クラウドはDX (デジタルトランスフォーメーション)の要となりつつある。その安全性に目を向けておくことは、サイバーセキュリティにおけるベストプラクティスといえるだろう。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
ロシアによるウクライナへの侵攻により、サイバー攻撃の脅威が高まっている。サイバーセキュリティの専門家と政府の規制当局は、企業・組織に対してサイバーセキュリティを強化するよう促してきた。それは、新たな脅威への検知・対応力を高めることにとどまらず、インフラに対するレジリエンスを強化して、攻撃に対する耐性を高めなければならないということだ。これは大掛かりな取り組みとなるだろう。ここ数年、パンデミックを背景にしてDX(デジタルトランスフォーメーション)を進めてきた多くの企業は、コロナ禍以前に比べて、アタックサーフェス(サイバー攻撃の標的となる対象)を広げてしまっているからだ。
クラウド基盤は特に脆弱だ。残念ながら、誤って設定されたり、保護されないまま放置されたりしているケースも少なくない。そのため、オンラインデータベースやストレージバケットは、ウクライナへの侵攻が長引くにつれ、格好のターゲットとなってしまっている。実際、研究者はクラウドデータベースへの攻撃を検知しており、クラウドの脆弱性を悪用しようとする攻撃者は増加している。
パブリッククラウドの価値
クラウド基盤はDXの要となりつつある。クラウド基盤により、比較的低コストで、拡張性と柔軟性に優れた方法でデータの保存・管理が行えるのが利点だ。また、IT部門の管理負担を軽減されるとともに、災害復旧の仕組みが提供され、いつでもどこからでもアクセスできる。アプリケーションのバックエンドとして、パブリッククラウドのデータベースには、以下のようなデータが保存される。
- 事業に欠かせない企業の情報
- 従業員や顧客の個人情報
- 機密性の高い知的財産や企業秘密
- サイバー攻撃に悪用される可能性のあるAPIや暗号化キーなどのIT管理に関わる情報
これらのデータが攻撃者の手に渡り悪用された場合、狙われた企業にもたらされる損害は甚大なものになるのは言うまでもない。規制当局による罰金、法的コスト、IT部門の時間外労働、生産性や売上の低下、顧客離れ、風評被害といったものにつながる可能性がある。
クラウドデータベースにおける問題
クラウドストレージやデータベースは設定ミスをしやすいという課題がある。設定ミスが放置されていると、既成のスキャンツールで比較的容易に脆弱性を見つけられてしまう。これはセキュリティ担当者が抱える課題の一例だ。企業は常にセキュリティを維持しなければならない一方で、攻撃者は一度きりの攻撃で成功してしまう場合がある。
現代のエンタープライズ向けクラウド基盤の複雑さは、この課題を深刻なものにしている。オンプレミスとパブリッククラウド・プライベートクラウドを組み合わせて運用している企業は多く、なおかつ複数の事業者のインフラを利用しているため、リスクが拡大している。ある調査によると、92%はマルチクラウド戦略をとり、82%はハイブリッドクラウドを採用している。IT部門は、1つのCSP(クラウドサービスプロバイダー)が提供する最新機能についていくので精一杯だ。ましてや複数のCSPの機能について把握しておくことは難しい。これらのCSPは、顧客の要望に応じて新たな機能を追加し続けているからだ。これらの機能によって細かい設定が可能になった一方で、単純な設定を適切に行うことが難しくなってきているとも言える。
セキュリティに関する専門的なトレーニングを受けていない開発者やDevOpsチームでも問題が起きている。130万本を超えるAndroidアプリとiOSアプリに関する最近の分析によると、バックエンドにパブリッククラウドを使用しているアプリの14%は、設定ミスによってユーザーの情報を危険にさらしていることが明らかとなった。
以前の記事で指摘したとおり、クラウドの設定ミスにはさまざまなものがある。以下に主要なパターンを示す。
- アクセス制限の漏れ
- セキュリティグループポリシーにおける許容度の甘さ
- パーミッション制御の欠如
- インターネット接続パスの誤り
- 仮想ネットワーク機能の設定ミス
クラウド基盤は既に標的にされているという現実
戦闘が激化した場合、保護されていないクラウド基盤が標的になるのは自然なことだ。例えば、暗号化やパスワードによって保護されていないまま放置されているアカウントなどは、容易に発見され、侵入されてしまうだろう。実際、研究者たちはこのような活動の検知を報告しており、ロシアにあるクラウドデータベースが標的とされていた。
同調査によると、設定ミスのあるクラウドデータベースを無作為に選んだ100件のサンプルから、92件は不正アクセスされていた。ファイル名を反戦メッセージに置換されているケースもあったが、多くの場合は単純なスクリプトを使って完全にデータが消去されたものであった。
したがって、西側諸国の企業には以下のような脅威が考えられる。
ファイルが人質にとられる
最近の調査では、ロシアを支援するサイバー犯罪集団が攻撃の準備を進めているとされる。このような集団は、ハッキング活動と、金銭を目的とした手法を組み合わせる場合がある。クラウドデータベースの内容が人質に取られるケースが多数あった。
破壊的な攻撃
既に知られたとおり、一度、侵入を許すと、クラウドデータベースの内容を完全に消去するのは比較的容易だ。ウクライナを支援する攻撃に使われたスクリプトは、2020年に見つかった悪質な「Meow(ニャー)」攻撃と類似していたと言われている。
データの漏えい
データを完全に消去してしまう前に、攻撃者はデータを分析して機密情報を探そうとするかもしれない。そして、標的となった組織に対する金銭的な損害や風評被害を最大化させるために、最初の段階でデータを漏えいさせようとする可能性があります。
クラウドデータベースを保護するには
クラウドの設定ミスに対する課題は、残念ながら、スイッチを押せば済むような単純なものではない。しかし、先述のリスクを軽減するために、今からできる対策もある。以下に、その方法を紹介する。
- セキュリティをDevOpsに含める。そのために開発プロセスの中に自動でセキュリティや設定を検証する仕組みを構築する
- CSPM(クラウド・セキュリティ・ポスチャ管理)ツールを活用し、継続的に設定を管理する
- CSP(クラウドサービスプロバイダー)のツールを活用し、クラウドの管理・監視を行う
- PaC(ポリシー・アズ・コード)ツールを活用し、自動的にクラウドをスキャンし、コンプライアンスの状況を検証する
- 機密情報を標準で暗号化する。アクセス制限に設定ミスがあっても、攻撃者が内容を見られないようにする
クラウド基盤が普及するにつれて、サイバー空間のアタックサーフェスが拡大している。戦争のあるなしに関わらず、高まるサイバーリスクを軽減するよう、ここでお伝えしたベストプラクティスを適用してほしい。