セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場技術・仕組み情報漏洩はこうやっておこる｜クラウド編

情報漏洩はこうやっておこる｜クラウド編

2021.06.10 技術・仕組み

クラウドでの情報漏洩増加の背景
情報漏洩事例

クラウドでの情報漏洩増加の背景

近年、顧客管理システムや経理システム、メールや文書等の社内情報システム等、あらゆる機能がクラウド化されており、企業でのクラウドサービスの利用が一般的になってきています。一方でクラウドでの情報漏洩の事例も多く報告されており、その原因の多くにユーザーによるクラウドの設定ミスやアクセスキーなどの不適切な管理が挙げられます。

クラウドサービスは便利な反面、ユーザーがコンソールにて実施できる設定が、多岐の機能、リソースに渡っており、一部複雑な設定なども存在します。さらに、各種機能のバージョンアップも日々活発に行われており、利用可能な機能や設定項目が日々追加・更新されます。

そうした中で、クラウド環境を管理する技術者にも相応の知識が求められます。セキュアにクラウド製品を設定するには、このようなクラウド製品の知識やスキルに加えてセキュリティに関する知識も必要となり、こうした問題を難しくしている一因と言えます。

情報漏洩事例

実際の情報漏洩事例を元に原因を見ていきましょう。

不十分な認証による不正ログイン

二要素認証やアクセス元制限などを行わない事でインターネットから不正ログインされ、情報漏洩や不正操作に繋がります。

ストレージのアクセス制御不備による情報漏洩

Amazon S3等のストレージの権限設定に不備があると、情報漏洩に繋がります。

RDSの公開設定による情報漏洩

S3同様にRDSがグローバルネットワークからアクセス可能であったり、権限設定に不備があると情報漏洩に繋がります

アクセスキーの漏洩による情報漏洩

アクセスキーを生成し、ソースコードに直接書いていたりした場合、ソースコードが漏洩したり、PublicなGitHubリポジトリに格納したりされていると、アクセスキーが漏洩し、不正アクセスされる事で、情報漏洩や不正操作に繋がります。

暗号キーの不適切な管理による情報漏洩

秘密鍵をKMS（鍵管理システム）を用いずにEC2などの仮想マシン上に保管しておくと、仮想マシンが不正アクセスを受けたり、マルウェアに感染した場合などに攻撃者に鍵が漏洩し、情報漏洩や不正操作に繋がります。

あなたの疑問を一緒に解決します！

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します！
ぜひご気軽にご投稿ください。

お問い合わせ

クラウドの脆弱性診断にご興味があるかたはこちら

サービスをみる

この記事の著者櫻林賢治

前職では大手電機メーカーのグループ会社にて、主にWebアプリケーションのシステム開発業務に従事。 2016年より3年間、独立行政法人情報処理推進機構（IPA）に派遣され、標的型サイバー攻撃の被害に遭われた企業・団体に対する、インシデント初動対応の支援業務に従事する。IPAでの業務経験により、サイバーセキュリティの業界に関心を持ち、2020年4月より、株式会社SHIFT SECURITYに入社。同社ではクラウド環境の脆弱性診断、監視業務に従事。