リモートワークへの移行によって、職場の定義が変わり、クラウドアプリケーションおよびサービスの使用の優先順位が変化したことで、ID、アクセス、認証情報のずさんな管理が、クラウドコンピューティングのサイバーセキュリティにおける最大の課題となった。新しい調査はこう警告している。
クラウドコンピューティングのベストプラクティスを奨励する非営利団体Cloud Security Allianceがクラウド業界のセキュリティ問題に関して、700人の業界専門家を対象に実施した調査によると、特権アカウントのID、認証情報、アクセス、キーの管理の不備が、クラウドサイバーセキュリティに関する最大の懸念事項であるという。
リモートワークやハイブリッドワークへの移行により、企業と従業員の業務の進め方が変化し、オフィスのPCにインストールされたオフィスアプリケーションや生産性スイートを利用するのではなく、SaaSやクラウドベースの生産性スイートによって、場所やデバイスを問わず必要なツールにアクセスできるようになった。
こうした変化は、リソースやファイルへのアクセスの管理が非常に重要であることを意味する。管理者アクセスやその他の高度な特権アクセスが求められる場合は、特に重要だ。しかし、企業はその管理に苦労しており、主な要因としては、多くのエンドユーザーが企業のファイアウォールと従来の保護対策の外側で作業をするようになったことが挙げられる。
ユーザー名とパスワードでクラウドツールにアクセスできる機能は、多くの従業員や企業にとって非常に有益であることが証明されているが、サイバー犯罪者による攻撃が容易になるという面もある。ユーザー名とパスワードを不正に入手したハッカーは、そのユーザーと同じアクセス権を利用できる。正当なアカウントであるため、不審な活動をすぐには検出できないかもしれない。
しかし、ID、アクセス、認証情報が適切に管理されていない場合に、その設定ミスを悪用できるのは、社外のサイバー攻撃者だけではない。これらの問題が内部の脅威によって悪用されるおそれもある。具体的には、従業員が管理の不備を利用してアクセス権限を昇格させ、閲覧できてはならないデータにアクセスすることが考えられる。
可能だからという理由だけでこれを実行する従業員もいれば、そのデータを持って競合他社に移籍する者や、悪用しようとするサイバー犯罪者に売る者もいる。
クラウドアカウントのログイン認証情報の入手は、サイバー攻撃で使用される一般的な手法として増加しているが、一部のケースにおいては、攻撃者はユーザー名やパスワードを一切必要としない。これは、クラウドに保存されたデータが公開された状態になっているケースであり、どこを見ればいいか知っている者なら誰でもアクセスできるからだ。
先述の調査レポートは、クラウドセキュリティの一般的な欠陥として、他にも次のような点を警告している。
- 安全でないインターフェースとAPI
- 設定ミスと不適切な変更管理
- クラウドセキュリティのアーキテクチャーと戦略の欠如
- 安全でないソフトウェア開発
このレポートは、IDとアクセスの管理を改善するために、サイバーセキュリティのゼロトラストモデルの導入を推奨している。ゼロトラストでは、クラウド環境全体にわたって、すべての段階でユーザーに認証を要求することで、アクセスする必要のないデータに1組みの認証情報を使用してアクセスすることを防止できるという。
また、ユーザーに脆弱なパスワードの使用を禁じて、侵入者が総当たり攻撃や推測によるアカウントの乗っ取りをできないようにする必要もある。さらに、ユーザーに多要素認証を提供して、攻撃に対する防壁を厚くしなければならない。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)