分散勤務時代のクラウドセキュリティリスク

クラウドシステムやクラウドサービスの活用は、10 年以上前から順調に推移していますが、今回のパンデミックによってさらにレベルアップしています。

しかし、クラウドベースの業務への移行を急ぐあまり、多くの組織では安全な運用を確保することを怠ってきています。実際、その多くはクラウド環境のリスクや、迅速に解決しなければ悲惨な結果を招く可能性があることに気づいていません。

パンデミックのかなり前にクラウドへの道を歩み始めた組織でさえ、未だ十分な安全性を確保できていません。これらの組織では、AWS や Azureのような IaaS や、多くのクラウドベースのアプリケーションなど、さまざまなクラウドサービスを利用しているかもしれませんし、すでにサードパーティのクラウドプラットフォームを横断してクラウドサービスを活用している場合もあれば、各プロバイダーから最適なサービスを選択するマルチクラウド戦略を選択している場合もあります。多くの場合、クラウドサービスの導入は、部門ごとのサイロの中で断片的に拡大してきています。いずれにせよ、多くの組織では、多数のプロバイダーのさまざまなクラウドが混在した中、セキュアな環境を確保しなければならないが実情です。

サイバー犯罪者、不正な国家、その他の悪意ある攻撃者は、自らの利益のためにこの複雑さと混乱を悪用することに余念がありません。以下に、組織が現在直面している主なクラウド・セキュリティの脅威のいくつかご紹介します。

デバイス、クラウド、サーバーにまたがる統合エンドポイントプロテクション

WithSecure™ Elements は、脆弱性管理、コラボレーション保護からEPP、EDRまで、セキュリティのバリューチェーン全体をカバーするために必要な4つの領域すべてをカバーするクラウドネイティブなセキュリティプラットフォームです。

Read more

 

1. 限られたクラウド利用状況の可視化

さまざまなクラウドプラットフォームやアプリケーションにどのようなデータが保存されているのかが可視化されていない場合や、さらに悪いことに、組織全体で使用されているクラウドサービスの全容すら把握できていない場合、それらを効果的に保護することは困難です。リアルタイムの可視化と、過去のアクティビティを確認するための包括的なイベントログの両方がなければ、攻撃者はひそかにシステムに侵入し、隠れたまま、ビジネスに壊滅的な影響を与える可能性のある攻撃を仕掛けることができます。

 

2. データへのアクセスと共有のポリシーが未定義

データ・アクセスや共有ポリシーが明確に定義され、厳格に運用されていなければ、誰がどのデータにアクセスしているのか、そのアクセスは許可されているのか、データセキュリティポリシーに反する方法で共有されているのかが把握できません。これらのポリシーは、クラウドに保存されたデータにも適用されなければなりません。つまり、従来のように組織のネットワーク内のすべてのユーザーを自動的に信頼するのではなく、「ゼロ・トラスト」アプローチ、つまり暗黙の信頼に頼らないアプローチを採用する必要がある。そうでなければ、貴重な情報が盗まれたり破損したりするリスクだけでなく、データ保護法に違反し、罰金や風評被害のリスクを負うことにもなりかねません。

 

3. 管理されていないエンドポイントからのデータ漏洩

ワークステーション、サーバー、スマートフォン、タブレットなど、多数のデバイスがクラウドシステムにアクセスしているため、データ漏えいの可能性は非常に大きくなります。すべてのデバイスでユーザーを保護し、管理されていないエンドポイントがもたらす脅威を軽減するための効果的な防御策を導入しなければ、悪意のある行為者のコントロール下にある侵害されたデバイスであれば、データの保存場所に関係なくデータにアクセスできる可能性があります。

 

4. クラウドの設定ミス

クラウドプロバイダーはいずれも、その環境をセキュアにするためのわかりやすいコントロールを用意しています。しかし、マルチクラウドのセットアップで、複数のアカウントと異なるプロバイダーのクラウドで複数のワークロードを実行している場合、すべてがクラウドのセキュリティ態勢に沿っているかどうかを完全に可視化し、すべての設定を手作業で最新に保つことは現実的ではありません。そのため、クラウドの設定ミスが頻発していることは容易に想像できます。その結果、数え切れないほどの組織が、知らず知らずのうちに攻撃者にドアや窓を大きく開けていることになっています。

 

5. セキュリティ保護されていないデバイスやネットワークを介して接続するユーザー

もしユーザーが安全でないネットワークやデバイスを経由して組織の機密情報にアクセスできてしまうのであれば、そのユーザーは、背中に「HACK ME」と点滅するネオンサインをつけているようなものです。ハッカーは、空港や駅などの公共エリアに偽の公衆インターネット・アクセス端末を簡単に設置し、暗号化されていないデータ・パケットを盗聴したり、正規の公衆Wi-Fiホットスポットを設置して、あらゆる機密データや認証情報にアクセスすることができます。幸運なことに、最新のクラウド・サービスでは、管理者が簡単にアクセス制御を設定し、管理されていないデバイスによる機密情報へのアクセスをブロックまたは制限することができます。また、モバイルVPNは、公衆インターネット・アクセス・ポイントをより安全に利用するために、すべてのネットワーク・トラフィックを暗号化することができます。

 

6. ゼロデイ攻撃と脆弱性

基本的なアンチウイルスソフトは、主に既知の脅威を検出するように設計されていますが、ゼロデイ脅威をキャッチするためには、より高度でヒューリスティックなリアルタイム・アンチマルウェアスキャナーが必要です。このようなマルウェアはサイバー犯罪アンダーグラウンド市場で盛んに販売されているため、サイバー犯罪者はハッキングの天才でなくても手に入れることができます。そのため、もし利用しているアンチウイルス製品が既知の脅威だけを探しているのであれば、あなたのシステムは攻撃に対して大きく門戸を開いていることになります。

おそらく最も重要なことは、変化の激しい現在、セキュリティ管理は俊敏でなければならないということです。多くの組織がクラウドに移行することで、絶えず成長し、変化し続ける脅威ランドスケープにおいて、常に最善の防御策を講じることができます。

 

7. 規制要件の遵守

クラウドの複雑さとセキュリティ責任に関する混乱により、多くの組織が、EUのGDPR、カリフォルニア州の消費者プライバシー法(CCPA)、ペイメントカード業界のPCI-DSSなど、地域や業界固有の規制で規定されたレベルのクラウドとデータの安全確保を知らず知らずのうちに怠っている。コンプライアンス違反による情報漏洩が発生した場合、企業の評判だけでなく、多額の罰金を科されるリスクもあります。

 

8. 標的型攻撃

デジタルトランスフォーメーションを進める組織が増えるにつれ、ビジネスに不可欠なサービスやデータがクラウドにさらされる機会も増えています。ランサムウェアの展開、貴重な顧客データの窃取、DDos 攻撃など、組織の防御を突破するサイバー犯罪者にとって、その潜在的な価値はますます大きくなっています。その結果、高度で標的を絞った多段階攻撃が急速に増加されています。これらの攻撃は巧妙で、ステルス性が高く、被害者を麻痺させる可能性を秘めていますが、手遅れになる前に標的型攻撃を発見する能力を持つ組織は現在ほとんどありません。

 

9. スキルギャップ

外部の専門家の助けがなければ、複数のクラウドサービスにわたって効果的に自社を保護するために必要なクラウドセキュリティスキルをすべて備えている組織はほとんどありません。それだけでなく、そのような人材を雇用することも難しいことが現実です。(ISC)²の最新のサイバーセキュリティ人材調査によると、労働力の規模はまだ65%も不足しています。

 

10. サイバーセキュリティに対する意識の欠如

クラウド攻撃の大半は、依然として極めて場当たり的でなものです。その多くは、スパムメール、テキストメッセージ、電話で始まり、ユーザーを誘惑して、感染したリンクや添付ファイルをクリックさせたり、機密性の高い個人情報を盗みとる、いわゆる「フィッシング攻撃」です。効果的なサイバーセキュリティ意識向上トレーニングを受ければ、このような粗雑な手口は簡単に見破り、回避することができます。しかし、残念なことに、フィッシングの餌食になることを防ぐために十分な意識向上トレーニングに投資している組織はほとんどありません。

高度なEメールの脅威からビジネスを保護

WithSecure™ Collaboration Protectionは導入が容易で、巧妙なフィッシングや標的型攻撃に対する包括的な保護を提供します。

Read more
Reading time: 5 min

    Published

  • 22/03/2022