クラウドセキュリティ

攻撃者は、クラウド・リソースを侵害するために、企業ネットワーク境界内のシステムにアクセスするか、リモート管理機能を持つ管理者アカウントまたはCSP管理者アクセス権を持つ管理者アカウントから認証情報を漏洩させるという2つの攻撃手段を持っています。

クラウドインフラストラクチャの可視化が可能になれば、明らかに想定外の動作をしている侵害されたシステムやサービスにおける攻撃者の行動を検知 ことがはるかに容易になる。

ネットワーク・セキュリティとクラウド・セキュリティの違い

クラウド環境は、脅威の検知と対応の方法における基本的な前提を変える。

クラウドワークロードの非常に動的なインベントリは、システムが数秒で行ったり来たりすることを意味する。構築中にシステム構成エラーが発生した場合、自動化によって多くのワークロードにエラーが複製されると、そのエラーは悪化し、増幅される可能性があります。クラウドサービスプロバイダー（CSP）との責任分担は、攻撃ライフサイクルにおける潜在的な脅威検出のギャップを生じさせる。

クラウドのすべてがAPIデータ・アクセス方式に移行しており、トラフィック・フローを監視する従来のアプローチはもはや通用しない。

脅威の検出と対応における課題に加え、クラウドにおける技術革新のペースにより、企業は常に遅れをとっています。ビジネス上の競争が激化しているため、企業は機能を優先して出荷し、中核機能以外のビジネスモデルをアウトソーシングすることに注力しています。

クラウドサービスの爆発的な普及は、境界の概念がなくなり、境界の制御が無駄になることを意味する。新たなインフラと導入ツールの増加により、新たなセキュリティ・モデルと攻撃対象領域を持つ新たな環境が生まれる。

クラウドセキュリティツールの複雑さ

CSPが提供するツールは複雑で、多くの企業テナントにとってはまだ新しいものであるため、誤って設定してしまうことがある。さらに、新しくリリースされる機能やサービスによって、セキュリティに関する専門知識が不足していることがさらに深刻化している。

最も重要なのは、複数のアクセス・管理機能を導入することで、クラウド導入に重大なリスクをもたらすばらつきが生じることだ。ユーザが企業環境の内外からクラウドリソースにアクセスできる場合、管理操作を管理、追跡、監査することは難しい。

承認された場所のみから管理者アクセスを得るための、十分に分離されたロールを含む、よく考えられた特権アカウント管理戦略がなければ、組織は管理者資格情報と特権の悪用の影響を受けやすい。

従来は、サーバーへのアクセスには組織の境界への認証が必要で、管理者のアクセスを追跡するためにプライベート・ネットワーク内で監視を実施することができた。クラウド管理システムは、ウェブ・インターフェイスやAPIを介して公共のインターネットからアクセスされる。適切な保護がなければ、企業のテナントは王冠の宝石を即座に公開する可能性がある。

クラウドセキュリティにおける攻撃のライフサイクル

攻撃者はクラウドリソースを侵害するために2つの攻撃手段を持つ。

1つ目は従来の方法で、企業のネットワーク境界内のシステムにアクセスし、その後、偵察とクラウドリソースにアクセスできる管理者アカウントへの権限昇格を行う。

もう 1 つは、リモート管理機能を持つ管理者アカウント、または CSP 管理者アクセス権を持つ管理者アカウントの認証情報を侵害するだけで、上記すべてをバイパスする方法です。

このように管理アクセス・モデルにばらつきがあるということは、クラウド・サービスの管理に使用されるエンドポイントへの無秩序なアクセスによって、新たなセキュリティ脅威の攻撃対象が変化することを意味する。インフラストラクチャの開発と管理に使用される管理対象外のデバイスは、ウェブ閲覧や電子メールなどの脅威ベクトルに組織をさらすことになる。

メインの管理者アカウントが侵害された場合、攻撃者は特権を昇格したり、企業ネットワークへのアクセスを維持したりする必要はありません。組織では、CSP 管理者権限の悪用をどのように適切に監視していますか？

クラウドセキュリティのベストプラクティス

組織は、クラウドアカウントのシステム管理と所有権の扱い方を見直す必要がある。メイン・アカウントは何人で管理しているのか？

1. パスワードと認証はどのように行われるのか？
2. この重要な口座のセキュリティを誰が確認しているのか？
3. セキュリティ上の問題が発生した場合、誰が責任を負うのか？

CSPかクラウド・テナント組織か？当初は問題次第のようだが、その責任をテナント組織に押し付けようとするCSPもある。

最も重要なことは、組織が管理者認証情報の存在と悪用をどのように監視するかである。管理者アカウントを保護するのは、テナントの責任である。

CSP は、その重要性と、これがテナントの責任であることを明確に伝える。CSP は、保護が弱い、または保護がないことの意味を強く強調している。バックエンドのCSP管理インフラに対する可視性が欠如しているため、クラウドのテナント組織は、侵入手段として使用されたCSPアクセスの悪用を自社環境内で特定する必要がある。

クラウドセキュリティの脅威トップ

2017年、クラウド・セキュリティ・アライアンス（CSA）は、当時クラウド・コンピューティングにおける最も差し迫ったセキュリティ問題だと考えられていたことについて、専門家の意見をまとめるための調査を実施した。

特定された12の懸念事項のうち、5つは認証情報の管理と、悪意を持ってクラウド環境にアクセスするために認証情報を侵害する方法に関連していた。この5つは、調査結果による深刻度の高い順に並べると、次のようになる：

1.不十分なアイデンティティ、クレデンシャル、アクセス管理

スケーラブルなIDアクセス管理システムの欠如、多要素認証の不使用、脆弱なパスワード、暗号鍵、パスワード、証明書の継続的な自動ローテーションの欠如。

2.安全でないインターフェースと API

認証やアクセス・コントロールから暗号化やアクティビティ・モニタリングに至るまで、これらのインターフェイスは、ポリシーを回避しようとする偶発的な試みと悪意ある試みの両方から保護するように設計されなければならない。

3.アカウントの乗っ取り

攻撃者はユーザーのアクティビティやトランザクションを盗聴したり、データを操作したり、改ざんされた情報を返したり、クライアントを不正なサイトにリダイレクトしたりすることができます。

4.悪意のあるインサイダー

組織のネットワーク、システム、またはデータへのアクセスを許可されている、または許可されていた現・元従業員、請負業者、またはその他のビジネスパートナーで、組織の情報または情報システムの機密性、完全性、または可用性に悪影響を及ぼすような方法で、意図的にそのアクセスを超過または悪用した者。

5.不十分なデューデリジェンス

デューデリジェンスを実施しないことは、企業を無数の商業的、財務的、技術的、法的、コンプライアンス上のリスクにさらし、その成功を危うくする。

> クラウドにおける脅威検知のホワイトペーパーをダウンロードして、実際のクラウド攻撃の完全な分析をご覧ください。

クラウド環境のセキュリティ確保は、データを保護し、運用の回復力を維持しようとする企業にとって、オプションではなく、重要な必須事項です。Vectra AIは、脅威の検知・対応からコンプライアンス、データ保護まで、現代企業特有のニーズに対応する最先端のクラウドセキュリティソリューションを提供しています。クラウドセキュリティの複雑さを克服し、クラウド資産を完全に保護するために、当社の専門知識がどのように役立つかについては、お問い合わせください 。