Cloud 最重要課題：リスク、脅威、課題

1.データ漏洩

データ漏洩は、クラウドシステムにとって最も有害なセキュリティ脅威の一つであり、多くの場合、脆弱なアクセス制御、誤ったクラウド設定、安全でないAPIが原因となっている。 

機密情報は盗まれたり、改ざんされたり、破壊されたりする可能性があり、その結果、財務的、風評的に莫大なコストが発生する。 

ハッカーはたった一つの脆弱性を見つけるだけで、企業の評判を永遠に傷つけることができる。2013年のヤフーの情報漏洩に見られるように、これは買収価格の3億5000万ドルのディスカウントにつながった。

2.データの損失と破損

データ損失が組織に与える影響は、一時的な混乱から、事業継続性を完全に失い、業務が麻痺してしまうようなものまで様々です。 

データをバックアップし、リカバリプランを持つことでこのリスクを最小限に抑えることができるが、データの完全性を維持することも同様に重要である。  

これには、不正な変更やデータの破損を防ぐために、クラウド環境を適切に設定することが含まれる。 

3.アカウント・ハイジャック

アカウントの乗っ取りは、サイバー犯罪者が機密データへのアクセスやさらなる攻撃を仕掛けるために、正規のユーザーアカウントを盗むことで発生する。 

乗っ取りの一般的な手法には、フィッシング、クレデンシャル・スタッフィング、ブルートフォース攻撃などがある。   

これらの脅威から保護するためには、（MFA）多要素認証の導入、強力なパスワード・ポリシーの実施、異常なアカウント活動の監視が不可欠です。  

目標は、攻撃者が不正アクセスするのをできるだけ困難にすることである。

4.インサイダーの脅威

すべての脅威が組織の外部からやってくるわけではなく、クラウドセキュリティでは内部からの脅威が懸念されるようになっている。  

重要なシステムや機密データにアクセスできる従業員、請負業者、サードパーティ・ベンダーは、悪意であれ偶然であれ、特権を悪用してクラウドのセキュリティを侵害する可能性がある。  

インサイダーリスクを軽減するには、最小特権の原則を徹底し、ユーザーの行動を注意深く監視する。

5.誤った設定と脆弱なアクセス制御

最もイライラさせられるクラウドの脆弱性の根源の1つは、設定ミスである。  

クラウド環境が正しくセットアップされないと、攻撃者に大きな門戸が開かれてしまう。これは、最初のセットアップ時や、リソースの更新やスケーリング時に発生する可能性がある。 

一般に公開されるリソースを保護し、許可された個人だけが機密データにアクセスできるようにすることは極めて重要だ。  

設定を定期的に監査し、セキュリティチェックを自動化し、最小特権の原則を適用することは、設定ミスを避けるために不可欠なプラクティスである。 

1.マルウェアとランサムウェア攻撃

マルウェアとランサムウェアは、クラウド環境にとって最も危険な脅威のひとつである。 

サイバー犯罪者は、クラウドサービスに侵入してデータを暗号化し、その解放のために身代金を要求することができます。今年、ランサムウェア攻撃1件あたりの平均恐喝要求額は520万米ドルを超えた 。 

ランサムウェアに対する強力な防御には、安全なバックアップ・ソリューション、エンドポイント保護、マルウェア検出など、多層的なアプローチが必要です。  

さらに高度な保護をお求めの場合は、OPSWATの先進技術、マルチスキャン、CDR、サンドボックスをご検討ください。

2.DoS攻撃

(DoS）サービス拒否攻撃は、クラウドサービスをトラフィックの洪水で圧倒し、正当なユーザーが利用できないようにする。  

データの損失には至らないかもしれないが、業務に大きな支障をきたし 、生産性に影響を与える可能性がある。  

防御には、トラフィックのフィルタリング、レート制限、異常なアクティビティを検知して対応する自動化システムなどがある。 

DoSでは、リソースが重圧 下でクラッシュすることなく、高トラフィック 負荷を処理できる ことを保証しなければならない。

3.プロバイダーとユーザーによる不十分な注意力

Cloud セキュリティは、ユーザーとプロバイダーの間で共有される責任である。  

しかし、誰もが自分の役割の全容を理解しているわけではない。 

これを軽減するには、プロバイダーのセキュリティ慣行についてデューデリジェンスを行い、自社のプロトコルで補完し、クラウドのコンプライアンスを評価するために第三者機関による監査を予定する。

4.脅威行為者によるCloud サービスの悪用

悪意のある行為者は、クリプトジャッキング（暗号通貨を採掘するためにコンピューティングパワーを使用すること）やマルウェアの配布のために、コンピューティングパワー、ストレージ、クラウドデータベースなどのクラウドサービスを悪用することが多い。 

クラウド・ユーザーにとっては、こうした悪用はシステム・ダウンやデータ消失につながり、プロバイダーにとっては、財政的・規制的な罰金に苦しむことになる。 

手遅れになる前に不審な動きをキャッチするには、処理能力の異常な急上昇や予期せぬファイル共有に注意する。

1.Cloud 環境におけるコンプライアンスの確保

クラウドプロバイダーによってセキュリティ基準が異なるため、GDPR、HIPAA、CCPAのような規制への準拠はリスクが高く、複雑なものとなっている。 

マルチクラウド環境で運用する場合は、コンプライアンスツールやフレームワークを使用してプロセスを合理化し、インフラストラクチャがすべての要件を満たしていることを確認する。

2.可視性とコントロールの欠如

オンプレミスのソリューションとは異なり、クラウド環境では直接的な可視化と制御ができない。  

Cloudセキュリティ監視ツールは、すべてのアクティビティを把握し、脅威をプロアクティブに検出して対応することができます。

3.責任共有モデルの複雑さ

プロバイダーがインフラを確保し、ユーザーがデータを確保するという責任共有モデルは、混乱とギャップを生む可能性がある。  

これに対処するには、役割を明確に定義し、定期的に責任を見直し、すべての関係者がそれぞれの義務を理解するようにする。

4.拡大する攻撃対象の監視の難しさ

デバイスの増加、リモートワーク、サードパーティとの統合により、攻撃者の潜在的な侵入口は増えている。 

潜在的な脅威を発見し、深刻なインシデントに発展する前に対処するために、すべてのクラウド・リソースにわたって強力な監視機能を備えたセキュリティ・ソリューションを使用する。

1.量子コンピューティング

量子力学は現在の暗号化手法を時代遅れにし、攻撃者が簡単にデータを解読できるようにする可能性がある。 

研究者たちは現在、量子解読能力に耐えるように設計された量子耐性暗号化アルゴリズムを研究しており、ポスト量子時代のクラウドの安全確保に向けた重要な一歩を踏み出している。

2.AIと機械学習の脆弱性

AIや機械学習システムはクラウド環境でますます使用されるようになっているが、これらのモデルには特有の脆弱性がある。  

その中には、敵対的攻撃や、攻撃者がデータを巧妙に操作してシステムを騙すデータポイズニングがある。 

異常検知と 安全なデータ処理を用いてこれらのシステムを保護し、データポイズニングを認識するモデルを訓練する。

1.強力なアクセス制御

最小特権の原則と役割ベースのアクセス制御を実施し、ユーザーが各自のタスクを実行するために必要なアクセス権しか持たないようにする。  

アイデンティティとアクセス管理システムは、ユーザーのアイデンティティを検証し、役割と権限に基づいてアクセスを制御し、許可された個人だけがクラウドリソースにアクセスできるように活動を監視することによって、これらのポリシーを実施することができます。

2.継続的な監視と脅威の検知

異常な動作や潜在的な脅威を検出する継続的な監視ソリューションを導入する。  

セキュリティ情報・イベント管理システム、侵入検知システム、Cloud 管理ツールは、脆弱性が大きな問題になる前に特定し、対処する上で非常に貴重である。

3.定期的なセキュリティ監査とコンプライアンスチェック

ベストプラクティスと規制基準へのコンプライアンスを確保するために、定期的なセキュリティ監査を予定する。  

自動化ツールは、クラウドの設定、アクセスログ、ユーザーアクティビティを定期的にレビューするのに役立つ。

4.データの暗号化と保護

データは、保存時と転送時の両方で常に暗号化する。これにより、権限のない個人がデータにアクセスしても、 それを解釈したり使用したりすることができなくなります。 

ハードウェア・セキュリティ・モジュールを使用して、暗号化キーを安全に管理し、機密情報の機密性と完全性を維持することができます。

5.ユーザートレーニングとセキュリティ教育

ヒューマンエラーは依然として、セキュリティ侵害の最も重大な原因の一つである。  

セキュリティ意識向上トレーニングは、従業員にフィッシング詐欺の見分け方、パスワードの安全性、ソーシャル・エンジニアリング詐欺の回避方法などを教えることができる。 

しかし、トレーニングはオプションと考えるべきではない。  

クラウドインフラストラクチャを保護するために従業員が実行できる実践的な行動を提供し、コンテンツが最新で、魅力的で、適切であることを確認します。