クラウドセキュリティ

攻撃者は、クラウド・リソースを侵害するために、企業ネットワーク境界内のシステムにアクセスするか、リモート管理機能を持つ管理者アカウントまたはCSP管理者アクセス権を持つ管理者アカウントから認証情報を漏洩させるという2つの攻撃手段を持っています。

クラウドインフラストラクチャの可視化が可能になれば、明らかに想定外の動作をしている侵害されたシステムやサービスにおける攻撃者の振る舞いを検知 ことがはるかに容易になります。

ネットワーク・セキュリティとクラウド・セキュリティの違い

クラウド環境は、脅威の検知とレスポンスの方法における基本的な前提を変えます。

クラウドワークロードの非常に動的なインベントリは、システムが数秒で行ったり来たりすることを意味します。構築中にシステム構成エラーが発生した場合、自動化によって多くのワークロードにエラーが複製されると、そのエラーは悪化し、増幅される可能性があります。クラウドサービスプロバイダー(CSP)との責任分担は、攻撃ライフサイクルにおける潜在的な脅威検出のギャップを生じさせます。

クラウドのすべてがAPIデータ・アクセス方式に移行しており、トラフィック・フローを監視する従来のアプローチはもはや通用しません。

脅威の検出と対応における課題に加え、クラウドにおける技術革新のペースにより、企業は常に遅れをとっています。ビジネス上の競争が激化しているため、企業は機能を優先して出荷し、中核機能以外のビジネスモデルをアウトソーシングすることに注力しています。

クラウドサービスの爆発的な普及は、境界の概念がなくなり、境界の制御が無駄になることを意味します。新たなインフラと導入ツールの増加により、新たなセキュリティ・モデルと攻撃対象領域を持つ新たな環境が生まれます。

クラウドセキュリティツールの複雑さ

CSPが提供するツールは複雑で、多くの企業テナントにとってはまだ新しいものであるため、誤って設定してしまうことがあります。さらに、新しくリリースされる機能やサービスによって、セキュリティに関する専門知識が不足していることがさらに深刻化しています。

最も重要なのは、複数のアクセスおよび管理機能を導入することで、クラウド導入に重大なリスクをもたらす変動性が生じることです。ユーザーが企業環境の内外からクラウドリソースにアクセスできる場合、管理アクションの管理、追跡、監査が困難になります。

承認された場所からのみ管理アクセスを取得するための適切に分離された役割を含む、十分に考え抜かれた特権アカウント管理戦略がなければ、組織は管理者の資格情報と特権を悪用される危険性があります。

従来、サーバーへのアクセスには組織の境界への認証が必要であり、管理アクセスを追跡するための監視はプライベートネットワーク内に実装する必要がありました。クラウド管理システムは、パブリックインターネットからWebインターフェースまたはAPIを介してアクセスされます。適切な保護がなければ、エンタープライズテナントは重要な情報を瞬時に公開してしまう可能性があります。

クラウドセキュリティにおける攻撃のライフサイクル

攻撃者はクラウドリソースを侵害するために2つの攻撃手段を持ちます。

1 つ目は従来の方法で、企業ネットワーク境界内のシステムにアクセスし、偵察を行ってクラウド リソースにアクセスできる管理者アカウントに権限を昇格します。

もう 1 つは、リモート管理機能を持つ管理者アカウント、または CSP 管理者アクセス権を持つ管理者アカウントの認証情報を侵害するだけで、上記すべてをバイパスする方法です。

このように管理アクセス・モデルにばらつきがあるということは、クラウド・サービスの管理に使用されるエンドポイントへの無秩序なアクセスによって、新たなセキュリティ脅威の攻撃対象が変化することを意味します。インフラストラクチャの開発と管理に使用される管理対象外のデバイスは、ウェブ閲覧や電子メールなどの脅威ベクトルに組織をさらすことになります。

メインの管理者アカウントが侵害された場合、攻撃者は特権を昇格したり、企業ネットワークへのアクセスを維持したりする必要はありません。組織では、CSP 管理者権限の悪用をどのように適切に監視していますか？

クラウドセキュリティのベストプラクティス

組織は、クラウドアカウントのシステム管理と所有権の取り扱い方を見直す必要があります。メインアカウントを管理しているのは何人ですか？

1. パスワードと認証はどのように行われるのか？
2. この重要な口座のセキュリティを誰が確認しているのか？
3. セキュリティ上の問題が発生した場合、誰が責任を負うのか？

CSPかクラウド・テナント組織か？当初は問題次第のようだが、その責任をテナント組織に押し付けようとするCSPもあります。

最も重要なのは、組織が管理者資格情報の存在と不正使用をどのように監視するかです。管理者アカウントのセキュリティを確保するのはテナントの責任です。

CSPは、その重要性を明確に伝え、テナントの責任であることを伝えています。CSPは、保護が不十分、あるいは全く保護されていない場合の影響を強く強調しています。バックエンドのCSP管理インフラの可視性が欠如しているため、クラウドテナント組織は、自社環境内でCSPアクセスが侵入手段として悪用された場合、その不正使用を特定する必要があります。

クラウドセキュリティの脅威トップ

2017年、クラウド・セキュリティ・アライアンス(CSA)は、当時クラウド・コンピューティングにおける最も差し迫ったセキュリティ問題だと考えられていたことについて、専門家の意見をまとめるための調査を実施した。

特定された12の懸念事項のうち、5つは認証情報の管理と、悪意を持ってクラウド環境にアクセスするために認証情報を侵害する方法に関連していた。この5つは、調査結果による深刻度の高い順に並べると、次のようになる：

1.不十分なアイデンティティ、クレデンシャル、アクセス管理

スケーラブルなIDアクセス管理システムの欠如、多要素認証の不使用、脆弱なパスワード、暗号鍵、パスワード、証明書の継続的な自動ローテーションの欠如。

2.安全でないインターフェースと API

認証やアクセス・コントロールから暗号化やアクティビティ・モニタリングに至るまで、これらのインターフェイスは、ポリシーを回避しようとする偶発的な試みと悪意ある試みの両方から保護するように設計されなければならない。

3.アカウントの乗っ取り

攻撃者はユーザーのアクティビティやトランザクションを盗聴したり、データを操作したり、改ざんされた情報を返したり、クライアントを不正なサイトにリダイレクトしたりすることができます。

4.悪意のあるインサイダー

組織のネットワーク、システム、またはデータへのアクセスを許可されている、または許可されていた現・元従業員、請負業者、またはその他のビジネスパートナーで、組織の情報または情報システムの機密性、完全性、または可用性に悪影響を及ぼすような方法で、意図的にそのアクセスを超過または悪用した者。

5.不十分なデューデリジェンス

デューデリジェンスを実施しないことは、企業を無数の商業的、財務的、技術的、法的、コンプライアンス上のリスクにさらし、その成功を危うくする。

> クラウドにおける脅威検知のホワイトペーパーをダウンロードして、実際のクラウド攻撃の完全な分析をご覧ください。

クラウド環境のセキュリティ確保は、データを保護し、運用の回復力を維持しようとする企業にとって、オプションではなく、重要な必須事項です。Vectra AIは、脅威の検知・対応からコンプライアンス、データ保護まで、現代企業特有のニーズに対応する最先端のクラウドセキュリティソリューションを提供しています。クラウドセキュリティの複雑さを克服し、クラウド資産を完全に保護するために、当社の専門知識がどのように役立つかについては、お問い合わせください 。