サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 インシデント事例 DevSecOps 実現の課題解決に「クラウドの重大セキュリティ脅威 11の悪質な脅威」

DevSecOps 実現の課題解決に「クラウドの重大セキュリティ脅威 11の悪質な脅威」

目次
  • 今回の解説ニュース
  • 開発と運用にセキュリティを加える DevSecOps とは
  • 最も気になるクラウドセキュリティ脅威は「設定ミス」

今回の解説ニュース

DevSecOps 実現の課題解決に「クラウドの重大セキュリティ脅威 11の悪質な脅威」、事例を具体的社名を挙げ豊富に掲載

一般社団法人日本クラウドセキュリティアライアンス(CSAジャパン)は10月25日、「クラウド重大セキュリティ脅威対策-DevSecOpsのユースケース-」を公開した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

クラウドの重大なセキュリティの脅威を踏まえたセキュリティ対策を、DevSecOpsのサイクルに落とし込んで解説されています。DevSecOpsの概要や、クラウドの脅威について説明します。

DevSecOpsとは、Developmentの開発とOperationsの運用に、セキュリティを組み合わせた造語です。開発と運用が連携するDevOpsにセキュリティを融合させることで、セキュアな開発を目指すものです。

今回の資料は、DevSecOps実現のために、クラウドの重大セキュリティ脅威を起点としたユースケースを整理して、利用者がイメージしやすくすることを目的としています。具体的に挙げられているクラウドのセキュリティ脅威は「データ侵害」「設定ミスと不適切な変更管理」「クラウドセキュリティアーキテクチャと戦略の欠如」「ID・資格情報・アクセス・鍵の不十分な管理」「アカウントハイジャック」「内部者の脅威」「安全でないインターフェースと API」「弱い管理プレーン」「メタストラクチャとアプリストラクチャの障害」「クラウド利用の可視性の限界」「クラウドサービスの悪用・乱用・不正利用」の11で、問題点と対応策、DevSecOpsを踏まえた対処が紹介されています。

開発と運用にセキュリティを加える DevSecOps とは

DevSecOpsは一言でいうと開発手法の一つです。DevSecOpsの必要性について、できるだけわかりやすく説明します。

DevSecOpsを説明する前に、まずDevOpsについて理解する必要があります。DevOpsは、開発者と運用者が連携して協力することで、以前より迅速かつ頻繁にリリースを行う開発手法です。例えば、開発部門と運用部門や品質部門が分断された組織として開発を行っている場合、全体の開発期間が長くなってしまうことは、なんとなくイメージができるのではないでしょうか。DevOpsは、テストの自動化など技術的な内容以外に、組織の文化的なあり方についても触れられています。

開発工程がDevOpsなどでより短縮化されることで、開発におけるセキュリティの実装も寄り添っていくことが求められます。また、自動化などの技術的な要素だけではなく、組織としての責任も共有されていることが必要です。

最も気になるクラウドセキュリティ脅威は「設定ミス」

クラウドで最も気になるセキュリティの脅威は「設定ミス」です。1年以上前になりますが、クラウドセキュリティに関するセミナーで講演した内容を振り返りながら、設定ミスのセキュリティ脅威について説明します。

日本固有の習慣「PPAP」
AWS上に構築されたシステムのインシデントとして、Webアプリケーション経由でS3バケットに格納していた数万件以上の個人情報が漏洩した事例があります。原因は、S3バケットが公開設定になっていたことや、閲覧や書き込みが可能な状態になっていた事が挙げられます。また、RDSに保存されている全データが攻撃者によって暗号化され、身代金を要求されたインシデント事例があります。
メール送受信履歴から添付ファイルを漏えいさせない為に
原因は、RDSがグローバルネットワークからアクセス可能だったり、データベースのパスワードが推測され、アカウントが奪取された事が挙げられています。これらはすべて、クラウドの設定ミスにより発生したインシデントです。簡単に使い始められるクラウドであるが故に、発生しやすいインシデントでもあるとも言えます。対策としては、クラウドサービスごとのベストプラクティスを活用することや、自動化された仕組みとしてはCSPMの導入などが挙げられます。

音声で聴かれるかたはこちら

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ