クラウドセキュリティにおける7つの隠れた真実
20年近くの間、クラウドコンピューティングは理想的な夢を語り、それを実現してきました。リソースが不足している企業でも、より良い設備と十分な資金力を持つ巨大な競合企業に対抗することができ、一方でそれらの巨大企業は、クラウドがもたらす自由と柔軟性を享受することができるのです。
その夢が現実となった今こそ、私たちはクラウドが企業のセキュリティにとってどのような意味を持つのかについて考え直し、いくつかの厳しい現実と向き合うべきです。そしてそれは、基本的な原則が以前とどのように違うのかを理解することから始まります。
もちろん、クラウドにはさまざまな種類があります。私たち全員が利用しているにも関わらず、ほとんどのエンドユーザーは気にもしていないIaaS(Infrastructure-as-a-Service)やPaaS(Platform-as-a-Service)、多くの人が毎日使用しているMicrosoft 365やSalesforceなどのSaaS(Softwareas-a-Service)ツールなどです。
これらのクラウドに共通するのは、セキュリティに対する「責任共有」という概念です。クラウド事業者が組み込んでいるプラットフォームの制御以外のものについて、顧客側が責任を負わなければなりません。
クラウドへ移行することで新たにもたらされる脅威がある場合、それから自らを守るためのリソースを持つ企業はごく少数であり、その状況を変えるために企業ができることは、ほとんどありません。クラウド利用の際の「本当」のコストには、利用に伴うセキュリティ課題に対応するためのコストまでが含まれるのです。しかしそれは多くの場合、実際に侵害が発生するまで正しく認識されることはありません。
本ドキュメントでは、2022年時点でのクラウドセキュリティにおける7つの隠れた真実を明らかにし、企業が新しいルールブックをどのように作成しようとしているかをご紹介します。このルールブックの活用によって、本来のクラウドアプローチのメリットを取り戻すことを可能にします。
クラウドを利用するメリットは、リスクを上回るものでなければなりません。この問題に取り組むためには、「outcome-based」型のアプローチをとることが効果的です。
「私は、クラウドに対する攻撃検知について、信頼して任せられる企業を1つか2つしか思いつきません。そういった重要な機能を実現している企業のほとんどすべては、完全に社内で開発されたものです。最大規模の銀行ならば問題は無いでしょう。しかし残りの99.5%にとっては、難しいのではないでしょうか。」
Nick Jones, Principal Security Consultant, WithSecure™
隠れた真実 1
見えないものは守れない
Ishan Singh-Levett
Director, Product Management
見えていないものを守ることはできません。そしてクラウドにおける可視性の問題は、IT部門にとっての未解決の問題(シャドーIT)の新たな形態といえます。BYOD(Bring Your Own Device)は、BYOC(Bring Your Own Cloud)と結びついたのです。
クラウドの強みの1つは、誰もが簡単に好きなだけのコンピューティングリソース、ストレージ容量、あるいはアプリケーションを最小限の手間で利用できることです。しかし、このような柔軟性は、社内のどこでどのようなクラウドリソースが使われているのかをIT部門やセキュリティチーム(つまり企業全体)が把握することを困難にしました。
SaaSアプリケーションを除いて考えたとしても、社内でどのようなクラウド資産が使われているかを把握するのは非常に困難です。クレジットカードさえあれば、社内のチームは機密データやシステムを含むクラウドインスタンスを立ち上げることができます。すべてでは無いにせよ、これらのインスタンスの一部については、把握して追跡することが困難になる可能性があります。そのため、企業が承認した既知のBYOCと、目に見えない未知の不正なBYOCの間での依存関係の複雑化を引き起こす恐れがあります。これがオンプレミスであれば、エージェントとスキャンを使って簡単に見つけることができます。
可視性に関する課題は、開発環境においてはさらに重要です。なぜなら、クラウドインスタンスを立ち上げ、本番用のデータをそれらにデプロイし、内部システムへのリンクを作成するといったことが、ほとんど監視もされず、最小限のドキュメント化とセキュリティプラクティスの元で行われているからです。そしてセキュリティとプライバシーの問題以外にも、企業がクラウドサービスに割高な料金を支払わなければならない可能性もあります。
「セキュリティとプライバシーの問題以外にも、企業がクラウドサービスに割高な料金を支払わなければならない可能性もあります。」
真実に向き合う
可視性が低いという問題だけでなく、クラウドが大規模かつ非構造的に導入されることで、チームや部門、あるいは社員個人が所有する各々のクラウドに一貫した設定が行われない可能性があります。これは本ドキュメントの2番目と5番目の隠れた真実:つまり設定ミスと防御の分割につながります。
CASB(Cloud Access Security Broker)は、誰がどのクラウドサービスにどこからアクセスしているかを追跡する手段です。企業は、さらなるレベルのインサイトを得るために、CASBをインターセプトプロキシとして使用します。これがどれほど重要になるかについては、後で説明します。CASBは機能盛りだくさんで万能なスイスアーミーナイフのようなもので、WithSecure™ Cloud Protection for Salesforceのような単一のクラウドソリューションであれば、複雑さを軽減しつつ必要とされる保護を提供します。またCASBは、EDR(Endpoint Detection and Response)やMDR(Managed Detection and Response)と同じようにエンドポイントへのエージェントのインストールが必要になります。
隠れた真実 2
クラウドの設定ミスはどこでも起こる
Nick Jones
Principal Security Consultant
クラウドには柔軟性とパブリックアクセスの両立が求められており、それはクラウドの設定を正しく行うことが極めて重要であり、同時に困難でもあることを示しています。設定ミスによって企業の防御力が弱まれば、攻撃者は高度なスキルやツールを必要とせずに侵入することができます。
クラウド事業者は、環境を保護するプロセスを簡素化しました。それは彼らが提供するサービス全体に共通する基本的な考え方です。1つのアカウントで1つのワークロードについて完全な設定を行うことは、どこのIT部門でも確実に実現可能です。大手クラウド事業者はすべて、基本的な問題を特定するための優れたドキュメントやツールを用意しており、これらは長年の経験に基づいて構築されたものです。
問題なのは、複数のアカウント、数百のワークロード、および複数のクラウド事業者に跨がって大規模にセキュリティを確保しなければならない場合です。現代の企業の多くが3つから5つのクラウド事業者を利用していることを考えると、これは広く一般的な問題といえます。
複数の環境を保護するためのツールとサービスが用意されてはいますが、これらを絶えず変化するワークロードに適応させ、目標とするセキュリティ態勢に近づけるように設定する必要があります。また、侵害検知の担当者も、これらにアクセスできる必要があります。これはWithSecure™にとって、コンサルティングとマネージドサービスの両方の立場から、なじみ深い問題です。これらに対して何のビジョンも持たない企業はめったにいませんが、そのビジョンを実現するためのリソースは多くの場合不足しています。
しかしこれは、少数のクラウド事業者に対して標準となるセキュリティポリシーを適用したり、柔軟性と引き換えに複雑さを受け入れたりすることで実現することができますし、多くのチームが実際に実現してもいます。いずれにせよ、大規模なクラウドの設定に取り組むのには気弱な人は向いておらず、セキュリティチームやワークロードを構築して維持するエンジニアリングチームとの緊密なコラボレーションが求められます。
例えば世界的なグローバル金融機関のような大企業であれば、大規模な社内機能を構築するためのリソースと専門知識を持っているでしょう。しかしそれは、クラウドを利用している企業のごく一部に過ぎません。
問題の一部は、クラウドユーザーの数が非常に多いことです。クラウド事業者はツールとガイダンスの提供が得意ですが、前述したように、利用者に届けることができるのは最も汎用的なセキュリティガイダンスに留まります。これに、複数のクラウドと複数の設定という複雑さを加えてみれば、なぜ問題が存在するのかはすぐにわかります。
クラウド事業者がユーザーに許可するクリエイティブライセンスは重要ですし、クラウドの魅力の一部ですが、同時にセキュリティ業界には課題を突きつけます。環境内のすべてのセキュリティホールを修正できる単一の診断ツールは存在しません。
複雑さをさらに増しているのは、ある環境での設定ミスが別の環境では完全に正しいという問題であり、これは自動化されたツールで設定ミスを見つけることを難しくしています。この問題への答えは、人間によるアプローチを取ることです。柔軟性のない診断ツールを満載した工具箱よりも、熟練した順応性のある専門家を数人配置する方がはるかに効果的です。
「問題なのは、複数のアカウント、数百のワークロード、および複数のクラウド事業者に跨がって大規模にセキュリティを確保しなければならない場合です。」
真実に向き合う
この答えに馴染みがあるとしたら、それはおそらく、コンサルティングビジネスやインシデント対応、あるいはMDRのプロバイダーが、オンプレミスITにおける同様な問題に長い間取り組んできたからでしょう。
クラウドセキュリティには特有の複雑さがつきものですが、既存の技術の多くにはこれらの課題に対応するための機能が(まだ調整されていないとしても)既に備わっているということは、注目に値します。
クラウド事業者が提供しているセキュリティ対策と、ほとんどのエンドユーザー企業のセキュリティ要件との間のギャップに対処するためには、WithSecure™のクラウドセキュリティコンサルタントのようなサードパーティからのアドバイスや、WithSecure™ Counterceptなどのクラウドセキュリティ態勢の管理機能を備えたMDRサービスが役に立ちます。
隠れた真実 3
クラウドはすべての人の
ゲームのルールを変えた
Jennifer Howarth
Product Manager - Cloud
多くの企業がクラウドに移行し、アプリケーションがサービスとして提供(XaaS)されるようになるにつれて、IDベースの攻撃が増加しています。何故でしょうか?
従来のオンプレミスIT環境での常識は、攻撃者が最も狙いやすい標的はエンドポイントであり、防御側が最も注意すべき場所でしたが、現代の攻撃対象領域はそれとは根本的に異なっているからです。
VM(仮想マシン)をホストし、本質的にはオフサイトのデータセンターとみなせるIaaSは別として、クラウドのワークロードが単純にOSを攻撃に晒すことはありません。エクスプロイトや攻撃者によるコード実行などの概念はもはや意味を持たず、それらに対抗するために何年もかけて改善を重ねてきた防御策も同様です。その代わりに、攻撃者は正規の資格情報を使ってクラウドAPIを呼び出すことで目的を達成します。防御側の観点で考えた場合、各APIコールそのものには本質的に悪意は無いものの、ユーザーの通常の操作と異なる順番でコールが行われた場合や、特定のワークロードのコンテキストとは異なるコールが行われた場合には、それを疑うべきです。UEBA(User and Entity Behavior Analytics:ユーザーとエンティティの行動分析)が役立つのは、こういった場面です。
UEBAは、特定のワークロード、特定の環境での正常な行動の全体像を構築し、それを可能な限りユーザーIDに関連付けます。何が正常で何が異常なのかを理解することは、オンプレミスの世界では検知の補助として使われましたが、クラウドではこれは、効果的な監視アプローチのまさに基礎となるものなのです。UEBAが提供するIDベースの検知は、人間だけが対象ではないことに注意してください。SaaSを監視する際の出発点としてはエンドユーザーが最適ですが、ハードウェアやインフラを提供するクラウドサービスの場合にはシステム間のIDも同様に重要です。WithSecure™のインシデントレスポンスチームが対応した最近のインシデントでは、攻撃者がエンドユーザーのアカウントではなく、マシンの資格情報を使って大損害を与えたことが明らかになりました。
クラウドは新しいテクノロジーをもたらし、さまざまな仕事のやり方を可能にしており、防御側はそれを理解して適応しなければなりません。一部の攻撃はクラウド管理レイヤーで発生するものもあり、従来のオンプレミスインフラまたはそれに類似するものとの連携を必要としないものもあります。そのため、企業はクラウド専用の検知と対応の機能を構築しなければなりません。WithSecure™のインシデントレスポンスチームではクラウド単体の調査が増えており、今後もさらに増えると予想しています。
「SaaSを監視する際の出発点としてはエンドユーザーが最適ですが、ハードウェアやインフラを提供するクラウドサービスの場合にはシステム間のIDも同様に重要です。」
真実に向き合う
現在のクラウドセキュリティは、課題を抱えています。脅威に関するインテリジェンスはほとんど存在せず、データの入手も困難で、既知の攻撃の量や規模はまだ少なく、大きな被害を受けた企業は口を閉ざしがちです。しかし、前向きになるべき理由もいくつかあります。
脅威の検知は変わりつつあります。クラウドプラットフォームが用意している既存の機能を適切かつ戦略的に準備し調整すれば、DFIR(デジタルフォレンジックとインシデントレスポンス)の担当者は、クラウドベースのインシデントにも対応できるようになります。
もう1つの明るい材料は、MITREがより多くの脅威インテリジェンスを攻撃フレームワークに取り込むために積極的に取り組んでいることです。しかし少なくとも短期的には、サイバーセキュリティの事業者と担当者は、実験的な研究モードにあることに変わりはありません。
WithSecure™のインシデントレスポンスチームがクラウドでの業務をどのように行っているのかについて、詳しくは「クラウドプラットフォームの既存機能の正しい戦略的準備と調整について」をご覧ください。
隠れた真実 4
エンドポイント保護の
重要性は変わらない
Harri Ruusinen
Director, Global Sales Engineering
UEBAを導入したとしても、エンドポイントは引き続きクラウドへのエントリーポイントになり得るため、結果的に攻撃対象領域は拡大することになります。
クラウドサービスを大規模に導入したとしても、それらのサービスにアクセスするためのコンピュータやその他のデバイスを保護する必要性は無くなりません。そのため、EDRはクラウドセキュリティのシナリオでも引き続き有用です。しかしこれは出発点であり、EDRの効果はそれに留まりません。
クラウドサービスは通常、さまざまなレベルのセキュリティから構築されています。たとえば多要素認証(MFA)は、盗まれた資格情報を使用して攻撃者がシステムにアクセスすることを防ぎます。しかし、そのサービスを使用しているデバイスがリモートで侵害されたり、物理的に盗まれたりした場合でも、セッションはアクティブなまま存続する可能性があり、その場合攻撃者はこのセキュリティ制御を回避することができます。エンドポイントでMFAや暗号化が機能しないことは大きな問題であり、攻撃者がアクセスのための適切な鍵を手に入れた場合、その責任はクラウド事業者側ではなく利用企業の側にあります。したがってEDRは、クラウドサービスへのアクセスに使用されるデバイスにとって依然として重要です。
「企業の全体的なサイバーレジリエンスを向上させるために果たす役割を考えると、エンドポイント保護製品(EPP)とEDRソリューションはこれまで以上に重要になります。」
真実に向き合う
幸いなことに、多くの企業にはこの問題を緩和するためのツールが既に導入されています。企業の全体的なサイバーレジリエンスを向上させるために果たす役割を考えると、エンドポイント保護製品(EPP)とEDRソリューションはこれまで以上に重要になります。
EDRを使用すれば、セキュリティチームは明らかに悪意のある異常な行動パターンを識別し、エンドポイントで実行されたすべてのアクションの記録を保持できます。しかしクラウドセキュリティに適応させ、その役割を果たせるようにするためには、調整も必要になります。すべての環境を同時に監視することはますます重要になると考えられるため、WithSecure™ではこの問題について全社的な検討を行っています。
EDRの改善点としては、エンドポイントからクラウドの資格情報が盗まれた場合にそれを検知し、侵入した最初のポイントでアラームを発生させ、クラウドでのUEBAの異常検知と相関させて、攻撃者がエンドポイントに侵入してクラウドにアクセスしたことを見つけ出すことが挙げられます。
またWithSecure™は、ハードウェアのセキュリティ機能の使用状況を含むセキュリティ態勢についてEDRがどのようなレポートを行えば良いかについても検討しており、攻撃者が企業のエンドポイントを侵害して全体に広がることを可能な限り抑えようとしています。
EDRは無くなりません。エンドポイントを保護し、攻撃者をクラウドから遠ざけるためには、引き続き重要な役割を果たすことになります。
WithSecure™では、将来的にEPP/EDRとクラウドセキュリティの相乗効果が高まると考えています。これにより、私たちのお客様とパートナー様が新しい働き方を採用した際のレジリエンスを維持することができます。
クラウド対応EDRのセットアップに際してどのような点に注意すべきかについての詳しいガイダンスは、「EDRの導入前に確認すべき10のポイント」についてをご覧ください。
隠れた真実 5
細分化した防御は
弱点をもたらす
Domenico Gargano
Director, Technical Operations
ITをクラウドだけで完結させることは非常に難しく、どのような企業でも最低限小さな物理的エンドポイントは存在しています。オンプレミスとクラウドにサービスやアプリケーションを分散させると、攻撃者が狙うことのできる攻撃対象領域が増えることになります。複数のクラウドを使う場合、問題をさらに大きくすることになります。
もちろん、こうしたセキュリティ上のギャップを特定し、それを埋めることは重要です。そして意図的であるかどうかにかかわらず、企業はこの問題に対処するための積極的な手段を既に講じている可能性も十分にあります。
セキュリティに対する責任を開発者に委譲する「シフトレフト」アプローチや、CISO(最高情報セキュリティ責任者)がIT部門を含めたジネス全体のリーダーになるという最近のトレンドは、クラウドサービスとアプリケーションの間の「接着剤」に注目が集まっていることを示しています。
では、そもそもなぜこのような問題が存在するのでしょうか?それは、従来のオンプレミス型ITとして、デスクトップが企業ITの主流となったためにソフトウェアやOSベンダー(そして私たち)が課題を抱えたのと同じ理由からです。クラウド事業者は膨大なセキュリティリソースを持ち、顧客に素晴らしいツールや知識を提供していますが、サービスとしてはそこまでです。クラウド事業者は、顧客ごとにセキュリティを最適化するための手頃な手段を持ち合わせていないのです。それができたとしても、そのコストは法外なものになるでしょう。
クラウド事業者は、インフラとアプリケーションの両方のレイヤーにおいて、巨大な規模で事業を展開しており、ユーザーの期待を管理する必要があります。数々の使いやすそうなセキュリティツールやコンフィギュレーターが出てきていることは前向きな兆候ですが、これらのツールはクラウドを活用する企業のセキュリティを確保するためのパズルの一部に過ぎません。
「数々の使いやすそうなセキュリティツールやコンフィギュレーターが出てきていることは前向きな兆候ですが、これらのツールはクラウドを活用する企業のセキュリティを確保するためのパズルの一部に過ぎません。」
防御を分割、チームも分割?
WithSecure™のコンサルタントは、多くの企業がクラウド環境のために専用のSOC(セキュリティオペレーションセンター)を運営しているのを見てきました。このプラクティスはさまざまな成功を収めていますが、多くの場合、これは第2の問題(クラウドセキュリティの専門家の採用と維持に苦労する)を引き起こしているように思われます。IT業界では数十年もの間スキルの不足が叫ばれており、不足そのものはもはやニュースとは言えません。
しかしこの不足を解消するためのソリューションは、他の場合とはまったく異なります。クラウドチームは独自のセキュリティ機能を構築するようになっており、時にはセキュリティ部門を完全に排除することもあります。最近、WithSecure™のクラウドセキュリティのコンサルタントは、企業のエンジニアリング部門との業務が多くなっていますが、これはエンジニアリング部門の方がITセキュリティチームよりもクラウドセキュリティについてよく理解しているという背景があるからです。一般的なセキュリティ部門は、以前よりも役割が細分化されています。
適切なデータソースがなければ、環境内での行動について不完全な可視性しか得られず、意味のある異常を特定したり、環境内の異なる部分の点と点を結びつけたりすることが非常に難しくなります。これは、攻撃者にとっては朗報です。
オンプレミスのインフラとクラウドの両方でデータポイントを相関させ、攻撃者が何をしているのかの全体像を把握することが重要です。これにより、脅威を検知して対応するための最良のチャンスを捉えることができます。
WithSecure™はNOBELIUMの攻撃者の行動を調査し、このグループがオンプレミスから侵入してクラウドに移動し、永続性を保って必要な情報を選択的に取得する能力を持つことを発見しました。
マイクロソフトの研究者は、NOBELIUMが最終的に標的とする組織のADFS(Active Directory Federation Services)へのアクセスを可能にするための資格情報を盗むアプローチを明らかにし、さらなる詳細を発表しました。攻撃者はそこからクラウドにアクセスして永続化します。
WithSecure™は、このアプローチを「レッドチーム」演習で再現し、防御側がオンプレミスのインプラントを削除してもレッドチームが顧客のクラウド環境に最後まで居続けられることを確認しました。
SygniaはNOBELIUMがADFSの管理者権限を獲得した後、被害者のSAML(Security Assertion Markup Language)証明書を侵害する方法について解説しています。
この「Golden SAML」攻撃は、SAMLによって発行されたトークンを信頼するサービスに問答無用でアクセスできるようにし、クラウドサービスとXaaSの両方で永続性を付与します。CISAは、アラート内でNOBELIUMの技術、戦術、手順(TTP:Techniques, Tactics and Procedures)についてさらに説明しています。
アクセスを許可するはずのオンプレミスのADFSサーバーでの認証を経ずにクラウド環境へのアクセスに成功したユーザーを発見することは、ADFSの認証ログとクラウドのアクティビティログを関連付ける機能がなければ不可能でした。
ビルドパイプラインの保護
これは、設定ミスの項で触れたサイロの問題に関連します。インフラエンジニアおよびセキュリティチームは、ログに記録されたアクティビティのコンテキストを常に理解できるわけではなく、そのためにはパイプラインやその他の開発ツールのサポートを担当するチームの専門知識も必要になります。WithSecure™のインシデントレスポンスチームが過去 数年間に調査したクラウド侵害の主要な原因は、分散型のDevOpsによって引き起こされた設定ミスでした。
引用した記事によると、まずDevOpsとDevSecOpsのメリットを活かしてセキュリティの責任を開発サイクルの早い段階に移動させます。開発チームとセキュリティチームの連携を実現するために重要なのは、彼ら独自のセキュリティにビジネス部門が予算をつけることです。そして2つめは、セキュリティチームとクラウドエンジニアリングの間に強力なコミ ュニケーションを確立することです。
繰り返しになりますが、WithSecure™のインシデントレスポンスチームは、CISOがIT部門から独立して活動し、セキュリティの運用を各ビジネスユニットに分散させることでこれを実現できると考えています。これは、相互に独立した繋がりの弱いサイロではなく、分散した繋がりの強いチームなのです。
最終的には、分散化によって企業全体のリスク許容度が大きく変わらないように、異なるユニット間で認識を合わせるための新しい中間層が必要となります。
思いがけない弱点
WithSecure™が提供したコンサルティングとインシデントレスポンスの両方の経験からは、些細な設定ミスを除けば、インターネットに面したクラウド資産が弱点になることはほとんどないことが明らかになりました。むしろ、企業がクラウドを構築するために使用するサービス、アプリケーション、ツールに問題があることが多いのです。これらの「王冠の宝石(最も重要な部分)」は多くの場合、IDプロバイダー、ソースコードレポジトリ、インフラコード、サービスを本番環境に配備するためのツールなどです。
JenkinsのようなCICD(継続的インテグレーション/継続的デリバリー)ツールは、クラウド環境において巨大なパワーと特権を行使することができ、実際に行使しています。もし攻撃者がこれにアクセスできた場合、戦いはその時点で終わってしまいます。
真実に向き合う
ここで重要なのは文化を変えることであり、多くの企業では既にそれが進んでいるため、クラウドのセキュリティ態勢を強化するためにはわずかな調整を行うだけで済みます。
セキュリティに対する責任と予算をビジネス部門に移譲し、ITチームから独立したCISOが全社的な責任を負うことで、企業は安全なクラウド基盤への道を歩むことができます。
隠れた真実 6
クラウド内のデータに
誰が責任を持つのかを
誰も知らない
Dmitriy Viktorov
Head of Product and Technology, Cloud Solutions
「Data is the New Oil(データは新しい石油)」という言葉はよく知られていますが、データはどのような企業にとっても非常に価値のある資産です。したがってデータをクラウドに移行する際には、適切な管理と可視性を確保するために慎重な検討が必要であり、考えておかなければならないことがたくさんあります。
クラウドサービスを導入すると、データセキュリティの責任の一部をクラウド事業者に負わせることになりますが、それが魅力の1つでもあります。しかし、セキュリティの衛生状態を維持する責任は依然として自社にあることを忘れてはいけません。これが「責任共有モデル」と呼ばれる原則です。
繰り返しになりますが、これは可視性の問題であり、この場合はデータに対する可視性です。どのようなデータがありどのように分類されているのか、データはどこから来てどこへ行くのか、誰がそのデータにアクセスできるのかなどを把握する必要があります。
データがEメールなどの外部の信頼できないソースから提供されている場合、有害なコンテンツや許可されていないコンテンツが社内外のユーザーに届く前にブロックする必要があります。
また、コンプライアンス要件がある場合は、機密データへのアクセスを監視して監査証跡を残し、それがコンプライアンス要件の対象であるかどうか、そうである場合には誰がアクセスできるのかを確認する必要があります。
考えなければならないリスクの1つに、悪意のある内部関係者とデータへの不正アクセスがあります。SaaS型のクラウドサービスは複雑化しやすく、「隠れた真実 2」で触れたように設定ミスや脆弱なアクセスコントロールにつながります。そして設定ミスは、データ漏えいにつながる可能性もあります。
また、SaaS型クラウドに接続された他のアプリケーションやサービスからAPIを介してデータにアクセスされることもリスクとなります。これらの設定に誤りがあったり、必要以上の権限を与えていたりすると、それらもまた情報漏えいの原因となる可能性があるのです。たとえ適切に設定されていたとしても、最近のサプライチェーン攻撃で見られるように、APIそのものが侵害される可能性があることを考慮することが重要です。
「WithSecure™のインシデントレスポンスチームが過去数年間に調査したクラウド侵害の主要な原因は、分散型のDevOpsによって引き起こされた設定ミスでした。」
真実に向き合う
Salesforce、Microsoft 365、Google WorkspaceなどのSaaS型クラウドサービスの利用が増えるにつれ、これらは攻撃者にとって格好の標的になっています。私たちは、今後の攻撃は、クラウドに保存されている貴重なデータを盗むことが最終目的になるとは限らないと考えられています。攻撃者はクラウドサービスを、企業のネットワークに侵入し他の社内外のシステムを攻撃するための「足がかり」として利用しようとするでしょう。クラウドサービスを経由してフィッシングやランサムウェアの攻撃が行われた例は、既に確認されています。脅威ランドスケープが変化する中、WithSecure™はソリューションの改善を続けており、エンドポイントデバイスやIaaS、PaaS、SaaSクラウドプラットフォームに検知と対応 の機能を拡張して行きます。
WithSecure™の既存のソリューションの1つであるCloud Protection for Salesforceは、Salesforceクラウドを介して共有されるすべてのコンテンツをスキャンし、ウイルス、トロイの木馬、ランサムウェアなどからリアルタイムにユーザーを保護します。WithSecure™独自のソリューションがSalesforceのクラウドプラットフォームのセキュリティ管理を補完し、クラウドに保存された顧客データのセキュリティに関する「責任共有」上のギャップを埋めます。このソリューションは、SalesforceのSales、Service、Experience Cloudを利用するユーザーが、悪意のあるファイルやフィッシングURLを介した攻撃を防止または妨害することを支援します。また、社内外のユーザーがアクセスしたコンテンツに関する完全な 可視化と分析も行います。
WithSecure™ Cloud Protection for Salesforceは、WithSecure™ Security Cloudと呼ばれるクラウドベースのコンテンツレピュテーションおよび脅威分析プラットフォームをベースにしています。その中核となるSecurity Cloudは、複数のレベルの最先端技術と、世界中の何千万ものセキュリティセンサーからリアルタイムに収集されたサイバー情報と脅威関連データによる、常に進化するリポジトリを利用しています。これはWithSecure™の受賞歴のあるエンドポイント保護製品や、WithSecure™ Elements Collaboration Protectionなどのクラウド連携保護ソリューションの基盤にもなっています。
隠れた真実 7
コラボレーション
プラットフォームの
重要性の増加
Juha Högmander
Director, Technical Offering
現在オフィスで仕事をしている人はそれほど多くありませんし、今後もこの状況が続く可能性があります。多くの人にとって、リモートワークは2年前から「通常のビジネス」になっており、中には恒常的にリモートで仕事をする人が出てくる可能性も十分にあります。
このような状況下では、「コラボレーション」は非常に重要なものとなっており、もちろんこれは「保護」も重要になっていることを意味します。資料を共有し、ワークショップやライブミーティングを行い、プレゼンテーションを行うためには、デジタル化された手段が必要です。これは言い換えれば、コミュニケーションとコラボレーションを実現するプラットフォームが必要だということです。そしてWithSecure™の「レッドチーム」演習では、お客様の環境に侵入しようとする際に最も狙いやすいのがコラボレーションとリアルタイムコミュニケーションのプラットフォームであることが毎回のように確認されています。
今回お伝えしていることのなかで、とりわけ重要なのは、Eメールが依然として最大の攻撃経路であるということです。中小企業の半数以上(51%)が過去2年間に攻撃を受けたことがあり、これはサイバー犯罪者の考え方の変化を表しています。多くの攻撃者は、企業規模や業種に関係なく、簡単に狙える獲物を探しているのです。なぜなら、自動化した大規模なEメール攻撃は実行のコストが安く、犯罪者にとって投資対効果が高いからです。
従業員をトレーニングして、フィッシング攻撃に対する意識を高め、何に注意すべきかを知らせ、不審なメールをクリックし難くすることは、解決策の一部ではありますが、それだけでは不十分なのは周知のとおりです。新型コロナウイルスによる隔離政策によってフィッシングの頻度が高まり、フィッシング攻撃は2020年の25%から36%に増加しました。Eメール内のリンクは情報漏えいの最大の経路であり、マルウェアの約46%はEメールで配信されています。
たとえそれがセキュリティを確保する最も簡単な方法であったとしても、私たちは人々がデータにアクセスすることを止めさせたいわけではありません。しかし、共有してはいけない場所で機密データを共有するといった不適切な行動を防ぎ、異常な行動を追跡できるような可視性も確保したいのです。
「たとえそれがセキュリティを確保する最も簡単な方法であったとしても、私たちは人々がデータにアクセスすることを止めさせたいわけではありません。しかし、共有してはいけない場所で機密データを共有するといった不適切な行動を防ぎ、異常な行動を追跡できるような可視性も確保したいのです。」
真実に向き合う
Microsoft 365は、そのような機能を数多く提供している圧倒的に巨大なプラットフォームです。そのためWithSecure™はElements Collaboration Protection solutionの開発を優先させました。しかし他の開発も進めており、WithSecure™ Cloud Protection for Salesforceは既にSalesforce環境 のユーザーに対してコラボレーション保護機能を提供しています。
私たちは、SharePointとTeamsを保護するためにEメール保護ソリューションを強化し、プラットフォームの完全な保護を実現しました。また、サービス全体を保護する上で重要な、侵害アカウントの検知機能も取り入れました。
今の世の中の状況を考えると、私たちはオープン化の流れに逆らうようなセキュリティベンダーにはなりたくありません。テクノロジー企業における変革は他の業種にも及んでおり、個々のユーザーに意思決定を委ねる方向に進んでいます。
結論
最新のツールや手順であっても、クラウド事業者、セキュリティベンダー、 顧客のいずれにとっても十分ではありません。それよりも遙かに効果的なのは文化を変えることであり、正しい「outcome-based」型のセキュリティアプローチは、優れたツールや手法の力を何千倍にも拡大させることができます。
自社のセキュリティ確保するのと同様に、クラウドのセキュリティを確保するために、強力で分散したアプローチを構築することに投資すれば、クラウドがもたらす隠れたコストを削減することができるのです。
Further reading
お客様の全てのセキュリティニーズに応えるひとつのプラットフォーム
クラウドネイティブプラットフォームですべてのセキュリティニーズを管理しましょう。WithSecure™ Elementsは明確さ、柔軟さ、そして変化する脅威とビジネスニーズに適応するために必要な技術をお客様に提供します。