クラウドセキュリティで対策必須な3つのポイント
2024年にTenableが発表した、クラウドリスクレポートのエグゼクティブサマリーによれば、クラウドセキュリティには有害なトライアド(互いに影響し合い、悪影響をもたらす3つの要素)が存在するという。それは「脆弱性」「ミスコンフィグ」「過剰権限」の3点だ。開発者がセキュリティを考える際には、まずこの3点に注意する必要があると、伊藤氏は指摘する。それぞれ、課題と対策について検討してみよう。
(1)脆弱性
具体的な危険としては、仮想マシンやコンテナなどのワークロードに含まれる脆弱性が放置されやすいことが挙げられる。例えば、これらのワークロードに非常に古いソフトウェアが紛れ込んでいる場合があるが、その中には、深刻な脆弱性が含まれていることもある。このような脆弱性は、ゼロデイ攻撃の糸口となってしまう。例えばLog4jの脆弱性は10年前から存在していたが、実際に発見されたのは3年前のことだ。このように、脆弱性が発見されるタイミングは予測できないため、日頃からゼロデイ対策を講じる必要がある。対策としては、SBOM(Software Bill of Materials)の作成、つまりワークロードに含まれるソフトウェアをバージョン含めリスト化し、最低でも1日1回、継続的に脆弱性スキャンを実施することが必要だ。特にゼロデイ対策には、ワークロードスキャンの自動化が欠かせない。
(2)ミスコンフィグ
ミスコンフィグが生じる要因の一つは、クラウドリソースやデータの設定を一元的に把握できていないことだ。例えば、チームごとにバラバラにアカウントを管理し、勝手にリソースをプロビジョニングしていると、シャドウIT化が進行してしまいがちだ。また、PCI DSSやCISベンチマークといったコンプライアンス標準やベストプラクティスを無視することも、ミスコンフィグを招いてしまう。そこで、ガバナンスを徹底し、ミスコンフィグを防ぐために、マルチクラウド全体のリソースと設定を把握し、継続的に業界標準への準拠をチェックしなければならない。人手でこのような作業を行うのは現実的ではないため、やはりツールを活用し、自動スキャンと、客観的なレポートを作成する仕組みの整備が欠かせない。
(3)過剰権限
例えばユーザーがデータベースやオブジェクトストレージを消去できる権限を持っていると、悪用された場合には大変な被害が出てしまう。そのため、ゼロトラストの考え方を採用し、利用者に与える権限は、アクティビティログなどに基づき、必要最低限に留めなければならない。また多くの企業で、アプリとデータ分析に別々のクラウドを採用するなど、マルチクラウド化が進行しつつあり、権限管理は複雑になってきている。そのためクラウドをまたいだ権限の可視化も不可欠だ。
