なぜ多くの企業がサービスをクラウド。多くの企業がデジタルトランスフォーメーションを受け入れ続け、Infrastructure-as-a-Service(IaaS)やPlatform-as-a-Service(PaaS)モデルの利用を拡大しているのも不思議ではない。では、クラウドのメリットは無限にあるように思えるが、デメリットはあるのだろうか?
このテーマについて、特に組織がIaaSとPaaS環境をどのようにセキュリティ保護しているかについての知見を得るため、当社は最近、Amazon Web Services(AWS)のセキュリティ保護に携わる数百人のセキュリティ専門家を対象に調査を実施しました。最新の「セキュリティの現状」レポートでは、企業がAWSをどのように活用しているか、また回答した企業が経験しているIaaSセキュリティの傾向とPaaSセキュリティの実践について詳しく説明しています。
とりあえず、今回明らかになったIaaSとPaaSの盲点を5つ詳しく見てみよう:
1.IaaSとPaaSのセキュリティ脅威
クラウドプラットフォームは、企業が構築する上で人気があるだけでなく、攻撃者のターゲットとしても人気がある。回答者の91%はAWSのセキュリティ脅威を懸念しており、41%は3つ以上のリージョンでAWSを運用していると回答している。このことは、セキュリティ専門家がその有効性を高めるために活動の自動化を求めているように、リージョンにまたがる脅威を検知し阻止するために、全体的なセキュリティを提供するソリューションの必要性を強調している。
2.クラウド環境にアクセスできる危険なユーザー数。
参加組織の71%は、AWSインフラ全体にアクセスし、変更できるユーザーを10人以上抱えていた。より多くの人がAWS環境にアクセスすることで、リスクは指数関数的に増加する。これは、クラウドをセキュアに構成するという課題を強化するものである。
規模が大きく、規模が大きく、継続的に変化するため、当分の間は続くと予想される。
3.サインオフ・プロセスの 欠如
クラウド、あまりにも拡大しすぎたため、継続的な信頼性をもって安全に設定することはほぼ不可能となっている。調査データによると、回答した組織のほぼ3分の1が、本番環境にプッシュする前に正式なサインオフ・プロセスを実施していない。新サービスの追加とアクセスするユーザーの増加は、組織のリスクを増大させるだけだ。
4.既存のAWSセキュリティサービスでは、カバーできる範囲が限られている。
回答者の70%以上が、AWSの下位3サービス(S3、EC2、IAM)以上を使用しているため、企業はネイティブで利用できる以上のセキュリティカバレッジを求めている。回答者の70%以上が、AWSの下位3つのサービス(S3、EC2、IAM)以上を利用している。このため、クラウド、すべてのサービスを可視化できないと、セキュリティの死角が非常に大きくなる。特定のサービスを監視するソリューションがない場合、セキュリティチームは悪用があるかどうかを知る術がない。
5.クラウドにおける視界が狭い。
調査結果は、企業がセキュリティ運用に多額の投資を行っていることを明確に示している。また、セキュリティはDevOpsの担当者にとっても優先事項であり、担当者はその役割において積極的に取り組んでいる。セキュリティアナリストは、潜在的な脅威や脆弱性を予見する権限を付与されることを望んでいる一方、DevOpsはリソースを浪費する回避可能な危機に不満を抱いている。人工知能(AI)を活用することで、クラウドデプロイメント全体の可視性を向上させ、脅威を発見して阻止することが可能になる。また、許可されたユーザーと悪質なアクターの間の死角を取り除くこともできる。
より多くの組織がクラウドを採用し続ける中、そのセキュリティ確保には、サービスが悪用されるリスクを低減するための新しい考え方が必要となる。ガートナー社が、2025年まで、クラウドセキュリティの失敗の99%は顧客が負うことになるだろうと述べているのには理由がある。
また、AWS環境に対する脅威を確認し、阻止したい場合は、今すぐ30日間の無料トライアルをご利用ください!