セキュリティの
学び場

クラウドの重大セキュリティ脅威 とは

「クラウドの重大セキュリティ脅威 11の悪質な脅威」（以下、「11の悪質な脅威」）はCSAジャパンが CSA(Cloud Security Alliance) の「Top Threats to Cloud Computing The Egregious 11」を日本語化した文書です。 この文書はクラウド環境における特に顕著な11の脅威、リスク、脆弱性についてまとめたもので、 クラウド基盤の管理者・利用者や経営陣がリスク認識や対策をする上で有用な情報がまとめられています。以下が「クラウドの重大セキュリティ脅威 11の悪質な脅威」で上げられている11の項目です。 なお、タイトルでは「11の悪質な脅威」とされていますが、実際には脅威だけでなく、脆弱性とその結果として生じるリスクも項目に挙げられている点にご注意ください。

CSAジャパンではこの「11の悪質な脅威」についてDevSecOpsの観点から 「その脅威に対して、どの工程で、どの様な対策をするか」を具体的に示した 「クラウド重大セキュリティ脅威対策 - DevSecOps のユースケース」（以下、「クラウド重大セキュリティ脅威対策」）を公開しています。 ここでは、「クラウド重大セキュリティ脅威対策」で示された脅威と対策について前後編に分けて解説を行います。

1. データ侵害

「データ侵害」では「クラウド環境のアカウントのハッキング」や「データ公開の操作ミス」等の結果として生じる「データ侵害」というリスクについて記載されています。 原因となる「脅威」や「脆弱性」ではなく、あえてその結果として生じる「データ侵害」というリスクを11項目の先頭に記載している事からも、 このリスクが如何に大きなものであるかが伺えます。 原文である「11の悪質な脅威」では実例として、「Timehop社でのクラウド環境侵害による2100万人のデータ侵害」などが上げられており、 企業の信頼や金銭的損失、知財の流出による競争力低下などのビジネスインパクトが大きいことが示されています。

データ侵害という広範なリスクへ対策するためには開発から運用まで広範に渡る対策が必要になります。 代表的な対策として、「システムの脆弱性」を「脆弱性診断」で検査する事が多くの組織で行われています。 一方で、データ侵害は「システムの脆弱性」を原因とせず、運用上のミスを起因としても生じる場合があります。 このため、「ポリシーや手順を定め、運用上のミスを防止する」ことなどの運用上の対策をとるとともに、 「インシデント対応計画を策定する」といった、問題発生を想定した管理策をとることも重要とされています。

2. 設定ミスと不適切な変更管理

「設定ミスと不適切な変更管理」ではクラウド基盤やサービス等の管理コンソールなどで「不適切な設定」を行うことでシステムが脆弱な状態になる問題について記載されています。 「オンプレ」に対する「クラウド」の利点として「高いスケーラビリティ」や「容易な構成変更」が上げられます。 この「クラウドの利点」は反面、設定ミスのインパクトが大きくなる傾向があります。 原文の事例でも挙げられているようにクラウド基盤のストレージ（AWS S3等）は設定を変更することで容易にWebホスティングなどが可能になっています。 一方で、この設定を誤ったがために1億人以上のデータが公開される等の問題が発生しています。

この「クラウドにおける設定ミス」は近年特に注目されている問題であり、「11の悪質な脅威」でも2番目に挙げられています。 1番に挙げられた「データ侵害」は脅威・脆弱性ではなく、結果としてのリスクであることを考えれば、 「設定ミス」がクラウドにおける注意すべき「インシデントの原因」のトップに挙げられていると言えるでしょう。

対策としては「変更管理ポリシーとベースラインの確立」や「変更検知」、「リソースの継続的検査」等が挙げられます。
「変更管理ポリシーとベースラインの確立」では安全に設定変更を行うための運用を定め、 実際に不適切な設定変更が行われていないかを「変更検知」や「リソースの継続的検査」などで検査します。

ここで注意が必要な点として、クラウドにおける設定ミスは一般的な「Webやネットワークへの脆弱性診断」ではカバーされない事が挙げられます。 一般的なWebやネットワークの脆弱性診断ではIPやURLを起点に診断を行いますが、 「設定ミスによるS3の公開URL」などはこれらのIP/URLとは無関係に生じるため、クラウド基盤に特化した診断が必要となります。

AWS等の大規模なクラウド基盤では年を追うごとにサービスが多様化し、設定項目も膨大になりつつあります。 これに対して「CISベンチマーク」などのチェックシートが公開されているため、 これらを用いて設定のベースラインの策定や検査を行うことが対策として挙げられます。 診断サービスとしてはクラウド上の設定を検査し、そのリスクを提示する「クラウド診断」等が存在します。

3. クラウドセキュリティアーキテクチャと戦略の欠如

「クラウドセキュリティアーキテクチャと戦略の欠如」は「クラウドにおけるセキュリティの考え方と戦略を知らずにクラウドを利用すること」による問題について記載されています。 これが3番目に来ている事は「クラウドは事業者が管理責任を持つから安全だ」のような誤解や「クラウドへの安易な移行」に対する警鐘と考えられます。

クラウドでのシステム構築では「マネージド データベース」等の「マネージド サービス」が選択されることが多々あります。 マネージドサービスでは責任共有モデルに基づき、クラウド事業者が基盤部分の管理を担当するため、管理コストを大きく削減することができます。 ここで注意すべき点が「責任共有モデルに基づき」という部分で、これを理解せず「マネージドだから大丈夫」という誤った認識で管理を怠った場合には意図せぬ被害を生じる恐れがあります。

具体的に想定される問題は「2. 設定ミスと不適切な変更管理」で紹介したようなS3の設定ミスであったり、 「4. ID、資格情報、アクセス、鍵の不十分な管理」で紹介するような情報漏えいであったりしますが、 その背景として、この「クラウドセキュリティアーキテクチャへの不理解」があると考えられます。

4. ID、資格情報、アクセス、鍵の不十分な管理

「ID、資格情報、アクセス、鍵の不十分な管理」は クラウド基盤の認証情報やAPIキー等が侵害されることによる問題について記載されています。 データセンター上のシステムと異なり、クラウド基盤の利点としてWeb上の管理コンソールから基盤の操作を容易に行える点が挙げられます。

一方で、管理コンソールの認証情報が侵害された場合、クラウド基盤からの情報漏えいや改ざん等の壊滅的な影響が生じます。 また、最近では乗っ取られたクラウド基盤上で大量のインスタンスを起動し、暗号資産のマイニングが行う等の攻撃も見られます。 この場合、データ流出だけでなく、高額なインスタンス使用量が請求されるなどの事例も発生します。

クラウド基盤では基盤上の認証情報と権限を細かく設定する仕組（IAM: Identity and Access Management）が提供されています。 クラウド基盤のアカウント管理ではこのIAMを活用し、最小権限原則に基づいた適切な権限付与を行うことが求められます。 また、クラウド基盤は他のシステムと連携するためにAPIキー（アクセスキー）を発行する機能も提供していますが、 同一の鍵を使いまわしたり、鍵の更新（ローテーション）をせずに使い続ける場合等には鍵が侵害される恐れが生じます。

5. アカウントハイジャック

「4. ID、資格情報、アクセス、鍵の不十分な管理」では脆弱なアカウント管理について紹介しましたが、 これと対になる脅威として「アカウントハイジャック」が挙げられます。

攻撃者は様々な方法を用いてアカウントの奪取を試みます。 その攻撃の糸口や目的実現の糸口になるのが先に挙げた「アカウント管理における脆弱性」です。 「11の悪質な脅威」で敢えて、脆弱性と脅威を4番目と5番目に対で挙げている理由としては、「クラウド基盤においてアカウント侵害のリスクが極めて大きいから」と考えられます。 オンプレミスと異なり入館管理のような物理的な防御に依らず、 世界中からアクセス可能なクラウド上の基盤を管理する上では、 アカウント侵害への対策を十分にとることが求められます。

前編のおわりに

今回は「クラウドの重大セキュリティ脅威　11の悪質な脅威」から上位5項目を紹介しました。 「11の悪質な脅威」は「クラウド重大セキュリティ脅威対策」と合わせて実際の事例や想定される対策などが記載されており、 非常に有用な資料と言えます。 ここでは各項目間の関係を読み解き、どの様な意図で各項目が挙げられているのかを考察しました。 後編でも残り6項目について解説を行いますので、どうぞ、最後までお付き合いください。