2018年はクラウドコンピューティングにとって大変活気に満ちた年になるでしょう。2017年の第4四半期には、Amazon、SAP、Microsoft、IBM、Salesforce、Oracle、Googleのクラウドサービスからの収益が、合わせて220億ドル以上に達しました。 2018年にはクラウドサービスはさらに大きく飛躍することになります。企業がクラウドを好んで利用する理由はよく理解できます。 外部のクラウドサービスを使用する方が、自社のデータセンターを社内で維持するよりもより簡単で、価格的にも手頃だからです。
クラウドサーバー上に会社のデータをセキュアな形で保管することは確かに可能です。 ただし、クラウドサーバは進化するサイバー脅威の主要なターゲットになっています。ビジネスの貴重なデータを適切に保護するために、 2018年に起こりうるクラウドセキュリティへの最も大きな脅威を念頭に置いておきましょう。
2018年のクラウド セキュリティへの6大脅威
1. データ漏洩
2017年はデータ漏洩の観点からは重大な年でした。 サイバーセキュリティー問題に不案内な人でも、少なくとも1億4300万人の一般人に影響を与えた9月のEquifaxの漏洩事件については、聞いたことがあるでしょう。 このような事件はクラウドデータでも頻繁に起きています。
2017年5月には、OneLoginからの大規模なデータ漏洩が発覚しました。 OneLoginは世界中の2,000社以上のクラウドサービスにID管理とシングルサインオン機能を提供しています。
OneLoginの情報セキュリティー最高責任者(CISO)、アルバロ オヨス(Alvaro Hoyos)は次のように述べています。「本日、OneLoginデータへの不正アクセスが米国のデータ領域で検出されました。 私たちは直ちにこの不正アクセスをブロックし、法執行機関に通報し、独立系の情報セキュリティ会社と協力して不正アクセスがどのようにして発生したかを判断し、この事件の影響の範囲を検証しています。 お客様におかれては、私たちにとって、お客様の寄せてくださった信頼が最も重要であることをどうぞご理解ください。」
2017年3月だけで14億件以上の記録がデータ漏洩によって紛失、その多くはクラウドサーバーに関りがあります。
2. データ喪失
クラウドサーバからデータが失われるのは、サイバー攻撃によるものではない場合もあります。 悪意でないデータ損失の原因には、洪水や地震などの自然災害やクラウド管理者による偶発的なファイルの削除などの単純な人的ミスもあります。 クラウドデータへの脅威は、必ずしもパーカーを着た賢そうな童顔の人物とは限りません。 悪気のないミスのためにデータが損なわれてしまうリスクは過小評価されがちです。
悪意のないデータ喪失の脅威を緩和するための鍵の1つは、地理的に異なる場所上に多くのバックアップを保管することです。
3. インサイダー脅威
クラウドセキュリティに対する内部関係者からの脅威も過小評価されています。 大抵の従業員は信頼できても、クラウドサービス従業員は、悪意があれば外部のサイバー攻撃者にはなかなか入手できないアクセスをもっているのです。
情報セキュリティ研究員のWilliam R ClaycombとAlex Nicollの共著のホワイトペーパーには次のように記述されています:
「インサイダー脅威は、なかなか根の深い問題であり、増大傾向にあります。 クラウドサービスは、ビジネス効率性の向上に役立つが、内部攻撃の新たな可能性も生み出しました。 幸運なことに、クラウドサービスプロバイダーの不正な管理者からの攻撃が成功した例はほとんどないようですが、内部関係者は組織の信頼を他の方法、例えばクラウドサービスを使用して攻撃を実行するなどで悪用し続けているのです。 組織は、クラウドサービスを使用すれば脆弱性を晒すことになるのを認識し、クラウドサービスが組織内の従業員に利用可能であることに注意する必要がある。ただし実は、既存のデータ保護技術をきっちり、注意深く使用すれば効果的なのです」。
4. DoS攻撃
サイバー攻撃者にとってDoS攻撃は、特にボットネットを制御している場合、実行するのは非常に簡単です。 また、DDoS攻撃代行サービスはダークウェブで人気が高まっています。 今や攻撃者はノウハウと独自のボットは必要ないのです。 彼らは手元の暗号通貨を転送してダークウェブサービスを買うだけでよいのです。
Denis MakrushinはKaspersky Labへの寄稿の中で、次のように述べています。
「DDoS攻撃の発注には通常、フルフレッジなWebサービスが利用され、DDoSの代行者と顧客とが直接接触する必要はありません。 私たちが承知している発注は、大部分がこれらのWebサービスへのリンクは残していましたが、詳細な連絡先は残されていませんでした。 顧客はそれを通じて決済や、実施報告書の入手、追加的なサービスの利用等が可能です。 実際、これらのWebサービスの機能は、法律事務所によって提供されるサービスによく似ているのです」。
クラウドサービスに効果的なDDoS攻撃を行うと、サイバー攻撃者が捕まることもなく、他の種類のサイバー攻撃をしかける十分な時間があります。
5. Spectre(スペクター)とMeltdown(メルトダウン)
これは、2018年のクラウドセキュリティへの脅威のリストに新たに加わった既知の脅威です。Meltdown(メルトダウン)とSpectre(スペクター)の投機的実行の脆弱性は、クラウドサービスによって使用されるCPUにも影響します。 Spectre(スペクター)は特にパッチを当てるのが難しいのです。
CSO Onlineは以下のように記しています:
「Spectre(スペクター)とMeltdown(メルトダウン)はどちらも、アプリケーション間の分離を壊すため、サイドチャネル攻撃を許可しています。 権限のないログインによってシステムにアクセスできる攻撃者は、カーネルから情報を読み取ることができます。また、攻撃者はゲスト仮想マシン(VM)のルートユーザーである場合、ホストカーネルを読み取ることができます」。
「これはクラウドサービスプロバイダにとって大きな問題です。 パッチが入手可能になっているものの、攻撃を実行するのを難しくしているだけにすぎません。 パッチによってシステムのパフォーマンスが低下することもあるため、一部の企業ではパッチを外すことを選択する可能性があります。 CERT Advisoryは、影響を受けるすべてのプロセッサの置き換えを推奨していますが-置き換えるものがまだ存在していないのですから無理でしょう。」
6. セキュアでないAPI
アプリケーションプログラミングインタフェースは、クラウドサービスにとって重要なソフトウェアコンポーネントです。 多くのクラウドシステムでは、APIは信頼できる組織外にあるパブリックIPアドレスを持つ唯一の要素です。 クラウドAPIを利用することで、サイバー攻撃者はクラウドアプリケーションにかなりのアクセスを取得すことができます。これは重大な問題です。
クラウドAPIは、アプリケーションへの正面玄関のようなものなので、ドアはしっかり施錠しておかなければなりません。
クラウド環境の制御維持の方法の詳細については、ここをクリックしてください。
クラウドでのセキュアな状態を保つ方法を学びたい方は、効果的で安全なクラウド移行についての18人の専門家からのアドバイスをここで確認できます。
著者について:Kim Crawleyは、主にアメリカの第2のインターネットサービスプロバイダー、Windstreamの幹部として、ティア2の消費者向け技術サポートで長い経験を積みました。 特にマルウェア関連分野に強く、数千人に及ぶクライアントのパソコンのマルウェア問題を解決、その経験から多くを学びました。 好奇心から趣味ではじめたマルウェア研究は、さらに情報セキュリティ関連全般に拡大。 2011年には、InfoSec InstituteのCISSPおよびCEH認定試験準備プログラムの学習資料を、ゴーストライティングするまでになりました。 以来、CIO、CSO、Computerworld、SC Magazine、および2600 Magazineに、情報セキュリティに関するさまざまな記事を寄稿しています。
編集者注:この寄稿記事で述べられている意見は、寄稿者の個人的見解であり、必ずしもTripwire、Inc.のものを反映するものではありません。
