#1 クラウドの設定ミス

クラウドの設定ミスは、最近のNSAによる調査で報告されているように、おそらく組織が直面する最も一般的な脆弱性です。設定ミスにはさまざまな形式や形態がありますが、そのいくつかを以下で説明します。多くの場合、優れたプラクティスに関する知識の欠如や、DevOps/インフラチームからのピアレビューの欠如が原因です。

アイデンティティ/アクセス管理

セキュアでないアイデンティティ/アクセス管理 (IAM) の実施は、クラウドシステムの一般的な脆弱性です。つまり、インフラストラクチャのユーザーまたはサービスが、アクセスできないはずのリソースや不要なリソースにアクセスできる場合に発生します。

この脅威を最小限に抑える方法は、次のとおりです。

• すべてのクラウドリソースとユーザーに最小特権の原則を徹底します。この原則では、サービスが読み取りアクセスまたはリソースのサブパートへのアクセスのみを必要とする場合に、リソースへの完全なアクセスを常に付与しません。
• サードパーティのツールを使用して、IAMポリシーの設定ミスをスキャンして検出します。クラウドネイティブアプリケーション保護プラットフォーム (CNAPP) は、設定ミスの可視性を高めるのに役立ちます。
• アクセス要件は時間の経過とともに変化するため、アクセスと特権を頻繁に確認します。

パブリックデータストレージ

この脆弱性は、S3バケットやSQLデータベース（それほど頻繁ではない）などの特定のデータBLOBが部分的または完全に公開され、読み取り専用または読み取りと書き込みの両方でアクセスされる場合に発生します。この問題の一般的な原因は、リソースの設定ミスです。

DevOpsチーム、システム管理者、マネージャーは、パブリックデータストレージの設定ミスのリスクを最小限に抑えるための、いくつかの基本原則に従う必要があります。

この脅威を最小限に抑える方法は、次のとおりです。

• サードパーティのツールを使用してインフラストラクチャをスキャンし、この種の脆弱性をすばやく検知します。
• クラウドリソース用のデータストレージは、デフォルトで常にプライベートに設定します。
• Terraformまたはその他のIaCフレームワークを使用する場合は、必ずチームの別のメンバーにコードとしてのインフラストラクチャのファイルを確認してもらいます。

その他の設定ミス

他にも多くの脆弱性が、このカテゴリーに存在します。設定ミスを減らすための優れたプラクティスは、次のとおりです。

• 常にHTTPではなくHTTPSを使用します（SFTPではなくFTPにするなど、他のプロトコルについても同様）。また、最新バージョンのSSL/TLSを使用する必要があります。
• インターネットに接続する特定のマシンの、不要な受信ポートと送信ポートがあれば、すべて制限します。
• APIキーやパスワードなどのシークレットは、安全なシークレット管理ソリューション（AWS Secrets Managerなど）を使用して1か所でのみ保管します。

2023年版クラウドリスクレポート

この新しいレポートをダウンロードして、2023年に最も蔓延しているクラウドセキュリティの脅威について精通し、2024年にはそれらの脅威からの保護を強化してください。

今すぐダウンロード

#2 安全でないAPI

APIは現代のソフトウェア開発で急増しており、マイクロサービス、アプリケーション、Webサイトのバックエンドで使用されています。それらは、モバイルデバイス、アプリケーション、Webページ、サードパーティ、ボット、スパマー、ハッカーから受信したリクエストを処理する必要があります。そのため、安全なAPIを備えてサイバー脅威を確実に軽減し、不要なトラフィックから保護することが重要です。

これらの悪意のあるリクエストは、さまざまな形式をとる可能性があります。最も一般的なものは、以下のとおりです。

• コードとクエリのインジェクション（SQLインジェクション、コマンドインジェクション）
• 正しくないアクセス制御の利用
• 古いコンポーネント（ソフトウェアライブラリ、データベースエンジン、ランタイム環境など）に起因する脆弱性の標的化

多くのクラウドプロバイダーは、社内のソリューションを提供しています。それ以外に、APIセキュリティを確保するために自分で実行できる簡単な手順がいくつかあります。

この脅威を最小限に抑える方法は、次のとおりです。

• Webアプリケーションファイアウォール (WAF) を実装して、リクエストをIPアドレスまたはHTTPヘッダー情報でフィルタリングし、コードインジェクション攻撃を検出します。WAFでは、ユーザーごとのレスポンスの限度数やその他のメトリックを設定することもできます。
• DDoS保護を実装します（詳細については、以下を参照してください）。

# 3 可視性の欠如

クラウドサービスの利用が増えると、インフラストラクチャの規模も拡大します。企業が何千ものクラウドサービスのインスタンスを使用している場合、紛失したり、実行中のインスタンスの一部を忘れたりしがちです。インフラストラクチャ全体の状態の可視化が簡単で、便利にアクセスできる必要があります。

クラウドインフラストラクチャの可視性の欠如は、脅威へのアクションを遅らせ、データ侵害につながる可能性のある大きな問題です。そのため、マネージャー、システム管理者、DevOpsチームは、プロアクティブなセキュリティアプローチを取る必要があります。

この脅威を最小限に抑える方法は、次のとおりです。

• 脅威をモニタリングして検知します。
• クラウドインフラの可視性を確保します。
• CNAPPなどのツールを実装します。これにより、リスクを最小限に抑え、侵害が発生した場合の対応時間を短縮できます。

#4 多要素認証の欠如

多要素認証 (MFA) は、ユーザーがアカウントまたはデータにアクセスするために、少なくとも2つの形式のID検証を提示する必要がある認証方法です。例えば、一般的なMFAは、ユーザーがユーザー名とパスワードを入力する必要がある場合です。次に、ユーザーは、2番目の検証として携帯電話のSMS、Eメール、プッシュ通知で受信したワンタイムパスワード／コードなどを入力するように求められます。

パスワードとユーザーは盗難に対して脆弱であり、MFAを実装していない場合は潜在的に重大な脆弱性となります。

この脅威を最小限に抑える方法は、次のとおりです。

• 組織全体にMFAを実装して、システムへのアクセスに必要な追加の認証レイヤーを利用します（物理的な電話やEメールアドレスなど）。
• アカウントとデータへのクラウドアクセスを許可された従業員には、常にMFAを適用します。

# 5 悪意あるインサイダー

不正アクセスは、ユーザーが企業の一部またはすべてのクラウドリソースのアクセスを取得した場合に発生します。

これらの悪意のあるインサイダーがクラウドアカウントにアクセスする方法はいくつかあります。「クラウドの設定ミス」セクションで説明したように、これはルールが緩すぎるか、元社員がアカウントに対して正規の認証情報を引き続き保有していることが原因である可能性があります。

悪意のあるインサイダーは、フィッシング攻撃の成功や、認証情報の脆弱な（パスワードが単純すぎる、アカウント間で共有されるパスワードなど）セキュリティを利用したアカウントの乗っ取りによって企業のクラウドリソースにアクセスすることもできます。この種の脆弱性は、データが盗まれたり変更されたりするリスクがあるだけでなく、知的財産も危険にさらされるため、特に危険です。

この脅威を最小限に抑える方法は、次のとおりです。

• MFAがアクティブ化されていることを確認します。
• 自動化ツールを使用してフィッシングEメールを除外します。
• フィッシング攻撃について従業員を教育します。
• 安全なパスワードの慣行が守られていることを確認します。

# 6 分散型サービス拒否攻撃

分散型サービス拒否 (DDoS) 攻撃は、WebサイトなどのWebサービスを停止させようとする悪意のある試みです。これは、さまざまなソースからのリクエストでサーバーを氾濫させ（したがって分散型）、過負荷状態にします。この目的は、サーバーが正当なユーザーからのリクエストに応答しないようにすることです。

この脅威を最小限に抑える方法は、次のとおりです。

• DDoS攻撃から保護するクラウドプロバイダーを選択します。AWS Shieldなど、ほとんどの場合、統合が簡単で、追加費用はかかりません。
• クラウドサービスのDDoS保護が常に有効になっていることを確認します。

クラウドコンピューティングの脆弱性はますます一般的になっており、組織は確実にリスクを軽減するために行動する必要があります。最も一般的なクラウドセキュリティの脅威について説明しましたが、対処すべき脆弱性は他にもたくさんあります。クラウドストライクは、脆弱性を保護、防止、対処するための高度で自動化された統合セキュリティを提供します。Falconクラウドセキュリティソリューションの詳細情報。

クラウドジャーニーに対する主な脅威

クラウドを安全に採用し、その利点を実現するには、組織はこれまで以上に大規模で複雑な状況を可視化する必要があります。

今すぐダウンロード