※F-Secureの法人向け事業はWithSecure™になりました。個人ユーザー向けの事業が引き続きF-Secureとして展開しております。移行期のため、F-Secure BlogでWithSecure™のご案内をさせていただいております。
あなたの会社のクラウドサービスに対するセキュリティ戦略が、1か所での防御を前提としていた場合、クラウドベースのシステムの絶えず変化する境界をどのように扱えば良いのでしょうか? 従業員は、社内ネットワーク以外のインターネットプロバイダやカフェや空港ネットワークサービスを経由し、ノートPC、タブレット、スマートフォンといったさまざまなデバイスを介して、クラウドサービスにアクセスすることができます。 クラウドサービスの出現によって、境界防御の要である境界が曖昧になってしまっており、従来のセキュリティ制御の考え方では、管理することが困難になっています。
脅威のランドスケープの規模は拡大し続けています。SANS Institute の調査によると、2017年には19%の企業が、クラウド環境への何らかの不正アクセスを経験していましたが、2019年には31%に急増しています。また、2019年には、回答者の28%が、クラウドアプリケーションやデータに関連する侵害を経験したと答えています。
この中で最も一般的な攻撃のタイプは、アカウントや資格情報の乗っ取りで、前述の調査では、回答者の48.9%が被害を受けたと答えています。 また、その他の一般的な脅威として、クラウドサービスの設定ミス、DoS攻撃、機密データの漏洩などが挙げられています。 さらに、回答者の11.1%は、社内システムへのアクセス手段としてクラウドサービスが利用された答えています。
マルウェア
マルウェアは、常に重大な脅威ですが、クラウドサービスではその脅威が顕著になります。従業員は、仕事以外の目的でインターネットを使用した後、同じデバイスを使用して、仕事関連のクラウドサービスを利用することができるためです。
従業員が、誤って悪意のあるWebサイトにアクセスしたために、本人が気が付かないうちにデバイスがマルウェアに感染するリスクがあります。その後、感染したデバイスを使用してクラウドサービスを利用した場合、攻撃者に社内データへのアクセスを許してしまうリスクがあります。
このタイプの脅威は、攻撃者がフィッシング詐欺によって従業員を騙してマルウェアが仕込まれているWebサイトに誘導する手口だけに限定できなくなります。多くのサイバー犯罪者は、ボットネットを所有しており、フィッシング詐欺によってデバイスが感染されることを待っているため、日和見的に多くの組織を同時に標的にすることができます。
ウイルス対策製品は、まさに「保護」を提供していますが、常に新たなマルウェアが開発され、既存のマルウェアも常に進化しているため、ウイルス対策製品だけに頼り切ると、最新のマルウェアの危険にさらされる恐れがあります。
ランサムウェア
ランサムウェアを利用するサイバー犯罪者は、身代金を支払うことでデータの回復を図る可能性が最も高い企業を標的にしています。社内の全員が使用しているクラウドサービス上のすべてのファイルが突然ロックされ、まったくアクセスできなくなった場合に、社内で何が起こるのかを想像してみてください。
ドキュメントやファイルに埋め込まれ、クラウドサービス上にアップロードされたランサムウェアは、この脅威をスキャンして駆除しない限り深刻なリスクをもたらすことになります。また、悪意のあるコードや不正なコンテンツを含んだWebサイトへのリンクは、通常、従来のウイルス対策製品では検知されません。クラウドサービスプロバイダは、責任共有モデルの考え方に従っているため、顧客のコンテンツの保護に関してはその顧客に依存しています。
社内に潜む脅威
社内に潜む脅威にも懸念が高まっています。クラウド上のコンテンツへのアクセス権を持つ従業員が会社での不満を募らせた場合、社内の資料を取り出して販売するなど、個人的な利益のために悪用される恐れがあります。
クラウドプロバイダ側の担当者は、有効なセキュリティ制御をバイパスできる特権的ユーザアクセス権を持っている可能性があります。実際、特権ユーザによる乱用は、最近のSANSの調査で3番目に多い種類の攻撃でした。
ユーザーによるエラー
ユーザーによる単純なエラーも、クラウドネイティブの侵害を誘発する可能性があります。この種の侵害は、クラウドネイティブな機能を使用することで、マルウェアなしで侵害を成功させます。クラウドサービスが正しく構成されていない場合、攻撃者はこれを悪用してリソースにアクセスできます。攻撃者は、いったんシステム内に入ると、弱点を探し出してアクセスを拡大し、機密データを見つけそれを盗み出します。
2019年の夏に米金融大手会社の Capitol Oneのように、構成ミスは非常に高額な出費を招く可能性があります。このケースでは、Webアプリケーションファイアウォール(WAF)の設定が誤っていたため、攻撃者によって80,000件の銀行口座番号と140,000件の社会保障番号を搾取されてしまいました。Capitol Oneが被った総費用は1億5000万ドルになると予想されています。
クラウドアプリケーションの保護
脅威の範囲とその規模の拡大を考慮して、クラウド環境を保護するために、何かできることはあるのでしょうか?答えはもちろん「イエス」です。
考慮すべき最も重要な4つの項目は、機密データへのアクセス管理、クラウドサービスの構成管理、クラウドアプリケーションのネイティブセキュリティツールの使用、クラウド環境にアップロードされたコンテンツのスキャンです。
アクセス管理:インサイダーの脅威から保護する最善の方法は、インサイダーが脅威にならないようにすることです。その為に、役割、コンテンツタイプ、アクセス方法などで、従業員のアクセス権を管理することで、効果的に管理できる一連のポリシーを作成できます。
従業員が自分の仕事に必要なコンテンツのみにしかアクセスできなければ、インサイダー攻撃のリスクは大幅に軽減されます。クラウドサービスプロバイダが提供するアクセス制御ツールを使用し、アクセス許可をできるだけ狭い範囲に制限することで、セキュリティの状況はさらに向上します。
アクセス管理には、多要素認証の手順が含まれます。攻撃者がIDを偽装することが困難であるほど、システムに侵入される可能性は低くなります。
構成管理:クラウドサービスの設定に誤りがあると、クラウドネイティブの侵害にさらされる可能性があります。したがって、クラウドサービスが正しく構成されていることを確認することは、実践できる最も重要な防御策の1つです。
手動で設定すると、このタイプのエラーが発生する可能性が高くなります。設定なしで使える構成管理ツールを使用すると、必要に応じて設定を自動的に調整することができます。必ず、クラウドサービスプロバイダが推奨する構成設定を使用してください。
ネイティブセキュリティツールの使用:クラウドサービスプロバイダは、サービスにアクセスしたユーザの詳細を追跡するログツールを提供しています。これは攻撃が発生した場合に非常に有効なツールになります。この詳細情報には、すべてのAPI呼び出し元のIPアドレスや呼び出し時間などの情報が含まれます。残念ながら、一部の組織はこれらのツールを使用するメリットを認識していないため、可視性が低下し、その結果、最も効率的な方法で侵害に対応する能力が低下します。
もう1つの推奨される重要な防御メカニズムは、データの暗号化です。クラウドに保存されているデータが暗号化されていない場合、一旦アクセスに成功するとそのデータを自由に扱われてしまいます。しかし、データが暗号化されていれば、アクセスに成功しても攻撃者はデータを悪用することができません。
ユーザがアップロードしたコンテンツのチェック:クラウド環境にアップロードされたコンテンツを監視することは非常に重要です。従業員のアカウントの1つが侵害されると、組織全体で悪意のあるファイルを共有することになり、結果は壊滅的なものになることが想像できます。
クラウド環境にアップロードされ、クラウド環境からダウンロードされたすべてのURLとファイルを分析し、脅威や疑わしいものを検知できるテクノロジーが必要です。これは、エンドポイントセキュリティソリューションの上に補完的なセキュリティ層を追加することになります。残念ながら、この種の機能は、ほとんどのクラウドソフトウェアの基本バージョンには含まれていません。
ウィズセキュアでは、お客様がクラウド環境を保護できるように、Salesforce向けにこのタイプのソリューションを開発しました。こちらより無料評価版をダウンロードのうえお試しください。
Office365向けの製品については、こちらより無料評価版をダウンロードのうえお試しください。
カテゴリ
