クラウドセキュリティに関わる起こりやすい過ちを正し、盲点を排除することで、企業におけるサイバーリスクを軽減しつつ、クラウド利用の最適化に向けて大きく前進できるだろう。本記事では、中小企業で見られるクラウドセキュリティの落とし穴をいくつか挙げ、対応可能な改善策について解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「WeLiveSecurity」の記事を翻訳したものである。
クラウドコンピューティングは、今日のデジタル環境に欠かせないものだ。ITインフラ、プラットフォーム、ソフトウェアは、旧来のオンプレミス環境ではなく、サービスとして提供され、それぞれIaaS、PaaS、SaaSといった略称で呼ばれるようになった。これらのサービスは、何より中小企業にとって魅力的なものだ。
クラウド環境は、多額の予算を費やすことなくビジネスに柔軟性と拡張性をもたらすことができるため、大手企業とも対等に競争できる機会を得られる。最近の調査で示されたように、全世界における中小企業の34%が年間120万ドル(1億8,400万円相当)以上をクラウドに投資しており、昨年の26%から増加している。
しかし、デジタル化の推進にはリスクも伴うものだ。先述の調査では、クラウドに関する課題としてセキュリティ(82%)と法令順守(70%)が、それぞれ2位と6位に挙げられた。これらの課題に対処する第一歩として、中小企業がクラウドを導入する際に起こりやすい過ちについて理解するべきだ。
中小企業が間違えやすいクラウドセキュリティ7つの落とし穴
まず、中小企業だからクラウド導入において間違いが起こるわけではないことを明確にしておきたい。十分なリソースを有する大企業であっても、基本的な対策を疎かにするケースもある。しかし、見落としやすいポイントを押さえておけば、多大な損失や風評被害のリスクを軽減し、クラウド利用の最適化に向けて大きく前進できるだろう。
1)多要素認証(MFA)を設定していない
従来からの静的パスワードは本質的には安全とは言えず、すべての企業が堅実なパスワード作成ポリシーに従っているわけではない。フィッシング、ブルートフォース攻撃、単純な推測など、パスワードはさまざまな方法で流出する恐れがある。そのため、認証に多層的な防御を施す必要があるのだ。多要素認証(MFA)を使用することで、攻撃者がユーザーのSaaS、IaaS、PaaSアカウントへ不正侵入するのを防ぎ、ランサムウェアやデータ窃取などのリスクも軽減される。可能であれば、パスワードレス認証などの別の認証手段に切り替える方法もある。
2)クラウド事業者(CSP)を過信する
最も効果的なクラウドへの投資は、信頼できるクラウド事業者へ、すべてをアウトソースすることだと考えているIT管理者も多い。しかし、これは必ずしも正しいとは言えない。クラウド環境の保護については、クラウド事業者とユーザー企業が責任範囲を分担する責任共有モデルが提唱されている。クラウドサービスの種類(SaaS、IaaS、PaaS)とクラウド事業者の方針により、ユーザー企業の責任範囲は変わってくるのだ。SaaSのようにクラウド事業者が多くの責任を負う場合であっても、サードパーティ製品による防御を追加するのが望ましいケースもある。
3)バックアップを怠る
先述したように、クラウド事業者(例:ファイル共有、ストレージサービス)が十分にバックアップを行っていると思い込んではならない。システム障害やサイバー攻撃を含め、最悪のシナリオを想定し、常に備えておくことが重要となる。事業に影響を与えるデータ損失に限らず、インシデント発生後にはサービス停止や生産性の低下につながる恐れもある。
4)パッチが定期的に適用されていない
パッチを適用していないクラウドシステムは脆弱性の脅威に晒される。結果として、マルウェア感染や情報漏えいなどに発展してしまう危険性がある。オンプレミス環境と同様に、クラウド環境であってもパッチ管理はセキュリティ強化のベストプラクティスに含まれる。
5)クラウドの設定ミス
クラウド事業者は進化し続けている。しかし、顧客の要請に応えて開発される無数の新機能により、多くの中小企業にとって非常に複雑なクラウド環境となってしまう恐れがある。そのため、どのような構成・設定であれば最も安全なのかを理解することは非常に難しい。誰でもクラウドストレージへアクセスできたり、ポートが開いたままになっていたりするのは、よく見られる設定ミスだ。
6)クラウド上のトラフィックを監視していない
今や、クラウド環境(IaaS、PaaS)への不正侵入は「もし」されたらではなく、「いつ」されるかが問題とされている。企業に影響を及ぼす前に攻撃を封じ込め、その兆候を早期に気づけるよう、迅速な検出と対応が重要となる。そのため、継続的な監視が必須となっている。
7)企業の重要資産を暗号化していない
どのようなIT環境でも不正アクセスされるリスクは残る。では、企業の内部機密や、厳しい規制下にある従業員や顧客の個人情報が、悪意のある第三者へ漏えいしたら、どうなるだろうか?仮に情報が窃取されたとしても、保存時および転送時にデータが暗号化されることで、悪用されることを防げる。
クラウドセキュリティを適切に行うために
クラウドセキュリティに関わるリスクへ対処する第一歩として、自社の責任範囲はどこまでか、そして、どの部分がクラウド事業者によって管理されるのかを理解しておく必要がある。そして、クラウド事業者が備えている基本的なセキュリティ機能に任せるか、サードパーティ製品で安全性を高めるのかについて判断を下す必要がある。クラウドセキュリティを改善するため、以下の点を考慮してほしい。
- メールやストレージ、コラボレーション機能を保護するため、世界的クラウド事業者が提供するサービスに搭載されたセキュリティ機能に加え、サードパーティ製のセキュリティソリューションを導入し、クラウドセキュリティを強化する
- 迅速なインシデント対応と侵害の封じ込め、復旧に備え、XDR(Extended Detection and Response)製品やMDR(Managed Detection and Response)製品を追加する
- リスク分析に基づいたパッチ適用プログラムを継続的に開発、展開することで、強固なアセット管理を実現する(つまり、保有しているクラウド資産を把握し、最新の状態に保つ)
- 攻撃者が不正にアクセスしても情報を保護できるよう、保存状態(データベースレベル)でも送受信中でもデータを暗号化する。効果的、継続的なデータの把握と分類も求められる
- 明確なアクセス制御ポリシーを定義する。強力なパスワード、多要素認証(MFA)、最小権限の原則、IPアドレスに基づいた制限/許可リストの運用などが含まれる
- ゼロトラストのアプローチを検討する。先述の施策(MFA、XDR、暗号化)に加えて、ネットワークのセグメンテーションやそのほかのコントロールが含まれる
上記の対策の多くは、オンプレミスでも導入するべきベストプラクティスと同様だ。細かい部分では異なるものの、大枠では同じ考え方に基づいている。何より重要なこととして、クラウドセキュリティはクラウド事業者だけの責任ではないことを忘れないことだ。サイバーリスクを軽減するため、早急に対策を講じてほしい。