クラウドの脆弱性とは？

クラウド脆弱性とは、クラウドインフラに存在する弱点や見落とし、構成上の隙（ギャップ）などであり、攻撃者や権限のないユーザーがそれを悪用して組織の環境に不正アクセスし、被害をもたらす可能性があります。

クラウドは非常に動的かつ分散的な特性を持つため、企業がストレージやコンピューティングにクラウドホスティングを活用するにつれて、クラウドサービスへの攻撃リスクも高まっています。クラウドストライクの2024年版グローバル脅威レポートによれば、2023年のクラウド環境への侵入は75％増加しました。また、クラウドワークロードを侵害できることを認識し、その知識を使ってクラウド特有の機能を悪用するクラウドを意識した脅威アクターが関与するケースが、110％急増したことも明らかになりました。多くの場合、脅威アクターは正規の認証情報を入手してクラウド環境へアクセスし、組織が承認したツールを使って攻撃をさらに拡大します。

クラウドの脆弱性を適切に管理しないと、顧客データの漏洩により評判を損ない、事業損失につながるおそれがあります。

この記事では、組織が直面しうる8つの主要なクラウドの脆弱性を取り上げ、それらを軽減するための対策を紹介します。

#1 クラウドの設定ミス

クラウドの設定ミスは、最近のNSAによる調査で報告されているように、おそらく組織が直面する最も一般的な脆弱性です。設定ミスにはさまざまな形式や形態がありますが、そのいくつかを以下で説明します。多くの場合、優れたプラクティスに関する知識の欠如や、DevOps/インフラチームからのピアレビューの欠如が原因です。

アイデンティティ/アクセス管理

セキュアでないアイデンティティ/アクセス管理 (IAM) の実施は、クラウドシステムの一般的な脆弱性です。つまり、インフラストラクチャのユーザーまたはサービスが、アクセスできないはずのリソースや不要なリソースにアクセスできる場合に発生します。

この脅威を最小限に抑える方法は、次のとおりです。

• すべてのクラウドリソースとユーザーに最小特権の原則を徹底します。この原則では、サービスが読み取りアクセスまたはリソースのサブパートへのアクセスのみを必要とする場合に、リソースへの完全なアクセスを常に付与しません。
• サードパーティのツールを使用して、IAMポリシーの設定ミスをスキャンして検出します。クラウドネイティブアプリケーション保護プラットフォーム (CNAPP) は、設定ミスの可視性を高めるのに役立ちます。
• アクセス要件は時間の経過とともに変化するため、アクセスと特権を頻繁に確認します。

パブリックデータストレージ

この脆弱性は、S3バケットやSQLデータベース（それほど頻繁ではない）などの特定のデータBLOBが部分的または完全に公開され、読み取り専用または読み取りと書き込みの両方でアクセスされる場合に発生します。この問題の一般的な原因は、リソースの設定ミスです。

DevOpsチーム、システム管理者、マネージャーは、パブリックデータストレージの設定ミスのリスクを最小限に抑えるための、いくつかの基本原則に従う必要があります。

この脅威を最小限に抑える方法は、次のとおりです。

• サードパーティのツールを使用してインフラストラクチャをスキャンし、この種の脆弱性をすばやく検知します。
• クラウドリソース用のデータストレージは、デフォルトで常にプライベートに設定します。
• Terraformまたはその他のIaCフレームワークを使用する場合は、必ずチームの別のメンバーにコードとしてのインフラストラクチャのファイルを確認してもらいます。

その他の設定ミス

他にも多くの脆弱性が、このカテゴリーに存在します。設定ミスを減らすための優れたプラクティスは、次のとおりです。

• 常にHTTPではなくHTTPSを使用します（SFTPではなくFTPにするなど、他のプロトコルについても同様）。また、最新バージョンのSSL/TLSを使用する必要があります。
• インターネットに接続する特定のマシンの、不要な受信ポートと送信ポートがあれば、すべて制限します。
• APIキーやパスワードなどのシークレットは、安全なシークレット管理ソリューション（AWS Secrets Managerなど）を使用して1か所でのみ保管します。

#2 安全でないAPI

APIは現代のソフトウェア開発で急増しており、マイクロサービス、アプリケーション、Webサイトのバックエンドで使用されています。それらは、モバイルデバイス、アプリケーション、Webページ、サードパーティ、ボット、スパマー、ハッカーから受信したリクエストを処理する必要があります。そのため、安全なAPIを備えてサイバー脅威を確実に軽減し、不要なトラフィックから保護することが重要です。

これらの悪意のあるリクエストは、さまざまな形式をとる可能性があります。最も一般的なものは、以下のとおりです。

• コードとクエリのインジェクション（SQLインジェクション、コマンドインジェクション）
• 正しくないアクセス制御の利用
• 古いコンポーネント（ソフトウェアライブラリ、データベースエンジン、ランタイム環境など）に起因する脆弱性の標的化

多くのクラウドプロバイダーは、社内のソリューションを提供しています。それ以外に、APIセキュリティを確保するために自分で実行できる簡単な手順がいくつかあります。

この脅威を最小限に抑える方法は、次のとおりです。

• Webアプリケーションファイアウォール (WAF) を実装して、リクエストをIPアドレスまたはHTTPヘッダー情報でフィルタリングし、コードインジェクション攻撃を検出します。WAFでは、ユーザーごとのレスポンスの限度数やその他のメトリックを設定することもできます。
• DDoS保護を実装します（詳細については、以下を参照してください）。

# 3 可視性の欠如

クラウドサービスの利用が増えると、インフラストラクチャの規模も拡大します。企業が何千ものクラウドサービスのインスタンスを使用している場合、紛失したり、実行中のインスタンスの一部を忘れたりしがちです。インフラストラクチャ全体の状態の可視化が簡単で、便利にアクセスできる必要があります。

クラウドインフラストラクチャの可視性の欠如は、脅威へのアクションを遅らせ、データ侵害につながる可能性のある大きな問題です。そのため、マネージャー、システム管理者、DevOpsチームは、プロアクティブなセキュリティアプローチを取る必要があります。

この脅威を最小限に抑える方法は、次のとおりです。

• 脅威をモニタリングして検知します。
• クラウドインフラの可視性を確保します。
• CNAPPなどのツールを実装します。これにより、リスクを最小限に抑え、侵害が発生した場合の対応時間を短縮できます。

#4 多要素認証の欠如

多要素認証 (MFA) は、ユーザーがアカウントまたはデータにアクセスするために、少なくとも2つの形式のID検証を提示する必要がある認証方法です。例えば、一般的なMFAは、ユーザーがユーザー名とパスワードを入力する必要がある場合です。次に、ユーザーは、2番目の検証として携帯電話のSMS、Eメール、プッシュ通知で受信したワンタイムパスワード／コードなどを入力するように求められます。

パスワードとユーザーは盗難に対して脆弱であり、MFAを実装していない場合は潜在的に重大な脆弱性となります。

この脅威を最小限に抑える方法は、次のとおりです。

• 組織全体にMFAを実装して、システムへのアクセスに必要な追加の認証レイヤーを利用します（物理的な電話やEメールアドレスなど）。
• アカウントとデータへのクラウドアクセスを許可された従業員には、常にMFAを適用します。

# 5 悪意あるインサイダー

不正アクセスは、ユーザーが企業の一部またはすべてのクラウドリソースのアクセスを取得した場合に発生します。

これらの悪意のあるインサイダーがクラウドアカウントにアクセスする方法はいくつかあります。「クラウドの設定ミス」セクションで説明したように、これはルールが緩すぎるか、元社員がアカウントに対して正規の認証情報を引き続き保有していることが原因である可能性があります。

悪意のあるインサイダーは、フィッシング攻撃の成功や、認証情報の脆弱な（パスワードが単純すぎる、アカウント間で共有されるパスワードなど）セキュリティを利用したアカウントの乗っ取りによって企業のクラウドリソースにアクセスすることもできます。この種の脆弱性は、データが盗まれたり変更されたりするリスクがあるだけでなく、知的財産も危険にさらされるため、特に危険です。

この脅威を最小限に抑える方法は、次のとおりです。

• MFAがアクティブ化されていることを確認します。
• 自動化ツールを使用してフィッシングEメールを除外します。
• フィッシング攻撃について従業員を教育します。
• 安全なパスワードの慣行が守られていることを確認します。

# 6 分散型サービス拒否攻撃

分散型サービス拒否 (DDoS) 攻撃は、WebサイトなどのWebサービスを停止させようとする悪意のある試みです。これは、さまざまなソースからのリクエストでサーバーを氾濫させ（したがって分散型）、過負荷状態にします。この目的は、サーバーが正当なユーザーからのリクエストに応答しないようにすることです。

この脅威を最小限に抑える方法は、次のとおりです。

• DDoS攻撃から保護するクラウドプロバイダーを選択します。AWS Shieldなど、ほとんどの場合、統合が簡単で、追加費用はかかりません。
• クラウドサービスのDDoS保護が常に有効になっていることを確認します。

クラウドコンピューティングの脆弱性はますます一般的になっており、組織は確実にリスクを軽減するために行動する必要があります。最も一般的なクラウドセキュリティの脅威について説明しましたが、対処すべき脆弱性は他にもたくさんあります。クラウドストライクは、脆弱性を保護、防止、対処するための高度で自動化された統合セキュリティを提供します。Falconクラウドセキュリティソリューションの詳細情報。

#2：安全でないAPI

最近のソフトウェア開発ではAPIが広く使用されており、マイクロサービス、アプリケーション、Webサイトのバックエンドなどで活用されています。APIは、モバイルデバイス、アプリケーション、Webページ、サードパーティ、さらにはボット、スパマー、ハッカーから受信したリクエストを処理する必要があります。そのため、APIを安全に保つことは、攻撃対象領域を縮小するために極めて重要です。

悪意のあるAPIリクエストは、さまざまな形態を取ることがあります。最も一般的なものには、以下が含まれます。

• コードとクエリのインジェクション（SQLインジェクション、コマンドインジェクション）

• パラメーターの改ざん 

• 無制限のファイルアップロード

多くのクラウドプロバイダーは、APIを保護するための自社ソリューションを提供していますが、自分で実行できる簡単な対策でもAPIのセキュリティリスクを軽減することができます。

この脅威を最小限に抑える方法は、次のとおりです。

• Webアプリケーションファイアウォール (WAF) を実装して、リクエストをIPアドレスまたはHTTPヘッダー情報でフィルタリングし、コードインジェクション攻撃を検出します。WAFでは、ユーザーごとのレスポンスの限度数やその他のメトリックを設定することもできます。

• 入力の検証とサニタイズを採用します。

• レート制限とスロットリングを活用します。

• データ最小化の原則に従います。

#3：可視性の欠如

クラウドサービスの利用が増えると、インフラストラクチャの規模も拡大します。企業がクラウドサービスのインスタンスを何千という単位で使用している場合、それらすべてがどうつながっているかを追跡したり、特定のタイミングでどれが本番実行されているかを見極めたりすることが困難になる可能性があります。インフラストラクチャ全体の状態の可視化が簡単で、便利にアクセスできる必要があります。

クラウドインフラストラクチャの可視性が不足すると、脅威への対応が難しくなります。脆弱性の原因を突き止めるのは、干し草の山の中から針を探すようなものだからです。セキュリティチームとDevOpsチームは、どちらもクラウドのセキュリティ状況をリアルタイムで継続的に把握し、可視性を維持する必要があります。セキュリティチームはリスクのインサイトを把握し、DevOpsチームはクラウドリソースとアプリケーションを管理しているからです。

この脅威を最小限に抑える方法は、次のとおりです。

• クラウドセキュリティポスチャの継続的かつリアルタイムな可視性を確保してください。

• CNAPP（クラウドネイティブアプリケーション保護プラットフォーム）などのツールを導入してください。CNAPPは、クラウドセキュリティの潜在的な脅威や脆弱性の監視、検出、修復を簡素化するオールインワンのプラットフォームです。

#4：シャドーIT

組織がクラウドインフラストラクチャの可視性を欠く主な理由の1つは、シャドーITの利用です。シャドーITとは、IT部門の承認なしにクラウドリソースやその他のデジタルアセットを導入することを指します。企業が急成長すると、従業員は業務の中断を避けるために承認プロセスを省略しがちで、その結果、シャドーITが蔓延することになります。

シャドーITは、セキュリティ上のリスクを引き起こします。なぜなら、未承認のアセットは多くの場合、不注意によりセキュリティが適切に確保されていないからです。これらのアセットは承認されたプロセスを経ていないため、たとえば従業員がデフォルトのパスワードをそのまま使用したり、設定ミスを犯したりする可能性があります。

この脅威を最小限に抑える方法は、次のとおりです。

• 組織のニーズを把握し、理解するために、事業全体で定期的な監査を実施してください。

• リアルタイムのモニタリングを継続的に活用して、すべてのデバイスの可視性を確保し、制御できるようにしてください。

• 適切なセキュリティポリシーを確立し、作成されるすべてのリソースに対してこれらのポリシーを適用することで、企業のコンプライアンスを確保してください。

#5：不適切なアクセス管理

IAM（アイデンティティおよびアクセス管理）のセキュリティ不足は、クラウドシステムにありがちなリスクです。主としてこれは、ユーザーまたはサービスが、アクセスするべきでないリソースやアクセスする必要のないリソースにアクセスできてしまうという場合に発生します。アクセス管理が不適切だと、それは、アカウント乗っ取りなどの攻撃者による悪用につながります。

アカウント乗っ取りは、フィッシング、キーロギング、ブルートフォース攻撃、クロスサイトスクリプティング (XSS) などを用いて、脅威アクターが機密認証情報を盗む攻撃の一種です。また攻撃者は、クラウドサービスに悪意のあるソフトウェアを仕込むことにより、データを漏洩させたり、操作を妨害したりすることもあります。

この脅威を最小限に抑える方法は、次のとおりです。 

• すべてのクラウドリソースとユーザーに最小特権の原則を徹底します。この原則では、サービスが読み取りアクセスまたはリソースのサブパートへのアクセスのみを必要とする場合に、リソースへの完全なアクセスを常に付与しません。

• サードパーティのツールを使用して、IAMポリシーの設定ミスをスキャンおよび検出します。クラウドネイティブアプリケーション保護プラットフォームは、設定ミスの可視化を高めるのに役立ちます。

• アクセス要件は時間の経過とともに変化するため、アクセスと特権を頻繁に確認します。

• 組織全体に多要素認証 (MFA) を実装し、システムへのアクセス時に追加の認証手段を要求するようにします（例えば、物理的な電話やEメールアドレスなど）。

• クラウド環境でアカウントやデータへのアクセスが許可された従業員には、リスクベースの多要素認証を適用し、セキュリティと操作性のバランスを取るようにします。

#6：悪意あるインサイダー

悪意あるインサイダーはインサイダー脅威とも呼ばれ、組織内部から発生するサイバーセキュリティのリスクで、一般に不満を抱いた従業員や不注意な従業員によって引き起こされます。このような悪意あるインサイダーがクラウドアカウントアクセスする方法はいくつかあります。例えば、退職した従業員が依然として正規の認証情報を持っていると、そのままアカウントにアクセスできてしまいます。

また、フィッシング攻撃の成功や、脆弱な認証情報（例：単純すぎるパスワードやアカウント間でのパスワード使い回し）を悪用したアカウントの乗っ取りを通じて、クラウドリソースへアクセスされる可能性もあります。この種の脆弱性は特に危険であり、リスクはデータの窃取や改ざんにとどまらず、知的財産にも及ぶ可能性があります。

この脅威を最小限に抑える方法は、次のとおりです。

• MFAがアクティブ化されていることを確認します。

• 自動化ツールを使用してフィッシングEメールを除外します。

• フィッシング攻撃について従業員を教育します。

• 従業員が安全なパスワードの使用方法を守るよう徹底します。

#7：ゼロデイ脆弱性

ゼロデイ脆弱性とは、パッチや修正プログラムが存在しないセキュリティ上またはソフトウェア上の欠陥を指します。したがって、このような脆弱性は、多くのアンチウイルスソフトウェアやシグネチャベースの脅威検知技術では検出できません。攻撃者が脆弱性の悪用に成功した場合、機密データの流出やリモートコード実行を試みたり、正当なユーザーによるクラウドサービスへのアクセスを妨害したりする可能性があります。

この脅威を最小限に抑える方法は、次のとおりです。

• ソフトウェアアップデートをすべてのエンドポイントに定期的に展開します。

• リスクの優先度に基づいてパッチ適用の取り組みに優先順位を付けます。

• 振る舞いに基づいたリアルタイムの攻撃遮断メカニズムを導入します。

#8：ヒューマンエラー

タレスのグローバルクラウドセキュリティ調査によると、報告されたクラウドデータ侵害インシデントのうち44%は、人間の行動によるものでした。それらのエラーは、設定ミスやアクセス管理の問題など、さまざまな形を取る可能性があります。これらの脆弱性の多くは、セキュリティのベストプラクティスに関する知識不足や、戦略的な計画の不足によるものです。

この脅威を最小限に抑える方法は、次のとおりです。

• DevOpsチーム、システム管理者、マネージャーに対して、クラウドセキュリティのベストプラクティスに関するトレーニングを実施します。

• 従業員にフィッシングEメールの見分け方についてトレーニングを行います。

• パブリックデータストレージの設定ミスのリスクを最小限に抑えるための基本原則に従います。

• セキュリティプロセスと要件に関する適切なドキュメントを維持します。

• クラウドサービスプロバイダーのセキュリティポスチャを評価し、責任共有モデルを理解します。

• インシデント対応計画を策定し、緊急時に自分の役割を全員が理解できるようにします。

• ネイティブシステムとサードパーティパートナーシステムにおける最も一般的な脆弱性に常に注意を払います。

クラウドストライクがクラウド環境を保護する方法

クラウドの脆弱性は広まり続けており、高度に分散した動的なクラウド環境を組織で管理することは非常に困難になっています。最も一般的なクラウドセキュリティの脅威について説明しましたが、対処すべき脆弱性は他にもたくさんあります。クラウドストライクは、複数の独立したテスト組織やサードパーティのアナリスト企業からサイバーセキュリティのリーダーとして認められており、スケーラブルで効果的なクラウドセキュリティの設計に先見の明を持つアプローチを採用しています。これにより、マルチクラウドの可視性、セキュリティ、コンプライアンスを単一の統合プラットフォームで提供しています。CrowdStrike Falcon® Cloud Securityは、完全に統合されたCNAPPソリューションとしてゼロから構築されており、運用を簡単に開始でき、顧客エンドポイントからクラウドまで、エージェントレスおよびエージェントベースの保護を提供します。