Back to Blog ブログ一覧へ戻る

AWSのデプロイメントを脅威にさらす5つの注意点

By
Vectra
|
August 18, 2021

この1年でクラウドの普及は急速に広がりました。そんな中でクラウドにおけるセキュリティの現状はどうなっているのでしょうか?ウサイン・ボルトと100メートル走をすると想定してみてください。あなたがスタートした時点で、もうボルトはゴールしていることでしょう。急速に先を走るクラウドと、それに必死に追いつこうとしても難しいというセキュリティは、まさにこのような関係と言えるでしょう。

セキュリティ担当として、何を守る必要があるのでしょうか?脅威が潜んでいることがわかっている中で、どこに労力とリソースを集中させ、どうやってすべてのサービスの安全性を確保できるでしょうか?

Amazon WebServices(AWS)のセキュリティに携わる、何百人もの専門家を対象に調査を行ったところ、参加したすべての組織において、過去にクラウドのセキュリティインシデントを経験していることが分かりました。この調査結果の詳細は、Vectra AIの最新レポート「State of Security Report」(英語版)においてご紹介しており、CISO、セキュリティアーキテクト、エンジニア、DevSecOpsがそれぞれ専門家として、組織がどのようにAWSを活用し、セキュリティを確保しているかについての見解を示しています。

このレポートでは、組織がAWSのPaaSやIaaSを活用してワークロードを迅速に開発・デプロイしている一方で、セキュリティチームが潜在的な脆弱性への対応に苦慮している状況が明らかにされています。レポートに加えて、今回明らかになった「5つのクラウドセキュリティの盲点」についてはブログでもご紹介していますので、ぜひご覧ください。では、クラウド導入における、ランサムウェアを含む脅威にさらされる可能性のある5つの注意点をご紹介します。

1. お客様の設定ミスや間違い

クラウドによってもたらされるスピードと俊敏性の向上というメリットは、アプリケーションのデリバリーの迅速化を可能にします。同時に、ますます複雑化し、常に進化し続けるデプロイメントから生じるセキュリティリスクも考慮し、メリットとのバランスをとる必要があります。実際、Gartner社は、2025年までに、クラウドのセキュリティ障害の99%は顧客側の責任になると述べています。誤設定やミスを完全に避けることはできませんが、人工知能(AI)を活用すれば、アカウントの作成・変更、サービスの利用状況などを可視化し、問題が発生したときに特定することができます。

2. アクセス数が増えれば、より多くのリスクを生む

今回のレポートの調査結果によると、参加組織の71%において、AWSインフラストラクチャ全体にアクセスし変更できるユーザーが、10人以上いることが明らかになりました。攻撃者によるアカウントの侵害が1つでもあれば大惨事になります。AWSへのアクセスを許可されているユーザーが増えると、リスクは当然増加します。このような例からもわかる通り、クラウドを安全に設定するという課題は、その規模の大きさと常に変化しているという性質のため、難しく当面は続くと予想されます。

 

インフォグラフィック:IaaSとPaaSの安全性確保(英語版)

 

3. 正式なデプロイメントのサインオフがない

クラウドは拡大し続けています。そのため、常にクラウドを安全に構成することは、ほぼ不可能です。調査対象となった組織の約3分の1では、本番環境に移行する前に正式なサインオフを行っておらず、64%の組織が毎週、あるいはそれ以上の頻度で新しいサービスをデプロイしています。正式なサインオフがないことで、セキュリティが疎かになっているとは言えません。しかしセキュリティ担当がデプロイメントの工程に関与することは重要であり、さらに理想的なのは正式なサインオフの工程に参加することです。

 

4. 悪用される可能性の高いサービスが実装されている

今回の調査では、回答者の71%が4つ以上のAWSサービスを利用しており、それに対して、3つのAWSサービス(S3、EC2、IAM)のみを利用しているのは29%という結果となりました。この結果も注意すべき点の1つに挙げられます。それは、3つのサービスで提供されているネイティブなセキュリティコントロールでカバーされていない脅威を、組織は見えていないことを示しているからです。また、DevOps担当の64%が、少なくとも週に1回は新しいサービスを導入していることも分かりました。このことから、企業が価値の高いデータやサービスをクラウドに移行する際には、サイバーリスクを制御することは必須と言えるでしょう。

 

5. リージョンごとに個別に調査する必要がある  

データによると、参加企業の40%が3つ以上のリージョンでAWSを運用しています。ここでの課題は、クラウド・サービス・プロバイダーが提供するネイティブな脅威検知ツールでは、各リージョンに1つのコンソールが必要なため、セキュリティチームは各リージョンのコンソールで同じ脅威を手動で調査しなければならないことです。また、攻撃が1つのリージョンに限定されていることはほぼ無いため、全体像を把握することが難しくなり、検知作業において不利な状況に陥ってしまいます。このような場合、ネイティブツールでは対応できず、侵害のリスクを高めることになります。 

クラウドを利用する際には、今回述べた5つの注意点をしっかりとカバーしておくことで、今日のランサムウェアの攻撃に対するリスクを軽減することができます。さらに詳しい情報は、「State of Security Report: PaaS & IaaS—More People,More Access, More at Stake」(英語版)をダウンロードしてご覧ください。

AWS環境に対する脅威を確認・阻止したい方は、Vectra AI製品の30日間の無料トライアルもございますので、ぜひご利用ください。