いまや企業がビジネスを行ううえで欠かせないものとなっているクラウドサービス。メール、業務システム、サーバー、ストレージなどさまざまな場面でクラウドサービスを活用しているのではないでしょうか。しかし、クラウドサービスを活用する際の課題となるのがセキュリティです。多様化する攻撃に対し、しっかりとした対策がなされていなければ、大きな損害を受けるリスクも高まります。そこで今回は、クラウド活用に欠かせない脆弱性診断について、重要性やおすすめの診断方法についてお伝えします。
クラウドサービス活用におけるセキュリティリスク
企業がクラウドサービスを活用するうえで生じる主なセキュリティリスクは次のとおりです。
不正アクセス
IDやパスワードの流出によって、本来はアクセス権を持たないはずの第三者から、不正に自社のクラウド環境にアクセスされてしまうリスクです。
2021年3月に総務省、経済産業省、警察庁が発表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、2020年の一般企業への不正アクセスは、2,703件となっています。
参照 : 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況|経済産業省
サイバー攻撃
外部からのサイバー攻撃によるリスクです。サーバー等の機器に過剰なアクセスやデータを送付するDDoS攻撃。考えられるすべての組み合わせを試すことでパスワードや暗証番号(PIN)を割り出すブルートフォースアタック(総当たり攻撃)。ほかにもデータベースを不正に操作するSQLインジェクションなどが該当します。
2022年4月に警察庁が発表した「令和3年におけるサイバー空間をめぐる脅威の情勢等について」によると、2021年のサイバー犯罪検挙件数は、12,209件と前年9,875件から大きく増加しています。
参照 : 令和3年におけるサイバー空間をめぐる脅威の情勢等について|警察庁
データ消失
クラウドサービスの障害や社員の設定ミス、操作ミスなどでデータが消失もしくは破損してしまうリスクです。データ消失の要因は、主にシステム障害や災害などによる外的要因と、社内における情報機器の紛失や情報漏洩などの内的要因とに大別されます。外的要因は自社の取り組みだけで予防できるものではありませんし、主に人為ミスである内的要因も、根絶は難しいでしょう。
内部不正
機密情報へのアクセス権限を持った自社の社員が不正に情報を改ざん、搾取してしまうリスクです。モバイルワークや在宅勤務が拡大するなか情報管理は難しさを増しており、内部不正による情報流出のリスクは高まっているといえます。
クラウドサービスの提供形態によるセキュリティリスクの違い
クラウドサービスは、大きくSaaS、PaaS、IaaSの3つの提供形態に分けられます。それぞれのクラウドサービスにおいて、提供者が責任を持つセキュリティリスクと利用者が責任を持つセキュリティリスクは同じではありません。適切なセキュリティ対策をするために、サービスの利用者自身が対策をしなくてはならない領域を知ることが重要です。利用するサービスによって詳細は異なりますが、大まかなセキュリティ領域は、次のとおりです。
SaaSの場合
メールや情報共有サービス、オンラインストレージなどエンドユーザー向けに提供されるアプリケーションやソフトウェアを指すSaaS。セキュリティ対策のほとんどは、サービス提供者側が行います。利用者側が対策をしなければならないのは、ログインIDやパスワード管理のほか、コンテンツ、データへのアクセス権限設定です。
PaaSの場合
主にシステムやアプリケーション開発を行うためのプラットフォームを指すPaaS。代表的なサービスとしては、「Google Compute Engine」「Amazon Elastic Compute Cloud」「Microsoft Azure」などが挙げられます。SaaSのセキュリティ対策の範囲に加え、アプリケーションについても利用者側の責任において、対策が必要です。
IaaSの場合
ネットワークやCPU、メモリ、サーバーシステムなど、情報システムの稼働に必要なインフラをクラウド上で提供するIaaS。代表的なサービスは、PaaSと変わりません。PaaSよりもカスタマイズ性が高く柔軟なシステム構築が可能ですが、その分、利用者側の持つ責任領域も広く、PaaSの責任領域に加え、ミドルウェアまでに及びます。
セキュリティ担当者が取り組むべきクラウド脆弱性診断のポイント
クラウドサービスを提供する多くの会社は、顧客の重要なデータを預かるため、十分なセキュリティ対策を行っています。しかし、クラウドサービスであっても利用者側の責任においてセキュリティ対策を行わなければならない領域は少なくありません。そこで重要となるのが、クラウド脆弱性診断です。
クラウド脆弱性診断とは?
クラウドサービスを活用する際の主なセキュリティリスクは前章で挙げたとおりです。しかし、自社が利用するサービスによって実際にどのようなリスクが存在するのか、そのすべてを把握するのは容易ではありません。
クラウド脆弱性診断とは利用しているクラウドサービスに対し、意図的にトラブルを仕掛け、可視化されていない脆弱性を発見するために行うテストです。あらかじめクラウドサービスの脆弱性を可視化させておくことで、万が一の際に被害を最小限に抑えることができます。
クラウド脆弱性診断を選択する際のポイント
ひと口にクラウド脆弱性診断といっても、その種類は多種多様です。自社に合ったものを選択しないと脆弱性を見つけられなかったり、十分な対策が取れなかったりします。これからクラウドの脆弱性診断の実施を検討している企業のセキュリティ担当者は、次の点に注意して選択することが重要です。
-
複数のクラウドサービスを一括で診断できるサービスを選択する
多くの企業では、複数のクラウドサービスを利用しています。しかし、クラウドサービスすべてのセキュリティ対策を個別に実施するのは簡単ではありません。そのため、複数のクラウドサービスを一括で診断できるサービスの選択が必要です。
-
多様な攻撃に対して脆弱性を発見できるサービスを選択する
攻撃の多様化により、従来の脆弱性診断で可視化された脆弱性への対策だけでは、すぐに対応が不十分となってしまうリスクがあります。いわゆる「いたちごっこ」を防止するためには、攻撃者の視点も考慮した対策が有効です。攻撃者の視点からも脆弱性を発見できるサービスを選択しましょう。
さまざまなリスクに対応可能な脆弱性診断の選択が重要
モバイルワークや在宅勤務など多様な働き方が求められるようになった今、これまで以上にクラウドサービスの活用が重要になっています。しかし、安易なクラウドサービスの利用は、セキュリティリスクの増大を招き、自社の大切な機密情報の漏洩、改ざんなど大きな損失につながってしまうかもしれません。
そこで、重要となるのが、クラウド脆弱性診断です。自社が活用するクラウドサービスにどのようなリスクがあるのかを把握し、事前にしっかりとした対策をすることで、大切な機密情報を守れます。
ただし、クラウド脆弱性診断にはいくつかの種類があります。さまざまなリスクに対応するかどうかはもちろんのこと、セキュリティ担当者の負担軽減につながるものを選択したいです。そのためには、複数のクラウドサービスを一括で診断できるものや、攻撃者の視点からも脆弱性を発見できるサービスを選択するといいでしょう。
株式会社 インフォメーション・ディベロプメントでは、複数のクラウドサービスを一括で診断可能な「マルチクラウド診断サービス」、エシカルハッカーによる「セキュリティ診断サービス」の提供を行っています。前者は診断だけではなく、診断後に対応するべき「対策」まで提示します。また後者は、攻撃者視点でシステムの脆弱性を検査、管理するクラウドサービスです。クラウドサービスのセキュリティ対策を検討されている際は、ぜひご相談ください。
マルチクラウド診断サービス(https://www.idnet.co.jp/service/vulnerability_diagnosis.html)
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。
