IaaS: クラウド セキュリティの新たな章

製造業から金融サービス、公共部門に至るまで、さまざまな業界の企業が重要なデータをクラウド サービス プロバイダーに信頼して預けており、Office 365 や Salesforce などの SaaS (Software as a Service) アプリケーションの急速な成長は信頼にかかっています。しかし、IT セキュリティ専門家がクラウド サービス プロバイダーが従来のソフトウェアと同等かそれ以上のセキュリティを実現できると判断するまで、SaaS の採用率は低いままでした。主な課題は依然として企業側にあり、ガートナーはクラウド セキュリティ インシデントの 95% がユーザー エラーであると予測しています。

[[210403]]

現在、Infrastructure as a Service (IaaS) を中心に、クラウド導入の第 2 波が急速に広がっています。 IaaS の場合、企業は共有責任モデルを使用してセキュリティ アプローチを更新する必要があります。

IaaSの共有責任モデルを更新する

クラウド ファーストの企業は、Office 365 コラボレーション、Workday HR、Salesforce 顧客関係管理など、さまざまな機能に SaaS ツールを使用しています。どの組織にも、従業員、ユーザー、パートナーにサービスを提供するさまざまなサイズのアプリケーションがあります。組織はデータセンターを廃止し、これらの独自のアプリケーションを IaaS クラウド サービスに一斉に移行しており、その結果、IaaS の成長率は SaaS の 2 倍になっています。

SaaS セキュリティに対して積極的なアプローチをとっている企業であっても、IaaS プラットフォームでホストされているアプリケーションのパフォーマンスを再評価する必要があります。 SaaS プラットフォームと IaaS プラットフォームは、異なる責任共有モデル、つまりクラウド サービス プロバイダーとユーザー間のセキュリティ機能の分散に基づいて動作します。 SaaS プロバイダーが対処するセキュリティ侵害の多くは、IaaS サービスでアプリケーションがホストされている企業ユーザーの責任です。

さらに、迅速な移行を求める企業のプレッシャーにより、セキュリティ チームは IaaS セキュリティを効果的に監視できない可能性があります。開発チームには、クラウドへの移行が予定されている既存のオンプレミス アプリケーションのセキュリティを更新するための追加リソースがありません。独自のアプリケーションには、SaaS アプリケーションのような専用のセキュリティ ソリューションはなく、セキュリティ製品と統合するための API もありません。以前は、スタートアップ企業やクラウド サービス プロバイダーは AWS、Azure、Google Cloud Platform のセキュリティを担当する企業と考えられていましたが、今日では Fortune 2000 企業も依然としてクラウド内のアプリケーションのセキュリティ保護という課題に直面しています。

IaaS セキュリティの脅威は、組織の内外から発生します。企業の IaaS アカウントをターゲットにしてデータやコンピューティング リソースを盗もうとするハッカーは、資格情報を盗んだり、誤ったアクセス キーを取得したり、誤って構成された設定を利用したりして、このベクトルを悪用する可能性があります。研究者が GitHub 上で 10,000 件を超える AWS 認証情報を発見しました。ホスティング会社のコードスペースにとって最悪のシナリオでは、ハッキングされたアカウントがビットコインのマイニングに使用される可能性があります。

企業内では、IaaS アカウントにアクセスできる悪意のある従業員が、プラットフォーム上のデータを盗んだり、変更したり、削除したりすることで、大きな損失を引き起こす可能性があります。人為的なミスや過失により、企業のデータやリソースが攻撃者にさらされる可能性があります。 Google は、ヘルスケア企業 CareSet のアカウントを一時的に停止した。設定エラーによりハッカーが同社の Google Cloud Platform アカウントを利用して他の標的に対して侵入攻撃を仕掛けることができたためである。アカウントが復旧できなかった数日後である。組織は、IaaS 環境が安全であると想定するという間違いを犯してはなりません。上記の各ケースでは、クラウド サービス プロバイダーはユーザーに代わってこれらの脆弱性に対処することができませんでした。

IaaS セキュリティ アクション プラン

IaaS プラットフォーム上の独自アプリケーションでデータを安全に保つには、SaaS セキュリティを超えて、コンピューティング環境自体を保護する必要があります。 AWS、Azure、Google Cloud Platform、またはその他の IaaS プラットフォーム上のコンピューティング環境のセキュリティ保護は、構成監査から始まります。 IaaS の使用を安全にするために重要な 4 種類の構成を以下に示します。

1. 本人確認

多要素認証は、特にインターネットに公開されている機密性の高い企業情報を含むクラウド アプリケーションに必要な制御です。企業は、アカウント侵害のリスクを軽減するために、ルート アカウントと ID、および管理アクセス ユーザーに対して多要素認証を有効にする必要があります。強力な認証では、アクションを送信する前にユーザーが追加のログイン手順を入力する必要がある場合があります。

2. 無制限のアクセス

AWS 環境を不必要に公開すると、サービス拒否、中間者攻撃、SQL インジェクション、データ損失など、さまざまな攻撃方法の脅威が増大します。 Amazon マシンイメージ、データベース サービス インスタンス、Elastic Compute Cloud への無制限の接続により、知的財産と機密データが保護され、サービスの中断が防止されることを確認します。

3. 非アクティブなアカウント

非アクティブおよび未使用のアカウントは、IaaS 環境に不必要なリスクをもたらします。非アクティブなアカウントを確認して削除することで、アカウントの侵害や不正使用を防ぎ、生産性コストを削減できます。

4. セキュリティ監視

コンピューティングをクラウドに移行する際の最大の問題は、可視性とフォレンジックの喪失です。監査証跡の AWS CloudTrail ログ記録を有効にすると、プロアクティブな脅威と調査のための動作監視ツールを構築できます。これはあらゆる大企業にとっての基本的なコンプライアンス要件でもあり、アプリケーションを IaaS に移行する際の障害となる可能性があります。

4 つのカテゴリのうち、セキュリティ監視は最も複雑で信頼性が高いものです。機械学習ツールは、脅威を示すさまざまな動作を検出するように調整できます。 API を使用すると、セッションの場所に基づいた監視や強制ログインを有効にすることができます。一見すると、アプリケーションをクラウドに移行すると、制御が失われるように見えるかもしれません。ただし、プロアクティブなクラウドベースのセキュリティ戦略を採用すれば、IaaS 上のアプリケーションはオンプレミスのアプリケーションと同等、あるいはそれ以上に安全になります。