クラウドサービスのアカウントも標的に
「Office 365」のアカウント情報を狙ったフィッシングメールが、複数の企業に送り付けられる事件が起きています。サイバー攻撃の情報を共有する活動を行っているJ-CSIP(サイバー情報共有イニシアティブ)が定期的に公開しているレポートでも、直近の事案(調査期間 2019年6月~9月)の一つとして、「実在する国内企業を騙り(かたり)、国内組織へ送られたフィッシングメール」が採り上げられました。
「Office 365」は、Microsoft社が提供しているクラウド型のオフィスアプリケーション。組織の規模に関わらず、国内でも多くの企業・団体に使われているクラウドサービスの一つで、メールやオンライン電話を使ったコミュニケーション、文書作成、売上管理、情報共有などに常用しているみなさまも多いことと思います。
このサービスのアカウントが盗まれてしまうと、メールの内容だけでなく、共有ストレージに保存している顧客名簿や得意先に提出した企画書、公開前の製品情報など、クラウド上のすべての機密情報が盗まれてしまう事態にもなりかねません。たった1件のアカウント情報の流出が、重大なセキュリティインシデントに直結するリスクもあるのです。
クラウド事業者のリスクも見極める
J-CSIPのレポートとほぼ同じ時期、別の角度からクラウドサービスの利用に対する注意を喚起する報告書が公開されました。クラウドセキュリティの向上をテーマに活動する国際組織 CSA(Cloud Security Alliance)が発表した「クラウド 重大セキュリティ脅威 11の悪質な脅威」(日本語版の監修はCSAジャパン)です。
報告書の主旨は、データ侵害や設定ミス、不正アクセス対策、システムの脆弱性など、CSP(Cloud Service Provider:クラウドサービス事業者)が内包するリスクを深掘りし、年々その数が増え続けているCSPの運用体制の不備に警鐘を鳴らすと同時に、クラウドサービスのユーザー企業にも注意を促すというものです。
「クラウド 重大セキュリティ脅威 11の悪質な脅威」 出典:CSAジャパン
全体的には、どちらかと言うとCSP向けの比重が高いようですが、一般企業にとっても、サービスの選定時や自社のセキュリティ対策を再考する上で、貴重な情報源になることは言うまでもありません。それでは11の悪質な脅威について見ていきましょう。
1. データ侵害
2. 設定ミスと不適切な変更管理
3. クラウドセキュリティアーキテクチャと戦略の欠如
4. ID、資格情報、アクセス、鍵の不十分な管理
5. アカウントハイジャック
6. 内部者の脅威
7. 安全でないインターフェースとAPI
8. 弱い管理プレーン
9. メタストラクチとアプリストラクチャの障害
10.クラウド利用の可視化の限界
11.クラウドサービスの悪用・乱用・不正利用
全体的な特徴は、まずクラウドのリスクを扱った体系的なレポートとしては、現時点(2019年12月時点)では、新しい情報であること。以前の調査(「危険な12の落とし穴」)で採り上げられていた「DoS」「共有テクノロジーの脆弱性」「データの損失」などは、必ずしもクラウド環境に特化したものではなく、今となっては“対策は当然”という側面もあり、今回は除外されました。
もう一つの特徴は、ユーザー企業も同じ視点から取り組むべき課題が多いという点です。脅威のランクから、一般企業にも関係が深い内容を抽出してみます。
設定と管理のミスは共通課題
まずトップにランクされた「1.データ侵害」は、顧客情報や技術情報などの機密情報が漏えいするリスクです。その要因として、標的型攻撃や人的エラー、アプリケーションの脆弱性、不適切なセキュリティ対策などが挙げられていますが、これらはCSPだけでなく、企業システムの管理者とユーザーも常に意識しなければならない課題と言えるでしょう。
「データ侵害」はすべての情報システムに関わるリスクですが、「2.設定ミスと不適切な変更管理」は、クラウド環境では特に注意が必要な要素です。報告書ではCSPがデータ侵害を引き起こす主な要因として、設定ミスを挙げていますが、この点はクラウドのユーザーも同様です。
現在、多くの企業は複数のクラウドサービスを利用していますから、個々の利用設定や1度登録したユーザー情報の変更などに伴う運用管理は非常に煩雑です。設定と変更管理のミスは、一般企業にとっても深刻な脅威に結びつく重要課題と考えてください。
アカウントハイジャックも身近な脅威
「3.クラウドセキュリティアーキテクチャと戦略の欠如」は、CSP側のサービス機能の拡張と安全対策に対して警鐘を鳴らした内容です。基幹業務もクラウドへ移行する企業が増えている現在、サービス機能の拡張が優先し、堅牢なセキュリアーキテクチャの確立が後手に回った場合のリスクは深刻です。
パブリッククラウドサービスを活用する組織は、冒頭で触れた「Office 365」のアカウントを狙うような攻撃を受けた際、甚大な被害が出る可能性もあります。こうしたリスクを採り上げた項目が、「4. ID、資格情報、アクセス、鍵の不十分な管理」。報告書では、安全強化策の一例として、多要素認証の導入やオンプレミスとクラウドの管理システム・ルールの明確な分離などを挙げています。
「5.アカウントハイジャック」は、攻撃者が高い権限、機密性の高いシステムにアクセスするアカウントを搾取し、悪用するリスクです。報告書では、パブリッククラウドのアカウントが管理用コンソールの不正利用から漏洩し、企業の情報資産の多くが破壊されて事業継続が不可能になった例も示して、複数の技術でガードを固める多層防御の重要性を指摘しています。
クラウド環境でも「内部者の脅威」は深刻
セキュリティ被害の実態に関する各種調査で、決まって上位にランクされるのが従業員の悪意やミスを起因とする内部からの情報流出です。「6. 内部者の脅威」でも、“58%の企業がセキュリティ侵害は内部者に起因”とする調査結果を示し、退職者のアカウント悪用や職員の過失による情報流出を防止するため、セキュリティ担当者、常勤職員の意識向上、トレーニング、システムの定期検査の徹底などを喚起しています。
「7. 安全でないインターフェースとAPI」では、オープンなクラウドサービスに内在するリスクに触れています。ユーザーインタフェースや他のサービスと連携するためのAPI(Application Program Interface)に不備があると、大きな事故にもつながります。
報告書では2018年に著名SNSから数千万人規模のユーザーに影響を及ぼす情報漏えいが発生した事例を採り上げていますが、普及率が高く信頼性も高いと思われるサービスでも、脆弱性や設定ミスによるリスクはゼロにはできない点は留意しておくべきでしょう。
情報システムをオンプレミスからクラウドへ移行する際は、十分なストレージ容量とデータ保護計画を確立する必要があります。マルチクラウドを利用する環境では、さらに綿密なプラニングと検証が必須です。
「8.弱い管理プレーン」では、この課題に対するユーザー企業の理解とCSPによるサポートの必要性を指摘しています。
“シャドーIT”への留意を
「9.メタストラクチャとアプリストラクチャの障害」は、CSP側のセキュリティ対策、技術情報の開示に関する内容です。
「10.クラウド利用の可視化性の限界」は、クラウドサービスの利用状況を可視化・分析する機能を欠いた場合のリスクに触れています。リスクは、企業が正式に許可していないサービスの利用、許可されたサービスの悪用の二つ。特に前者は“シャドーIT”として、数年前から問題視されているテーマです。
最近は、企業と複数のCSPの間にコントロールポイントを置いて、一定のセキュリティポリシーでクラウドサービスの利用を制御するCASBなどのソリューションも使われていますが、新しく持ち込まれたサービスに対する監視が難しいなど、これだけでは万全な対策にはなりません。企業はシステム面での対応に加えて、クラウドサービスの利用に関するポリシーの確立と、確実に実践する体制を維持していくことも重要です。
そして最後は「クラウドサービスの悪用・乱用・不正利用」。悪用例として、Microsoft社の「One Drive」や、Google社の「Google Drive」などのクラウドサービスを通じて拡散するランサムウェア、クラウド環境から発信されるスパムメール、フィッシングメールなどの例を挙げています。
対策はCSPに依存しますが、このようなリスクが存在することは、ユーザーも知っておくべきでしょう。クラウド環境を悪用したマルウェアなどが拡散した際は、関係するCSPをはじめ、IPA(情報処理推進機構)などの組織からも情報が発信されますので、定期的なチェックを心がけるようにしてください。