には全員を管理者にして自分で変更できるようにする方が簡単です。しかし、IT チームが Salesforce のセキュリティと管理を公然と引き継ぐ場合、すべての誤った構成を見つけるために必要な作業は非常に困難になります。これは、Dropbox、Slack、そして多くの企業が遭遇するシャドー IT に関連するあらゆるものに当てはまります。