クラウドコンピューティングにおけるセキュリティの脅威

クラウドコンピューティングにおけるセキュリティの脅威

ますます多くの組織がクラウドベースのコンピューティングに移行しています。データだけでなく、ソフトウェアやシステムもクラウド上でホストされています。リモートワークや「BYOD（Bring Your Own Device）」文化の台頭により、クラウドコンピューティングは時代の要請となっています。しかし、クラウドコンピューティングには、データとアプリケーションが必然的に組織外のサードパーティクラウドプロバイダーを介してホストされるため、特有のセキュリティリスクが伴います。この特性により、システムは攻撃、ダウンタイム、ガバナンスの喪失、認証・認可の不備、分離の失敗、アプリケーションおよびデータ保護の失敗、悪意のある活動など、様々な問題に対して脆弱になります。

クラウド環境における脅威

クラウド環境における最も一般的なサイバー脅威の種類は次のとおりです。

1.データ侵害

クラウド環境は、エンタープライズ環境が直面する脅威と同様の脅威に直面しています。しかし、クラウドサービスプロバイダーは複数の企業の膨大なデータを保管する責任を負っているため、脅威は大幅に増大します。被害の深刻度は、侵害されたデータの種類によって異なります。医療記録、企業秘密、知的財産などのデータは、金融データと同様に盗難のリスクを伴います。データ侵害が発生すると、企業は罰金を科せられ、訴訟や刑事訴追に直面する可能性があります。金銭的な影響だけでなく、評判の失墜は組織に長年にわたる影響を及ぼす可能性があります。

何をすべきか？

DLP ツールをサイバーセキュリティ計画の一部として導入することは重要です。これにより、IT 部門はエンドポイント間のデータ共有アクティビティを監視および制御し、疑わしいデータの移動があった場合にアラートを受け取ることができるようになります。

2. 資格情報の侵害と認証の不備

クラウドサービスにおけるセキュリティ侵害の主な原因としては、認証ポリシーの不備、鍵と証明書の管理の不備などが挙げられます。多くの組織はID管理に苦労しており、アクセス管理を容易にするためだけに、誰にでも不要なデータ権限を付与してしまうことがあります。また、従業員の職務変更や退職時に、ユーザーアクセスを削除することを忘れてしまう組織も存在します。

何をすべきか？

組織は、ログイン ID やパスワードを盗み見ようとする攻撃者に対する防御策として、多要素認証、電話ベースの認証、スマート カード (デジタル トークン) を使用してクラウド サービスへのアクセスを保護する必要があります。

3. ハッキングされたインターフェースとAPI

現在、ほぼすべてのクラウドサービスはAPI（アプリケーション・プログラミング・インターフェース）を提供しています。APIは、組織が利用するクラウドサービスを管理し、操作するために不可欠です。そのため、クラウドサービスのセキュリティはAPIのセキュリティに大きく依存します。APIはインターネット経由で直接アクセスされるため、システムの中で最も脆弱な部分です。

何をすべきか？

API を使用したデータへの不注意なアクセスのリスクを制御するには、システム、そのアーキテクチャ、およびデータ フローの脅威モデル化が重要です。

4. アカウント乗っ取り

クラウドサービスは、フィッシング攻撃、オンライン詐欺、そして詐欺師にとって新たな狩場となりつつあります。攻撃者はユーザーの活動を盗聴し、個人情報を盗み、盗んだデータを悪用したり、オンラインの闇市場で売却したりする可能性があります。また、侵害されたアプリケーションを利用して、クラウド内で新たな攻撃を仕掛けることもできます。

何をすべきか？

組織は、ユーザーとサービス間でのアカウント認証情報の共有を禁止する必要があります。すべての取引を監視し、所有者を特定できるようにする必要があります。

5. 悪意のあるインサイダー

内部脅威とは、現在または過去に
組織内のセキュリティ侵害の責任を負う従業員。企業におけるセキュリティ インシデントの 90% は内部関係者によって発生します (Verizon 2015 データ侵害調査レポート)。

何をすべきか？

ユーザーに付与されるシステムアクセスは、特定のユーザーが業務を遂行するために必要なデータとアプリケーションのみに制限する必要があります。データに関する責任は分離し、責任とシステムアクセスの両方を頻繁に監査する必要があります。効果的なログ記録、監視、監査管理は、クラウドコンピューティングシステムのセキュリティを効果的に維持するために不可欠です。

6. 不十分な注意

多くの組織は、クラウド環境やそれに伴う無数のリスクを十分に理解しないまま、クラウド技術を導入しています。経営者は、クラウドへの移行の必要性や、クラウドコンピューティングのニーズに適したパートナーの選定を過大評価しがちです。また、クラウドパートナーとの契約内容を精査せず、データ漏洩が発生した場合のプロバイダーの責任についても認識していないケースも少なくありません。

何をすべきか？

組織は次のことに熱心に取り組む必要があります。

• クラウド コンピューティング サービスに対する要件を理解する。
• 適切なクラウド サービス プロバイダーを選択します。
• 契約を確認し、責任と賠償責任を理解します。

7. 技術の共有、危険の共有

クラウドコンピューティングは、共有技術という概念に基づいています。マルチテナントという概念には、あるユーザーに脆弱性が生じると、すべてのユーザーに悪影響が及ぶという危険性が伴います。たった一つの脆弱性や設定ミスが、クラウドインフラ全体にわたるセキュリティインシデントにつながる可能性があります。

何をすべきか？

組織は、独自のデータにプライベート暗号化システムを導入するだけでなく、クラウド サービス プロバイダーが提供する最小権限アクセス、ネットワーク セグメンテーション、ホストベースおよびネットワークベースの侵入システムなどの概念も考慮する必要があります。

クラウドコンピューティングは、規模の大小を問わず組織に多くのメリットをもたらします。しかし、組織はクラウドインフラのセキュリティは共同責任であることを理解する必要があります。クラウドサービスプロバイダーは独自のセキュリティメカニズムを導入していますが、組織の要件を満たすためには、それを分析・理解する必要があります。同時に、組織はクラウドサービスプロバイダーが提供するセキュリティに加えて、独自のセキュリティ対策を実装する必要があります。データ保護のための暗号化だけでなく、ユーザーアクセス制御やデータおよびデータにアクセスするデバイスの監視も管理できる、データ損失防止ツールを実装する必要があります。

セクライト 企業のITセキュリティを簡素化し、ビジネスパフォーマンスを最大化します。当社の製品とサービスの詳細については、 当社のウェブサイトを訪問.