セキュリティはあらゆるビジネスに不可欠な側面であり、セキュリティ対策をすり抜けようとする悪意あるアクターは決してゼロにはなりません。クラウドへの移行とサードパーティサービスへの依存により、攻撃の手段がさらに増えています。多くの企業によく見られる脆弱性の1つに、セキュリティの設定ミスがあります。

セキュリティの設定ミスは既製のコードやサービスに依存している場合によく発生しますが、ネットワークセキュリティからパスワード保護までミスはどこでも起こりえます。セキュリティの設定ミスが大きな影響を及ぼすことがありますが、適切な予防策とサイバーセキュリティで防ぐことができます。

セキュリティの設定ミスとは

セキュリティの設定ミスは、コードの設定に存在する、攻撃者に機密データへのアクセスを許すようなエラーまたは脆弱性です。セキュリティの設定ミスには多くの種類がありますが、そのほとんどが、データ侵害に対して脆弱であること、および攻撃者がデータに不正にアクセスできてしまうことという同じ危険性をもたらします。

セキュリティの設定ミスとその危険性

セキュリティの設定ミスでは、セキュリティの設定における欠陥が関連しているため、データが侵害され、ひいてはシステム全体が侵害される可能性があります。侵害されるデータの価値によっては、企業に大きな悪影響が及ぶこともあります。攻撃者は、セキュリティの設定ミスを利用することで、アプリケーションを悪用したり、さらには一部を改ざんしたりするおそれがあります。こうしたセキュリティの設定ミスの脆弱性があると、企業は攻撃の標的としてさらされることになります。

セキュリティの設定ミスの例

セキュリティの設定ミスの具体的な例として、Active Directoryドメイン内の脆弱性であるADの設定ミスがあります。これらの一般的なセキュリティの設定ミスは、攻撃者による管理特権の取得から、複数の管理者がホスト上でサービスを実行することにより発生する問題まで多岐にわたります。

別の例として、コラボレーションツールであるJIRAで検出されたセキュリティの設定ミスがあります。1つの設定ミスで多くの会社が企業データや個人データの公開という脆弱性にさらされました。この場合、セキュリティリスクの原因は、グローバル権限の認可の設定ミスでした。これらは、企業に影響を与えうる多様なセキュリティの設定ミスのうちの2つにすぎません。

セキュリティの設定ミスが発生する経緯

セキュリティの設定ミスは、セキュリティの設定が適切に導入されていないか、まったく導入されていない場合に発生します。クラウドの設定ミスとアイデンティティサービスの設定ミスのどちらも、不適切なセキュリティの設定から生じます。

セキュリティの設定ミスのタイプ

企業に影響を与える可能性のあるセキュリティの設定ミスにはいくつかのタイプがあります。

• ADの設定ミス。管理者とドメインの認証情報が露出されます。
• アイデンティティアクセスの設定ミス。攻撃者がアプリケーションに簡単にアクセスできるようになります。
• APIセキュリティの設定ミス。エンドポイントに対する制限がなく、ファイルが保護されないままになります。
• ネットワークセキュリティの設定ミス。情報システムの設定に誤りがあります。
• クラウドセキュリティの設定ミス。クラウド環境にギャップが残されたままになり、それがセキュリティ侵害をもたらす可能性があります。
• Webサーバーの設定ミス。不要なデフォルトとサンプルファイルに含まれていることがよくあります。

セキュリティの設定ミスは、セキュリティ対策が必要になるアプリケーションやコードのあらゆる側面で起こりやすいと言えます。

セキュリティの設定ミスの原因

セキュリティの設定ミスが発生する経緯はさまざまです。以下に、よくある原因を挙げます。

• ベンダーから提供されたデフォルトの認証情報やデフォルトのパスワードをそのまま使用している
• 使用されない機能をインストールする
• ディレクトリトラバーサル
• 偶発的なセキュリティの不十分なコーディング

セキュリティの設定ミスの影響

セキュリティの設定ミスがあると、企業が攻撃にさらされるリスクが高くなり、攻撃者にアクセスを獲得されると、企業に大きな影響が及ぶ可能性があります。セキュリティの設定ミスのリスクは、露出されるデータによって異なります。大小を問わず、セキュリティの設定ミスがあると、企業は金銭、顧客、評判を失うおそれがあります。

セキュリティの設定ミスのリスク

セキュリティの設定ミスで特に重大なリスクは、システム、サービス、またはデータが攻撃者にさらされることです。攻撃のタイプに応じてリスクのレベルもさまざまです。ディレクトリトラバーサル攻撃では、攻撃者は不正なアクセスを獲得して、ファイル構造を参照し、脆弱性を見つけます。アプリケーションの一部を改ざんしたり、アプリケーションをリバースエンジニアリングしたりして、企業に重大な損失をもたらすこともあります。

このほか、ファイアウォールや未使用の管理ポートに設定ミスがあると、企業はリモート攻撃の脆弱性にさらされます。クラウドに設定ミスがあると、攻撃者がアプリケーションにアクセスできる可能性があり、クラウドに保存されているデータの内容によってはさらに別のセキュリティリスクが生じます。セキュリティの設定ミスによって、企業は、直接的かつ長期的な影響をもたらすリスクにさらされます。

セキュリティの設定ミスが企業にもたらす影響

攻撃者による機密データの漏洩や盗難が生じると、顧客を失ったり、セキュリティ対策義務の不履行による規制への違反金が生じたり、財務上および評判上の損害を受けたりする可能性があります。また、企業にとって重大な情報が攻撃者の手に渡ると、さらなるリスクにさらされるおそれがあります。セキュリティの設定ミスの欠陥が原因でアクセスが獲得されると、システム全体の侵害につながるおそれもあります。

データやアプリケーションが侵害を受けると、ビジネスが停滞したり、場合によっては生産停止に追い込まれたりすることがあります。露出されたアプリケーションやデータの保護の必要性が高いほど、ビジネスが受ける悪影響も大きくなります。セキュリティの設定ミスを防ぐことが不可欠である理由がここにあります。

セキュリティの設定ミスの防止

セキュリティの設定ミスを防ぐには、必要なセキュリティ対策を導入し、通常はIAM（アイデンティティおよびアクセス管理） フレームワークを使用してアクセス制御をしっかりと実施する必要があります。また、セキュリティの設定ミスが生じたときに迅速かつ正確に診断できるよう、必要な手段を用意しておくことも重要です。

セキュリティの設定ミスを診断する方法

すでに存在するセキュリティの設定ミスを見つけることは、それを防ぐのと同じくらい重要です。まず、企業は自社のエコシステム全体の可視性を高める必要があります。ネットワーク図とセキュリティスキャンを使用することで、事前に想定したアプリケーションのパフォーマンスについてインサイトを得ることができます。可視性を高めてリアルタイムのインサイトを獲得すると、企業は問題になる前にセキュリティの設定ミスを見つけることができます。

スキャンに加えて、社内でのテストと社外でのアプリケーションセキュリティテストを実施すると、脆弱性についてインサイトを獲得できます。テストステージでは、見つかったセキュリティの設定ミスを診断できます。展開前に実施すると、攻撃者が機会を得る前にリスクを防ぐことができます。セキュリティに対する脅威を防御するために必要なステップは数多くありますが、中でも特に重要なのが調べるべき対象を知ることです。

セキュリティに対する脅威の防御についての詳細を知る

セキュリティの設定ミスは、どの企業にとっても脆弱性になります。こうした設定ミスの原因となるのが、セキュリティ機能が十分に実装されていないか、まったく実装されていないことです。そうなると、企業への損害が長引くおそれがあります。適切な診断と防御を実装すると、セキュリティの設定ミスがもたらすリスクを軽減できます。

CrowdStrike Falcon®プラットフォームでは、企業のコードとアプリケーション全体にわたって強固なセキュリティ対策を実装することで、セキュリティの設定ミスを防止および診断できます。