セキュリティの
学び場

クラウドの重大セキュリティ脅威 後編のはじめに

本稿では前後編に分けて「クラウドの重大セキュリティ脅威 11の悪質な脅威」（以下、「11の悪質な脅威」）で示された脅威と対策について解説をします。前編では11の脅威の内、1から5を解説しました。後編では引き続き6から11を解説します。

6. 内部者の脅威

「内部者の脅威」 では 従業員、請負業者、ビジネスパートナー 等の内部者による脅威を記載しています。「内部者」の対になる存在としてインターネット上の攻撃者等の「外部の脅威主体」があります。ファイアウォールやVPN等の境界防御は主に「外部の脅威主体」を想定するため、これだけでは「内部者の脅威」への備えとしては不十分と言えます。

また、「内部者の脅威」はいわゆる「内部犯行」だけでなく、過失も想定します。「11の悪質な脅威」ではセキュリティインシデントの原因で最も多いのが、この内部者の過失であると指摘しています。具体的な脅威としては内部者によるデータの改ざんや棄損、漏えいなどが挙げられます。

対策としては「システム構築におけるセキュリティ基準の定義・見直し」「アクセス権限の定義と管理方法の確立」「セキュリティ意識のトレーニング」「アクセス履歴の定期検査」「設定ミスの定期検査」等が挙げられています。

これらの対策で重要な点としては内部者の脅威を防ぐ仕組を作ることと言えます。「クラウド重大セキュリティ脅威対策」でもトレーニングやルール策定とともに「犯行の誘因を低減する社内制度」などが挙げられています。

7. 安全でないインターフェースとAPI

「安全でないインターフェースとAPI」ではセキュリティ上の問題があるユーザインターフェース（UI）やAPIを提供したり利用したりすることによる問題について記載しています。UIやAPIはその役割上、最も攻撃者に晒されているシステムの部位と言えます。このUIやAPIに設計上の問題（脆弱性）がある場合、攻撃者にその脆弱性を利用される恐れがあります。

「11の悪質な脅威」ではFacebookでの情報漏えいが事例として挙げられています。また、国内の電子決済サービスでも「安全でない認証とパスワード変更のインタフェース」が大規模な不正利用に発展した事例があります。クラウドサービスではサービス間連携のためにAPIを提供する事例が見られるため、特に注意が必要と言えます。

対策としては「変更管理ポリシーとベースラインの確立」や「変更検知」、「リソースの継続的検査」等が挙げられます。
「変更管理ポリシーとベースラインの確立」では安全に設定変更を行うための運用を定め、 実際に不適切な設定変更が行われていないかを「変更検知」や「リソースの継続的検査」などで検査します。

対策として脆弱性診断・ペネトレーションテスト等による検査とともに、「設計」をセキュアに保つ事が挙げられています。「セキュアな設計」で参考となる基準としてはOWASP ASVSやNIST SP-800-63等が挙げられます。

また、APIを公開する際には「標準的なAPIフレームワーク」の利用を検討することも指摘されています。

8. 弱い管理プレーン

「弱い管理プレーン」ではクラウドシステムの各担当者がクラウドシステムのセキュリティを十分に管理できないことによる問題を指摘しています。「プレーン」はネットワーク管理において用いられる概念で「データプレーン」「制御プレーン」「管理プレーン」等が存在します。データプレーンはパケット等のデータ転送を提供する機能、制御プレーンは転送経路等を制御する機能、管理プレーンはネットワークやデバイスを管理する機能と言えます。

この概念はデータセンターでも共通して存在するものの、クラウド利用では「利用者として必要な機能を利用・追加できない」事があり、これにより「弱い管理プレーン」が問題となる場合があります。
「11の悪質な脅威」では「プレミアムプランでしか2要素認証が提供されていないクラウドサービス」が例として挙げられています。

対策としてはクラウドサービスを選択する際に必要な機能が提供されているかを調査することが挙げられています。この際、GDPR等の法規に従う必要がある場合には、従うべき法規や実施すべき対策の調査・決定も重要となります。

9. メタストラクチャとアプリストラクチャの障害

「メタストラクチャとアプリストラクチャの障害」ではクラウドサービスが提供する基盤（メタストラクチャ/アプリストラクチャ）に障害が生じた際の問題について指摘しています。

クラウド基盤のメタストラクチャで重大な障害が生じた場合、その基盤上で稼働するサービスが停止したり、データを喪失する等の重大な問題が生じる場合があります。この問題への対策として、「機能が成熟したサービス」や「ドキュメントが充実したサービス」を選定する等が挙げられています。

また、オンプレミスの仕組をそのままクラウドに移行する「リフト・アンド・シフト」だけでなく、マイクロサービスやサーバレスの採用等、クラウドネイティブな設計を行うことも対策に挙げられています。

10. クラウド利用の可視性の限界

「クラウド利用の可視性の限界」ではクラウド利用状況の可視化が不適切な場合に生じる「許可されていないクラウド利用」や「クラウドの悪用」等の問題を指摘しています。

クラウド基盤やクラウドサービスはインターネットに繋がれば容易に利用できる利点がある一方、IT部門が管理していない利用が行われる恐れもあります。これをシャドウITと呼びます。シャドウITはIT部門やセキュリティ部門による統制が適用されないため、インシデントの温床となる恐れがあります。

また、許可されたクラウド基盤であっても、適切に利用状況が可視化されていない場合には不適切な利用によりインシデントに発展する恐れがあります。

対策としてはクラウド利用のポリシー策定とトレーニングとともに、CASB等によりクラウド利用を可視化することが挙げられます。

11. クラウドサービスの悪用・乱用・不正利用

「クラウドサービスの悪用・乱用・不正利用」ではクラウド基盤やシステムが攻撃者により攻撃に悪用される問題を指摘しています。

近年、大規模なDDoSやスパム送信にはマルウェア等に感染しBot化したサーバや端末、ネットワーク機器が利用される事例が見られます。このように、クラウド基盤の管理が不適切であったり、システムに脆弱性がある場合、情報漏えい等の直接被害だけでなく、第三者への攻撃に悪用される恐れが生じます。

また、近年は侵入されたクラウド基盤上で大量の計算リソースを消費し、暗号資産をマイニングする等の事例も見られます。この場合、膨大なリソース使用料が請求されるなどの被害が生じます。

対策としては脆弱性診断やペネトレーションテストなどの診断とともに、「2. 設定ミスと不適切な変更管理」や「4. ID、資格情報、アクセス、鍵の不十分な管理」で記載した対策が挙げられます。

おわりに

本稿では前後編に分けて「クラウドの重大セキュリティ脅威 11の悪質な脅威」の各項目を解説しました。「11の悪質な脅威」では「オンプレミスをそのままクラウドへ移植することへの警鐘」が随所で述べられています。例えば、クラウド基盤の設定ミスによるストレージ公開等は従来のWeb診断等では対応できず、それに適した診断（クラウド診断）が必要となります。

これからもクラウドサービスへの理解を深め、安全に活用頂ければと思います。