一般的なCloud 脆弱性とセキュリティリスクを解説

Cloud 脆弱性とは、悪意のある行為者に悪用される可能性のあるセキュリティ上の盲点や侵入口のことである。

従来の環境では、脆弱性はファイアウォールなどの境界レベルで発見されることが多かったが、クラウドの脆弱性は、設定ミス、アクセス制御、未定義の責任共有モデル、シャドーITなど、複数の空間から発生する可能性がある。

クラウド環境は本質的に、複数のユーザー、パートナー、アプリケーション、ベンダーと相互接続している。

このような広範な攻撃対象は、クラウド資産がアカウントの乗っ取り、悪意のあるインサイダー、アカウントの乗っ取り、不十分なアイデンティティとクレデンシャルの管理、安全でないAPIによる脅威にさらされていることを意味する。

脅威と脆弱性の明らかな違いは、その緊急性にある。

脆弱性が、悪用されるのを待って宙に浮いている弱点を表すとすれば、脅威は、通常、緊急の介入を必要とする、今この瞬間に起こる悪意ある、あるいは否定的な出来事である。

次に、組織がクラウドセキュリティの脅威に最初にさらされたのは、この脆弱性である。

例えば、クラウドの設定ミスは脆弱性を意味し、その結果、アクセス制御が弱くなり、最終的にサイバー攻撃の脅威につながる可能性がある。

要するに、脆弱性とは弱点のことであり、脅威とはその弱点を突く可能性のある行動や事象のことである。クラウドを鍵のかかったドアに例えるなら、脆弱性とは弱点のある鍵のことであり、脅威とはそれを誰かが無理やり開けることである。

クラウドインフラの中核は、さまざまなレイヤーやコンポーネントの上に構築されており、脆弱性はどのレイヤーにも存在する可能性がある。

誤った、あるいは過度に寛容な設定の直接的な結果として、設定の誤りはシステムの安全性を本来あるべき状態よりも低下させる。クラウドベースのコンテナ（誤った設定のS3バケットなど）、ファイアウォール、パッチが適用されていない仮想マシンなどで発生する可能性がある。

設定ミスの例としては、プライベートであるべきなのにパブリックな読み取り・書き込みアクセスがある、パーミッションが古いかパッチが適用されていない、あるいは暗号化設定がされていないなどがある。

設定ミスは、人為的なミス、知識不足、または不十分な自動化スクリプトの記述によって起こる可能性があり、データの損失や漏えい、攻撃された場合の風評被害、規制基準への準拠の失敗につながる。

Webアプリケーション・ファイアウォールの設定ミスにより、1億人以上の顧客の機密データ（社会保障番号も含む）を含むS3バケットへの不正アクセスが可能になったのだ。CapitalOneはこの情報漏洩により、8000万ドルのペナルティを支払わなければならなかった。

定義上、クラウド環境は動きが速く、非中央集権的であり、セキュリティ・チームによって完全に管理されていないことが多いため、ある種の可視性の欠如が生じる。

プロバイダーが可視化のための基本的なツールしか提供せず、より高度な監視には追加コストがかかるか、組織内のチームが手薄で、インフラを真に監視するために必要なクラウド固有の適切なスキルを持っていないために起こる可能性がある。

セキュリティよりもスピードを重視する組織の傾向も一因だ。

しかし、可視性が価値の推進力ではなくコストのように感じられると、敵はクラウドインフラに侵入し、長期間気づかれないままになってしまう。

クラウド・ネットワーク内には非常に多くのツール、ダッシュボード、ログがあり、何が起きているのかを相関させ、実用的な洞察を得るのは難しい。

アクセス管理は、クラウド資産にアクセスできるユーザーやアプリを定義する。

デジタルIDを管理し、クラウドサービス、アプリケーション、データへのアクセスを制御することが含まれる。

機密情報が許可された人の手に渡らないようにするためには、いくつかの境界線と制限を設ける必要がある。アカウントの乗っ取りが米国だけで7700万人以上に影響を及ぼしている世界では、いくつかの慣行が最重要となる：

• MFA（多要素認証）の導入
• 最小特権アクセス原則の実施（タスクに必要な場合のみアクセスを許可する）
• 役割ベースのアクセス制御を使用して、職務機能に基づくアクセスを管理する

そうでなければ、企業はデータ漏洩、規制への不適合、業務の中断といったリスクを負うことになる。

攻撃者は、乗っ取られたアカウントを通じてシステムに侵入し、不十分なアクセス・ポリシーを悪用することができる。

クラウドインフラの内部では、API 異なるシステム、サービス、アプリケーションがクラウド環境と相互作用することができる。

つまり、APIはデータ、インフラ、機能へのアクセスをコントロールできるということだ。

安全でないAPI 、アクセスするのに有効なユーザーやトークンを必要としなかったり、必要以上のアクセスを許可したり、機密データをログに記録したりすることを意味する。

APIが誤って設定されたり公開されたりすると、攻撃者は完全な認証情報がなくてもデータ（ユーザー情報、財務情報、医療記録）にアクセスしてしまう。

2021年、PelotonのAPI 脆弱性が発見され、プライベートなプロフィールであっても、誰でもユーザーのアカウントデータにアクセスできるようになった。Pen Test Partnersによって発見されたこの欠陥は、認証されていないリクエストを通過させ、年齢、性別、場所、体重、ワークアウトの統計、誕生日などの詳細を暴露した。

このような複雑なデータベースへのアクセスは、Doxing、ID窃盗、ソーシャル・エンジニアリング攻撃へとさらにエスカレートする可能性があった。

シャドーITとは、IT部門やセキュリティ部門の知識、承認、管理なしに、組織内でソフトウェア、ハードウェア、その他のITシステムを使用することを指す。

利便性から、あるいは悪意から、従業員は公式に提供されているもの以外のツールを求め、組織に重大なサイバーセキュリティ・リスクをもたらす可能性がある。

シャドーITの実際

• 従業員が個人のクラウドストレージに機密性の高い技術文書をアップロードしていた。
• 未承認のリモート・アクセス・ツール（AnyDesk など）を使用して、産業システムのトラブルシューティングを行ったり、重要インフラの SCADA 環境にアクセスしたりする者。
• 企業標準のビデオ通話ではなく、未承認のプラットフォーム（WhatsAppなど）を使ってビデオ通話を行う。

重要なインフラや高度なセキュリティ環境では、シャドーITが危険な死角を作り出し、データ漏洩、マルウェアの侵入、規制の不遵守の道を開く可能性がある。

悪意のある、過失のある、あるいは危殆化した内部関係者は、関係するユーザーやシステムの信頼された性質のために、検出が難しくなる可能性がある。

このような人々からもたらされる潜在的な損害は、データ漏洩、サービスの中断、規制違反、経済的損失につながる可能性がある。

ゼロデイ脆弱性とは、発見された時点で利用可能な修正プログラムがなく、ベンダーが気づく前に悪用されてしまう、未知のセキュリティ上の欠陥のことである。

クラウド環境では、クラウドプラットフォームのAPI、コンテナオーケストレーションシステム、SaaSアプリ、またはクラウドホスト型ワークロードの脆弱性が含まれる。

クラウドの動的で相互接続されたマルチテナントの性質により、欠陥は迅速に拡散し、多くのリソースに影響を及ぼす。

さらに、クラウドシステムへのパッチ適用には時間がかかるため、ゼロデイにさらされる可能性が高くなる。

本レポートによると、2023年以降、半数以上の企業がクラウドの設定ミスを防ぐことを主要な懸念事項としており、それがもたらす可能性の深刻さを示している。

クラウドの脆弱性がもたらす最も大きな損害のひとつは、機密データの漏洩や損失である。

企業は、顧客記録や専有情報、業務データを保管するために、クラウド・ストレージ・ソリューションを利用することが多い。

したがって、情報漏洩は、個人情報、財務情報、知的財産、あるいは企業秘密の窃盗を意味する。

このようなインシデントは、直接的な影響だけでなく、長期的な風評被害や顧客からの信頼の失墜にもつながりかねない。

影響を受けた個人はサービスを断念するかもしれないし、パートナーは取引関係を見直すかもしれない。

情報漏えいがすぐに収まったとしても、調査、修復、顧客への通知、訴訟の可能性などにかかるコストは、生産性の低下やブランドの失墜といった機会損失も含めれば、数百万ドルにのぼる可能性がある。

ほとんどの業界では、GDPR、HIPAA、PCI DSS、CCPAといった厳格なコンプライアンスの枠組みが適用され、データの保存、アクセス、保護方法が決められている。

脆弱性が機密データへの不正アクセスや不適切な管理につながった場合、企業はこれらの法律違反が発覚するリスクがあります。規制当局は多額の罰金を課したり、法的手続きを開始したり、業務上の制限を実施したりする可能性がある。

例えば、欧州連合（EU）のような管轄区域では、GDPRに基づく罰則は世界全体の年間売上高の最大4%に達する可能性があり、たった1つのインシデントでさえも大きな賭けになる。

Cloud 脆弱性は、組織が脆弱性リスクを軽減するために設計された方法論全体を開発することができるほど、十分に古くから存在していた。

Cloud 、定期的に新しいサービスが導入され、統合が追加されるため、非常に動的である。

こうした変更のたびに、設定ミスや暴露の可能性が生じるため、脆弱性評価は継続的な作業となる。

組織が脆弱性を特定し、パッチを適用し始めたとしても、一部のシステムは更新されたバージョンでは正常に機能しない可能性がある。

このような場合、事業継続のためには一定の脆弱性を残さなければならず、その管理が不可欠となる。

セキュリティチームは、これらの例外を文書化し、関連するリスクを評価し、脆弱性をネットワークから隔離するなどの適切な管理戦略を適用するための構造的なアプローチを必要としている。

CSPMでは、インフラストラクチャの設定ミス、ポリシー違反、過度に寛容なアクセス制御をスキャンする。

CSPMは、ソフトウェアの欠陥に焦点を当てるのではなく、データの暴露やコンプライアンスの失敗につながる可能性のあるアーキテクチャや構成のリスク（S3バケットの設定ミス、暗号化されていないストレージ、IAM転送）に対処する。

CSPMは、クラウド環境に対するリアルタイムの可視性、コンプライアンス・フレームワーク（CIS、PCI、GDPRなど）に対する自動チェック、設定ミスに対するアラートを提供する。

CNAPPプラットフォームはクラウドセキュリティを強化し、Cloud 管理Cloud 保護プラットフォーム（CWPP）、脆弱性管理を単一のフレームワークに統合することで、複数の保護レイヤーを統合する。

インフラ構成からワークロードの動作、ランタイムの脅威まで、アプリケーションのライフサイクル全体にわたってより深い洞察を提供します。

CNAPPは、ホストベースの検出、行動監視、脆弱性スキャンを仮想マシン、コンテナ、サーバーレス環境に直接組み込むことで、他のセキュリティツールと統合することができる。

オンプレミス環境では、脆弱性は境界レベルで現れる可能性が高い。つまり、組織内部の安全なネットワークと、外部の、多くの場合信頼されていないネットワークとの境界である。

オンプレミスのセキュリティ・ギャップは、時代遅れのソフトウェア、誤った設定のサーバー、ハードウェアの故障、さらには物理的なセキュリティ侵害を意味する。

しかし、クラウド環境では、ファイアウォールとネットワークはもはや安定した境界を形成せず、IDが最初で最も重要なセキュリティ境界となる。

基本的なセキュリティ原則が引き続き適切であったとしても、クラウドには、特に責任、可視性、資産の変動性などをめぐる新たな力学が導入される。

未承認の物理的アクセス、内部者攻撃、境界の侵害など、よく理解されているリスクに危険があるオンプレミス環境とは対照的に、Cloud 環境はほとんどが動的なAPI脅威にさらされている。

主な相違点としては、侵害の主な原因として設定ミスが蔓延していること、従来のスキャンツールを回避しがちな短命のリソース（コンテナ、サーバーレス機能）が存在すること、攻撃者が好むIDベースの攻撃が頻発していることなどが挙げられる。

さらに、クラウドではセキュリティの責任も変化するが、そのほとんどは先に述べた責任共有モデルによるものだ。

このフレームワークでは、組織はデータ、アプリケーション、コンフィギュレーション、アイデンティティの安全性を確保する責任があり、ファイル処理に関するすべてのロジックが含まれる：

• アップロードされたファイルの検証とサニタイズ。
• オブジェクトやバケツレベルでのアクセス許可の設定。
• 転送中および静止中のデータを暗号化する。
• クラウドストレージの相互作用における監視と脅威検知の実装。

最後に、クラウドの速度と複雑さに対応するためには、セキュリティ・リーダーは、脅威の言語と進化する性質の両方を理解する必要がある。

DevOps、セキュリティ、リーダーシップの各チーム間で語彙を共有することは、協調的な防御の基礎となる：