クラウドサービスを利用する企業が取るべきセキュリティ対策とは? | codebook - セキュリティ情報専門News - by MachinaRecord

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

codebook - セキュリティ情報専門News - by MachinaRecord > Articles > コンサルティング > クラウドサービスを利用する企業が取るべきセキュリティ対策とは?

クラウドサービスを利用する企業が取るべきセキュリティ対策とは?

クラウド利用企業が取るべきセキュリティ対策

はじめに

 

ここ数年で、クラウドサービスを利用する企業は増えてきています。この傾向は、後述するように、新型コロナウイルスの蔓延に伴うテレワークの拡大とともに、ますます加速しているようです。コロナ禍のWeb会議には欠かせない存在となったZoom、豊富なサービスで企業をサポートするAmazon Web Service(AWS)などをはじめとするクラウドコンピューティングサービスは、業務の効率化、コストの削減、人的リソース節約といった面で多くのメリットをもたらしてくれています。

 

しかし一方で、オンプレミスでの運用が行われていた際には見られなかったような情報セキュリティ上の問題が、クラウド利用によって発生する可能性があることも事実です。では、具体的にはどのようなリスクがあるのでしょうか?そして、どういった対策を取るべきなのでしょう?

 

目次

 

1. クラウドサービスとは?

2. どれくらいの企業がクラウドサービスを利用しているのか?

3. クラウドサービス利用に伴うセキュリティリスク

4. クラウド利用企業が取るべきセキュリティ対策

 ・クラウドサービス提供者が対策を適切に実施しているかの確認

 ・クラウド利用者側が取るべき対策 

5. 最後に

6. 情報源

 

関連記事:ISMSクラウド認証

 

クラウドサービスとは?

 

まず、クラウドサービスとは、インターネットを通じてソフトウェアやハードウェアを利用する情報システムサービスの総称です。

 

クラウドサービスは、主に以下の3種類に分類されています:

 

SaaS(サース、サーズ:Software as a Service)

インターネット経由での、Eメール、グループウェア、顧客管理、財務会計などのソフトウェア機能の提供を行うサービスです。例:Google WorkspaceやMicrosoft Office 365、Dropbox、Slack、Zoomなど

 

PaaS(パース:Platform as a Service)

インターネット経由での、仮想化されたアプリケーションサーバやデータベースなどアプリケーション実行用のプラットフォーム機能の提供を行うサービスです。例:Google App Engine(GAE)やMicrosoft Azure、Amazon Web Service(AWS)など

 

IaaS(アイアース、イアース:Infrastructure as a Service)

インターネット経由で、デスクトップ仮想化や共有ディスクなど、ハードウェアやインフラ機能の提供を行うサービスです。HaaS(Hardware as a Service)と呼ばれることもあります。例:Google Compute Engine(GCE)やAmazon Elastic Compute Cloud(EC2)など

 

参考:https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/service/13.html(総務省)

 

どれくらいの企業がクラウドサービスを利用しているのか?

 

2020年の総務省の調査によれば、調査対象企業の39.4%がクラウドサービスを「全体的に利用」していると答え、29.3%が「一部の事業所または部門で利用」していると回答しました。つまり、約7割、68.7%の企業が、何らかの形でクラウドサービスを利用しているということです。サービスの利用用途は、1位が「ファイル保管・データ共有」(59.4%)、2位が「Eメール」(50.3%)、3位が「社内情報共有・ポータル」(44.8%)、4位が「スケジュール共有」(43.8%)、5位が「給与・財務会計・人事」(37.8%)となっています。

 

クラウドサービス利用に伴うセキュリティリスク

 

クラウド利用の比率が高まり、さらにその傾向が新型コロナパンデミックによるテレワーク・在宅勤務の拡大とともに加速しているということは、これに伴うセキュリティリスクも増えているということです。では、具体的にはどのようなリスクがあるのでしょうか?

 

シャドーIT

従業員がIT部門から承認されていないクラウドサービス(=シャドーIT)を独断で利用している可能性があります。こういったシャドーITには企業の監視の目が行き届いていないため、簡単に不正利用されやすく、侵害されてしまう恐れがあります。その際に用いられる一般的な手口は、ブルートフォース攻撃、脆弱性/設定ミスの悪用などです。

 

インターネットからアクセス可能なクラウドサービス管理用APIが侵害されるリスク

クラウドサービスの管理や操作に使用されているAPI(アプリケーション・プログラミング・インターフェース)は、クラウドサービスプロバイダーによって公開されており、企業はこれを利用してアセット(資産)やユーザーのプロビジョニング、管理などを行います。こういったAPIには脆弱性が存在する可能性があり、これを脅威アクターに発見されると、悪用されてクラウド上の資産を侵害される恐れがあるのです。

 

マルチテナント型サービス(主にSaaS)のリスク

サーバーやデータベースなど、同一のリソースを複数のユーザー/企業(テナント)が共有して利用する形態のマルチテナント型クラウドサービスでは、ソフトウェアやシステムの脆弱性が悪用された場合、テナント間の分離を維持できなくなる恐れがあります。攻撃者がこの障害を利用し、ある企業のリソースから別の企業のデータにアクセスする、といった事態が生じるかもしれません。

 

データが完全に削除されない危険性

マルチテナント環境で、データはクラウドサービスプロバイダーのインフラ内の複数の異なるデバイスに分散して保存されています。このため、組織は自身のデータがクラウド内のどこに保存されているのかを把握しづらく、削除したデータが完全に削除できているのかを確認することも難しくなる恐れがあります。また、削除手順はクラウドサービスプロバイダーごとに異なる場合もあり、利用するクラウドサービスプロバイダーが増えるとその分脅威も増してしまいます。

 

ユーザーのクレデンシャル(認証情報)が盗まれ、悪用されるリスク

クラウド認証情報を入手した攻撃者は、クラウドサービスプロバイダーのサービスにアクセスし、リソースのプロビジョニングを行ったり、企業の資産を狙うことができるようになります。クラウドサービスのリソースを利用すれば、企業の管理者ユーザー、同一のクラウドサービスプロバイダーを利用する他の企業、クラウドサービスプロバイダーの管理者などを標的にすることが可能になります。特に、クラウドサービスプロバイダーの管理者の認証情報を入手した攻撃者は、その認証情報を使用して企業のシステムやデータにアクセスできる可能性があります。

 

権限を持つインサイダーがアクセスを悪用するリスク

企業やクラウドサービスプロバイダーのスタッフまたは管理者などのインサイダーは、組織やクラウドサービスプロバイダーのネットワーク、システム、およびデータにアクセスする権限を有しています。悪意あるインサイダーがこれを悪用した場合、情報が盗み取られる危険があります。

 

保存されていたデータが失われるリスク

クラウドサービスプロバイダーが誤ってデータを削除してしまう、地震や火災などの物理的災害でハードウェアが破損する、といった理由で、クラウド上に保存されていたデータが失われてしまうことがあり得ます。また、クラウドに保存する前にデータを暗号化していた場合は、暗号鍵の紛失によってデータを失ってしまうということも考えられます。

 

クラウドサービスプロバイダーのサプライチェーンが侵害される恐れ

クラウドサービスプロバイダーは、インフラや運用、メンテナンスなどを、外部に委託している場合があります。クラウドサービスプロバイダーは、クラウドを利用する企業との間で契約を交わし、セキュリティ等に関する要件を取り決めますが、クラウドサービスプロバイダーの委託先であるサードパーティーがこれらの要件を満たしていない/サポートしていないという事態が起こり得ます。サプライチェーンまで要件が適用されていない場合、企業にとっての脅威が増大してしまいます。

 

デューデリジェンスが不十分なことによるセキュリティリスクの増大

データをクラウドに移行する際に、どの程度移行するのか、利用予定のサービスプロバイダーはどのようなセキュリティ対策を実施しているのか、自分たちはどのような対策を取るべきなのか、といった事項を十分に理解できていないまま、サービスの利用を決定してしまう企業が多いです。

 

ランサムウェア攻撃を受けるリスク

ブルートフォース攻撃やフィッシング攻撃といった手口でクラウドに侵入した攻撃者は、データを窃取するだけでなく、ランサムウェアの展開を目的として長期的にネットワーク上に留まり、攻撃の土台作りを行う可能性があります。

 

リモートワークへの移行により、不正アクセスを検知しにくくなるリスク

緊急事態宣言発令中、企業に対して可能な限りテレワークを実施せよという要請が出されました。宣言が解除された現在でも、企業によっては引き続き従業員を在宅で勤務させています。このような勤務形態のもとでは、一般的なコアタイムとは異なる時間帯に業務を行う従業員が出てくることが考えられます。コロナ禍以前であれば、就業時間外のアクセスを「不正なもの」として検出することができていたかもしれませんが、現在はそれが困難になっているのです。

 

クラウド利用企業が取るべきセキュリティ対策

クラウドサービス提供者が対策を適切に実施しているかの確認

 

クラウドサービスを利用する企業は、上記のようなリスクを理解した上でセキュリティ対策を実施する必要があります。しかしまずは、クラウドサービスプロバイダーが、以下に挙げる対策を適切に実施しているかを確認すべきです:

 

  • ・データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策など)
  • ・データのバックアップ
  • ・ハードウェア機器の障害対策
  • ・仮想サーバーなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性の判定と対策
  • ・不正アクセスの防止
  • ・アクセスログの管理
  • ・通信の暗号化の有無

 

参考:https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/admin/15.html(総務省)

 

クラウド利用者側が取るべき対策

 

では、サービスを利用する側の企業にはどのような対策が必要なのでしょうか?

 

多要素認証の導入

マイクロソフトによると、不正なサインインを試みられても、その99%は多要素認証によって防ぐことが可能だそうです。多要素認証を導入してクラウドユーザーを保護し、権限のあるユーザーにしかクラウドアプリケーションへのアクセスや秘密情報へのアクセスができないようにすることが大切です。多要素認証サービスは、権限のないユーザーのアクセスをブロックするだけでなく、「mm月dd日hh時mm分にログインしようとしましたか?」などと尋ねる通知を正規ユーザーに送信するため、何者かがアカウントにアクセスしようとしていることを伝える警告の役割も果たしてくれます。

 

アクセスコントロールの設定

すべての従業員に、すべてのファイル、アプリケーション、データへのアクセス権限を与える必要はありません。適切な権限レベルを設定することで、「各従業員が自身の仕事に必要なアプリケーションやデータのみを使用・閲覧する」、という状態が生まれます。アクセスコントロールを割り当てることで、従業員が自分にはアクセス権限がないはずの情報を誤って編集してしまう、といった事態が起こらなくなります。また、この対策をとることにより、ある従業員の認証情報がハッキングされたとしても、残りの従業員の情報は保護することができます。

 

管理者アカウント保護の徹底

管理者アカウントが侵害されると、攻撃者はネットワークを広範囲に制御できるようになり、管理者権限で許可されたあらゆるアクションを実行できるようになるため、クラウドサービスを利用している企業にとって非常に大きな損害がもたらされる可能性があります。前述のアクセスコントロールによって、一般ユーザーが決して管理者権限を持たないようにすることが大切です。さらに、NCSC(英国国家サイバーセキュリティセンター)は、管理者レベルのデバイスからはWebを直接閲覧したり、Eメールを読んだりすることができないようにすべきだとしています。これは、そういった行為によって管理者アカウントが侵害されるリスクが生じるためです。

 

自動ツールを用いたユーザーアクティビティの監視、記録、分析

ユーザーアクティビティをリアルタイムで監視し、分析することで、通常の使用パターンとは異なるイレギュラーな動きや異常な動き(例えば、未知のIPやデバイスからのログインなど)を把握することができます。このようなイレギュラーな動きは、何者かがシステムへの侵入を試みていることを示している可能性があります。そのため、ハッカーによるシステムのハッキングを防ぐため、セキュリティシステムに損害が与えられる前に、イレギュラーな動きを早期に特定することが不可欠です。データ保護ソリューションを活用することで、このプロセスを自動化し、24時間365日の監視・管理を実施することができます。

 

データの暗号化

データをクラウドにアップしてそのまま放置する、というのは得策ではありません。暗号化によりデータの読み取りができなくなり、権限のないユーザーや悪意あるユーザーから大切なデータを隠すことができます。クラウドによっては自動暗号化サービスを提供しているものもあり、これを利用することでデータの窃取や改ざんを防止することが可能です。

 

セキュリティパッチの迅速な適用

クラウドアプリケーションも他のアプリケーションと同様にソフトウェアアップデートを定期的に行いますが、こういったアップデートには、セキュリティ上の脆弱性を修正するためのパッチが含まれていることがあります。これらのパッチが迅速に適用されない場合、サイバー犯罪者がそのクラウドサービスをネットワークへの侵入口として利用し、その後さらなるサイバー攻撃に悪用する可能性があります。クラウドインフラを常に最新の状態に保つためには、生じ得るセキュリティ脅威を継続的に監視するチームを設置するのが望ましいです。

 

クラウド・セキュリティ・ポスチャー・マネジメント(CSPM)ツールの導入

クラウドインフラの量は膨大であり、エラーや異常を発見するために手動で各サービスを調べなければならないようでは、担当者の負担が大きすぎます。特に、ネットワーク上に何十種類ものクラウドサービスがある場合はなおさらです。そのため、こういった作業を自動化できるツールを使用しましょう。

 

不測の事態に備えてバックアップを取る

データのバックアップを保存してオフラインで保管し、万が一クラウドサービスが利用できなくなった場合にも、企業が利用できるようにしておく必要があります。クラウドからクラウドへのバックアップソリューションを検討するのも良いでしょう。

 

サプライチェーンリスクを理解する

①自身の情報がどのようにサードパーティーのサプライヤーやそのサプライチェーンに共有されるのか、②クラウドサービス提供者は、サードパーティーサプライヤーからもたらされ得るセキュリティリスクをどのように管理しているのか、③クラウドサービス提供者は、サービス内で使用されるハードウェアやソフトウェアが真正であり、改ざんされていないことをどのように確認しているのか、これらの点を確認し、理解しておかなければなりません。サービス提供者から、「セキュリティコントロールはサプライチェーン全体で行われている」と保証されている場合も、自身でそのセキュリティコントロールが適切であるかに関する評価を実施する必要があります。

 

従業員にフィッシング対策トレーニングを行う

フィッシングによって従業員のログイン認証情報を盗んだハッカーは、保護されている情報にアクセスできるようになります。フィッシング攻撃では、攻撃者は不正なEメール、テキストメッセージ、Webサイト等を送信して被害者を騙し、秘密情報へのアクセスを共有させようとします。従業員がこのような詐欺の被害に遭わないようにするための最善の方法は、フィッシングを見分けるためのトレーニングを継続的に行うことです。

 

従業員が簡単に使えるクラウドアプリケーションを使用する

アクセスしやすく、直感的に使えるクラウドサービスでなければ、従業員が使いたがらない可能性があります。企業が安全性の高い、企業環境に適したクラウドサービス一式を用意することは可能ですが、例えばそれらがあまりにも使いにくいものであれば、スムーズに仕事ができないことに不満を感じた従業員が、代わりにパブリック・クラウド・ツールを使用してしまう危険があります。この問題は、企業のデータが個人のアカウントに保存されてしまうという事態につながります。そのため、その個人が二要素認証などのセキュリティ対策を講じていない場合は特に、盗難のリスクが高まります。そして、個人アカウントから情報が盗まれれば、結果として大規模なデータ漏洩が発生したり、組織全体へ損害が及ぼされるかもしれません。

 

退社する従業員のための包括的なプロセスを作成する

従業員が退職する場合、その人物が今後一切クラウドのストレージ、データ、システム、顧客データ、知的財産等にアクセスすることがないようにすることが重要です。退職者が持っていた全てのアクセス権限を、確実に無効化できるプロセスを設定する必要があります。社内で管理できない場合には、この作業を信頼できるベンダーに委託することを検討しても良いでしょう。

 

このように、企業が安全なクラウド・セキュリティ戦略を確立するためには、多要素認証、暗号化、オフライン・バックアップなどのツールを使用してデータを可能な限り保護するだけでなく、これらのツールをすべて簡単に使用できるようにしたり、従業員に対するトレーニングを行ったりすることも重要です。こういった対策を実施した上で、クラウド・セキュリティのベストプラクティスに従うようにする必要があります。

 

最後に

 

IPA(独立行政法人 情報処理推進機構)は、「中小企業のためのクラウドサービス安全利用の手引き」という資料を公開しています。クラウドを安全に利用するためのチェックポイントが、①選択するときのポイント、②運用するときのポイント、③セキュリティ管理のポイント、の3つのカテゴリーごとにリストアップされていますので、本記事と併せてそちらもご参照ください。

 

情報源

https://www.soumu.go.jp/johotsusintokei/statistics/data/210618_1.pdf

https://insights.sei.cmu.edu/blog/12-risks-threats-vulnerabilities-in-moving-to-the-cloud/

https://www.insight.com/en_US/content-and-resources/2021/businesses-are-rapidly-migrating-to-the-cloud–but-at-what-cost-to-security.html

https://www.zdnet.com/article/cloud-security-in-2021-a-business-guide-to-essential-tools-and-best-practices/

https://www.ncsc.gov.uk/collection/cloud-security/implementing-the-cloud-security-principles/supply-chain-security