2020年、政府によるロックダウンなどにより、企業は迅速にテレワークを導入する必要に迫られた。その際に活用されたテクノロジーが、主要なクラウド技術であるSaaS（ソフトウェア・アズ・ア・サービス）、PaaS（プラットフォーム・アズ・ア・サービス）、IaaS（インフラストラクチャー・アズ・ア・サービス）である。これらの技術がなければ、多くの企業はこの困難な時代を生き抜くことはできなかっただろう。しかし、膨大なデータやユーザーがクラウドへ移行されるに従い、これらのプラットフォームがサイバー攻撃の対象となっている。

ある調査によると、グローバル企業のCXO（Chief x Officer：各部門の責任者）の90%が、コロナ禍の序盤にサイバー攻撃が増加したと回答しており、テレワークへの移行後2ヶ月で、セキュリティ上の問題が増加したと回答したのは98%に上った。これらの問題の多くはクラウド関連であることは疑いようがない。ハイブリッド型勤務が新たに導入されるに従い、ユーザーの生産性に影響しないようにしながら、サイバーリスクをいかに軽減できるかどうかが新たな課題となっている。

現代におけるクラウドの価値

クラウドの躍進に関する数字は驚くべきものだ。例えば、ビデオ通話のZoomは、2019年12月から2020年3月の間に、1,000万人から2億人以上までアクティブユーザーが増加したと言われる。マイクロソフト社は、Zoomの競合サービスとなるTeamsを提供し、4月のある1日だけで2億人以上がオンライン会議に参加したと報告した。同社CEOであるSatya Nadella氏は、2年分のDX（デジタルトランスフォーメーション）が2ヶ月で進んだと述べている。

この驚くべき数値を裏付けるのが、第三者機関による調査だ。2020年6月に発表されたスノー・ソフトウェア社の調査では、52%のグローバル企業がクラウド型のビデオ通話サービスを活用していることが明らかとなっている。さらに、76%の企業は、Microsoft Azure、Google Cloud Platform、Amazon Web Servicesといったクラウド基盤の予算を増額する見込みだという。ガートナー社は、パブリッククラウドサービスへの支出が2021年には18.4%増加すると予測しているが、今後もクラウドコンピューティングの導入は増加していくと考えられる。

これらの変化の理由は明らかだ。コロナ禍のユーザーにとって、世界のどこからでもログイン可能で、企業のデータやシステムにアクセスでき、会議を開いて同僚とコラボレーション可能なツールは欠かせないからだ。また、IaaSの活用により、オンライン上で顧客との関係性を高めるためのWebサイトやアプリケーションの開発、あるいは、マーケティング戦略の実行が可能となる。クラウド上のEメールやCRM（顧客関係管理のためのシステム）から革新的なB2Cサービスに至るまで、クラウドは企業のビジネスをサポートしている。

クラウドがテレワークにおけるリスクとなる理由

クラウドの利用に際して、セキュリティは避けては通れない問題だ。例えば、SaaSを利用すると、あらゆる場所で業務を効果的に行える一方、自社のデータを第三者に預けることとなり、IT部門の管轄外となってしまう。

オンプレミスのサーバーとともに、複数のクラウドを運用している企業は特にシステムが複雑になり、セキュリティ上の問題が生じやすい。サーバーにアクセスするのにVPN（Virtual Private Network）が必要となる場合もある。IT部門が運用するにも、従業員が使用するにも課題が残る。現在では、平均して92％の企業がマルチクラウド戦略（複数のクラウドを運用）をとり、82％がハイブリッドクラウド戦略（クラウドとオンプレミスの両方を運用）を採用している。

クラウドは、悪意のある攻撃者にとって格好のターゲットとなり得る。具体的には、アカウントやシステムの設定ミス、推測されやすい安易なパスワード、システムの脆弱性などが攻撃対象となる。さらに、安全でない自宅のネットワークやデバイス、また、セキュリティ教育を受けていないユーザーの行動にも配慮しなければならない。これらの要因が絡み合うことで、テレワークには大きなサイバーリスクが内在している。

クラウドセキュリティにおける課題

実際に、クラウド上の脅威から被害が発生している。コロナ禍を通して、クラウドが攻撃者の標的となったり、開発者やユーザーによって意図せず問題が起きたりする事案がしばしば報告されている。
以下に、特に注目するべき事例を紹介する。

フィッシング

従業員が企業向けSaaSのアカウントを持つようになるにつれ、フィッシング詐欺に遭うリスクが高まっている。これまで、フィッシング攻撃の多くはCOVID-19に関連した詐欺に集中していた。2020年4月、Googleはコロナ禍に関連した悪意のあるメールやフィッシングメールを毎日1,800万件ブロックしていると報告している。フィッシングにより詐取されたログイン情報は、ビジネスアプリケーションのアクセスや、別のアカウントにブルートフォース攻撃を仕掛けるのに悪用されてしまう可能性がある。クレデンシャルスタッフィング攻撃（パスワードリスト攻撃の一種）によって詐取された50万件以上のZoomアカウントが、ダークウェブで販売されているのが見つかっている。

設定ミス

設定ミスには、2つの状況が考えられる。1つ目は、例えばビデオ通話アプリにおいて、セキュリティやプライバシーの設定を適切に行っていないために、部外者に会話の内容が盗み聞きされてしまうことだ。実際、Zoombombing（Zoom爆撃）のリスクが指摘された時期もあった。その後、Zoomはセキュリティ機能を向上させ、重要な設定の多くはデフォルトで適用されるようにしている。

2つ目は、より重大な危険につながるものとして、マルチクラウドやハイブリッドクラウドの複雑さが挙げられる。クラウドのアカウントで適切なポリシーを設定しておらず、あらゆるユーザーにストレージを公開してしまうIT部門も存在する。また、公開されたデータベースを検索する攻撃者が増えている点も懸念される。

脆弱性

人が間違いを起こすのと同様に、人が書いたプログラムにも誤りは発生する。コロナ禍において、ZoomやほかのSaaSアプリに重大なゼロデイ脆弱性が発見され、攻撃者により、ユーザーのデバイスを遠隔で操作される危険が生じた。また、クラウド上で動作する、自社内で開発したWebアプリケーションにもリスクがある。ある調査では、2020年に発生した情報漏えいのうち、20%以上はWebアプリケーションに対する基本的な脆弱性を突いた攻撃によるものと報告されている。

ハイブリッド型勤務においてクラウドセキュリティを向上させる方法

ESET社をはじめ、セキュリティの専門家はクラウドセキュリティに関するベストプラクティスのノウハウを蓄積してきた。完璧な対策は存在しないものの、新たにハイブリッド型勤務を始める従業員に対し、サイバーリスクを軽減する方法を以下に紹介する。

• クラウドを介して利用される企業データを特定し、適切に管理する
• クラウドセキュリティにおける責任共有モデルを理解する
• クラウドのデータは、保存中も通信中も暗号化する
• 複雑なパスワードを設定できる「パスワードマネージャー」を利用する
• すべてのアカウントで多要素認証（MFA）を適用する
• 最小権限の原則に基づき、機密性の高いアカウントへのアクセスは制限する
• 認証や暗号化を調整するためにCASB（Cloud Access Security Broker）の利用を検討する
• リスク分析の結果に従い、SaaSアカウントのセキュリティとプライバシーの設定を行う
• IaaSの設定ミスを特定できるようにCSPM （Cloud Security Posture Management）ツールを利用する
• フィッシングを特定できるよう、定期的に従業員を教育する
• リスクに基づいて、すべてのクラウドサーバーやソフトウェアへのパッチを適用する
• クラウドからの情報漏えいによる影響を軽減するため、ゼロトラストの考え方を採用する

クラウドコンピューティングは、IT部門において例外的なものではなく、標準的となってきた。セキュリティ対策を推進し、サイバーリスクを許容できるレベルに維持しながら、クラウドによるビジネス上のメリットを享受できるようにしたい。