クラウド セキュリティ アライアンスによる最新の調査結果より
クラウド セキュリティ アライアンス(Cloud Security Alliance)によって、「2024年版クラウド コンピューティングの脅威ベスト11(Top Threats to Cloud Computing 2024)」が発表されたので、ご紹介します。脅威なのでベストではなくワーストと言うべきかもしれませんが、とにかくITセキュリティの専門家500名以上が「今もっとも脅威に感じている」と回答した上位11項目です。なぜ11なのか(?)はよくわかりません。まとめた人がサッカー好きなのかもしれません。
第11位:APT攻撃(Advanced Persistent Threats) ― 組織的なセキュリティ侵害のことで、持続的標的型攻撃と訳されます。国家主導のスパイ行為や妨害工作などを指すことが多いようです。これは前回2022年に行われた同じ調査では第10位にランクされていました。
第10位:非認証のリソース共有(Unauthenticated Resource Sharing) ― ネットワーク上のファイル共有などが許可なしで行われることです。初ランクインです。
第9位:クラウドの可視性/オブザービリティの限界(Limited cloud visibility / Observability) ― こちらも初ランクインです。以前からある問題なので、初ランクインの理由は、ツールの普及で逆に期待値が高まったためかもしれません。
第8位:システムの脆弱性(System vulnerabilities) ― 一般的かつ普遍的なセキュリティ課題であり、前回も7位にランクしています。
第7位:クラウドデータの漏洩(Accidental cloud data disclosure) ― accidental disclosureは意図しないアクセスを与えてしまうことであって、「漏洩」はその結果です。第10位の「許可なしのリソース共有」と同様の問題なので、エッジ環境やリモートワークの普及と関連して表面化してきた可能性があります。前回8位からのワンランクアップです。
第6位:ソフトウェア開発の安全性の問題(Insecure software development) ― 第8位の「システムの脆弱性」同様、基本的な問題なので前回調査時も第5位につけています。ソフトウェア開発プロジェクトの管理の問題であると同時に、ユーザーにとっては使用するソフトウェアに潜む設計上の問題です。
第5位:サードパーティ リソースの安全性の問題(Insecure third-party resources) ― 昨今では、サプライチェーン全体がランサムウェアの攻撃対象になっており、社内セキュリティが万全でも外部委託業者やツールが感染源になってしまうケースが問題視されています。前回6位からワンランクアップです。
第4位:クラウドセキュリティ戦略の選択/実装ミス(Inadequate selection / Implementation of cloud security strategy) ― すべての問題が集約された根本的な課題なので、不動の4位です。
第3位:インターフェースやAPIの安全性の問題(Insecure interfaces and APIs) ― 第5位のサードパーティ リスクが注目されだしているのと同じ理由で、外部サービスとのインターフェースもセキュリティの盲点あるいは弱点になりやすい部分です。
第2位:ID/アクセス管理(Identity and Access Management (IAM)) ― これも外部サービスの活用やリモートワークの普及など、ネットワークの広がりとともに顕在化してきたセキュリティ リスクです。
第1位:設定ミスや不適切な変更管理(Misconfiguration and inadequate change control) ― 1位と2位は両方、システムの問題よりも人的問題であり、セキュリティ管理の複雑化にスキルが追いついていない現状が伺えます。
このトップ3は前回の調査でも、順位の入れ替わりはあるものの、同じトップ3を占めていました(前回の3位が1位に上がり、1位と2位がそれぞれ1つずつ順位を下げただけです)。これは、2年前の調査時から、セキュリティ管理スキルや人材不足の課題が解決していないという見方もできます。しかし、この結果はむしろ、この分野の重要性が継続的に高まっていることの表れだと、クラウド セキュリティ アライアンス(CSA)は指摘しています。以前の調査では、クラウド サービス プロバイダに関連した懸念が上位を占めていましたが、近年は個々の企業・組織内のセキュリティ戦略の運用に焦点が移り、その傾向が続いているとCSAは分析しています。
注目すべき4つのセキュリティ トレンド
上記の結果を踏まえ、CSAは、今後のクラウド コンピューティング環境を左右する重要トレンドをいくつか挙げているので、以下に紹介します。
サイバー攻撃の高度化 ― ハッカーは、AIをはじめとする、より高度なテクノロジーを駆使して、クラウド環境の脆弱性をついてくるようになりました。これに対応するには、継続的なモニタリングと積極的な脅威検知を行える、受け身ではなく能動的なセキュリティ戦略が必要となります。
サプライチェーンのリスク ― クラウド エコシステムが年々高度化し、複雑化すると同時に、サイバー攻撃を被弾し得るポイントも増えています。企業は社内のセキュリティ体制に力を入れるだけでなく、ベンダーやパートナー企業を含めたサプライチェーン全体を視野に入れなければなりません。
コンプライアンスや法規制の厳格化 ― 行政機関によるデータ プライバシーやセキュリティへの規制が強化され、企業はそれに合わせてクラウドセキュリティ体制を見直さなければならないケースが生じています。
Ransomware-as-a-Service(RaaS) ― ランサムウェアがサービス化され、ハッカーは高度なスキルがなくても手軽にサイバー攻撃を仕掛けられるようになっています。企業は、これまで以上にアクセス制御を徹底すると同時に、バックアップとリカバリのソリューション強化が急務になっています。ゼロトラスト セキュリティやイミュータブル バックアップの採用が、今後ますます重要になってくると予想されます。
クラウドセキュリティ戦略は、カバーすべき範囲の広がりと技術の進化、さらにはサイバー攻撃の高度化で、対応が後手後手になりがちです。しかし、すべての企業が遅かれ早かれいつかはランサムウェア攻撃を受けると言われる今日、クラウドセキュリティの強化は一刻を争う緊急事案です。今、何が足りていないのか、まず、どこを強化すべきか、ここで紹介した業界の最新トレンドが1つの指針となれば幸いです。
関連トピックス:
- 【VMware】vSphereのセキュリティ設定について
- vSphereのセキュリティ設定について【仮想化プラットホーム VMware vSphere】
- クライム・クラウド・カンパニー 感謝祭2016での AWS re:Invent 2016 報告!
- 在宅勤務の急増で待ったなし! クラウドセキュリティの緊急課題を解決するには
- ハイブリッドクラウドインフラにおけるビジネスメリット
- BYOK(Bring your own key)て何でしょうか?
- 仮想化データの事業継続(BC)とディザスタリ・リカバリー(DR)プランのためのヒント
- クロスクラウド・ディザスターリカバリー(DR): クラウドコンピューティングの新時代