本文の内容は、2025年2月19日に Eric Carter が投稿したブログ(https://sysdig.com/blog/top-cloud-misconfigurations/)を元に日本語に翻訳・再構成した内容となっております。
クラウドのスピードによる恩恵を受ける一方で、大きな力には大きな責任が伴います。不注意なクラウドの設定ミスは、不正なアクターに対して扉を開くことになりかねません。クラウドの設定ミスの多くは人的ミスや認識不足に起因しますが、残念ながらデータ侵害の主要な原因となっています。
最も頻発するクラウドの設定ミスを分析し、それがセキュリティやコンプライアンスに与える影響を探り、修正や防止のための実践的な手法を特定しましょう。その中には、クラウドセキュリティポスチャー管理(CSPM)ツールの活用も含まれます。
クラウドの誤った構成とは?
まず、クラウドの誤った構成とは何でしょうか?
クラウドの誤った構成は、セキュリティのベストプラクティスの観点からクラウドリソースが誤って設定されている場合に発生します。これにより、システム、アプリケーション、およびデータが不正なアクセスやアクティビティにさらされることになります。これらのエラーは、IaaS、PaaS、SaaS など、あらゆるクラウドモデルで発生する可能性があり、クラウド セキュリティインシデントの主な原因となっています。
実際、クラウド セキュリティアライアンスの調査によると、クラウドセキュリティ侵害の 90% 以上は構成ミスによるものです。リスクは大きいため、クラウドを推進する組織にとって、構成ミスへの対処は最優先事項である必要があります。
クラウドの最もよくある構成ミス
過度に寛容なIAMポリシー
アイデンティティおよびアクセス管理 (IAM) のセキュリティ構成ミスは、クラウド環境における大きなリスクであり、多くの場合、過度に許可されたロール、未使用の認証情報、または最小権限アクセスの適用不足が原因で発生します。これらのギャップにより、攻撃者は権限を昇格し、横方向に移動して、機密リソースにアクセスできるようになります。適切な IAM 管理がなければ、組織は侵害、コンプライアンス違反、および運用中断のリスクが高まります。
これらの問題に対処するには、リスクを最小限に抑え、不正アクセスを防止するために、継続的な IAM ポリシーのレビュー、ロールベースのアクセス制御 (RBAC) 、およびセキュリティポスチャー管理チェックが必要です。
アクセスポリシーの設定ミスによりリソースが公開される
クラウドサービス アクセスの構成ミスは、データ侵害の頻繁な原因です。ストレージバケットまたは Web サービスを誤って公開すると、重大なセキュリティ リスクが発生します。ハッカーは、公開されているクラウドリソースを常に探しており、数分でリソースを検出して悪用する可能性があります。これらの構成ミスは、すぐにクラウド侵害につながり、攻撃者が機密データにアクセスしたり、機密データを盗み出したり、削除したりすることを可能にします。
組織は、ストレージバケットやネットワークサービスが明示的に必要とされない限り非公開となるよう、デフォルトで厳格なアクセス制御を実施すべきです。セキュリティグループ、ファイアウォール、仮想プライベートネットワーク(VPN)などを活用し、アクセスを制限することが可能です。
多要素認証(MFA)の未適用
オンライン リソースにアクセスするために、パスワードと携帯電話に送信されるコードの組み合わせなど、複数の本人確認手段を使用することが一般的になっています。これと同じタイプの保護である多要素認証 (MFA) は、安全なクラウド アクセスにも不可欠です。MFA を使用しないと、アカウントへの不正アクセスのリスクが高まります。
パスワードは、フィッシング詐欺によってハッカーに盗まれたり取得されたりすることが多く、認証情報の低レベルの侵害でさえも重大な損害につながる可能性があります。ダークウェブでは、盗まれたクラウド認証情報を販売することに特化した業界全体が爆発的に成長しています。MFA は、ユーザー名とパスワードの不正使用による侵害のリスクを軽減するのに役立ちます。
クラウド アカウントに多要素認証 (MFA) を適用するには、クラウド プロバイダーのセキュリティ ポリシー設定を使用して “Require multifactor authentication” オプションを有効にします。
暗号化を使用しない
保存中のデータであれ転送中のデータであれ、データを暗号化しないと、不正アクセスにさらされる可能性があります。また、データの暗号化は、ほとんどのコンプライアンス フレームワークの重要な要件です。侵害が発生した場合、データを適切に暗号化しないと、データが悪意のある人物の手に渡るだけでなく、規制上の罰金や評判の低下につながる可能性があります。
適切な暗号化を確保するために、クラウドプロバイダーの設定を構成し、保存データおよび転送中のデータを自動的に暗号化するようにします。通常、キー管理サービス(KMS)を利用した顧客管理の暗号鍵(CMEK)を使用します。これにより、データの暗号鍵を管理・制御し、許可されたユーザーのみがアクセスできるようにします。さらに、暗号化が適用されていない新規データがクラウドにアップロードされた際に、自動的に検出して暗号化するポリシーを実装してください。
ネットワークのセグメンテーションの欠如
ネットワークセグメンテーション (コンピュータ ネットワークを小さく明確なセグメントまたはサブネットワークに分割する手法) により、重要なシステムと機密データが分離され、攻撃対象領域が縮小されます。侵害が発生した場合、セグメンテーションによって攻撃が封じ込められ、マルウェアやランサムウェアの拡散が制限され、ネットワーク全体での横方向の移動が防止されます。
適切なセグメント化のないフラットなクラウド ネットワークでは、広範囲にわたる侵害のリスクが高まります。クラウドでは、ネットワークセキュリティ グループが受信および送信ネットワークトラフィックの制御に役立ちます。セキュリティグループの管理が不十分だと、ネットワークが脆弱になり、攻撃者がホストとサービス間を自由に移動できるようになります。
ネットワークセグメンテーションを実施するには、サブネット、セキュリティグループ、ネットワークアクセス制御リスト (ACL) などのツールを使用して、クラウド環境内に個別の論理ネットワークセグメントを作成します。セキュリティ ポリシーに基づいてこれらのセグメント間のアクセス ルールを定義し、許可されたトラフィックのみがセグメント間を流れるようにする必要があります。ベストプラクティスは、定期的にネットワーク アクティビティを監視し、監査を実施してセグメンテーションの整合性を維持することです。
ログと監視の設定ミス
ログはセキュリティインシデントの検知と調査に不可欠ですが、ログの設定が間違っている (またはログがない) と、可視性にギャップが生じる可能性があります。クラウドログは、ユーザー アクション、システムの変更、アクセス試行など、クラウドリソース全体のアクティビティを記録するのに役立ちます。これらの分析情報がなければ、悪意のあるアクティビティや予期しないアクティビティを見逃す可能性があり、インシデント対応チームは攻撃の根本原因、範囲、影響を特定するのが難しくなり、封じ込めが遅れることになります。
すべてのクラウドリージョンとサービスでログ記録が有効になっていることを確認し、ログを集中監視ツールに転送し、監査要件を満たす保持ポリシーを定義します。さらに、クラウドログ記録機能を無効にしようとする試みを監視する必要があります。これは、検知を回避するために攻撃者がよく行うアクティビティです。
パッチ未適用または古いシステム
クラウド ワークロードもパッチ適用の必要性から免除されるわけではありません。パッチが適用されていないシステムは、既知の脆弱性を悪用する攻撃者にとって、主要な侵入口となります。また、古いシステムは最新のセキュリティ ツールやプロトコルとの互換性が欠如している可能性があり、堅牢なセキュリティ対策を実装する能力が制限されます。さらに、多くの規制フレームワーク ( GDPR、HIPAA、PCI-DSS など) では、組織がセキュリティ管理の一環として最新のシステムを維持することを義務付けています。これを怠ると、セキュリティ リスクにさらされるだけでなく、コンプライアンス違反の罰則も受けます。
クラウドでこの問題に対処するには、CSPM を使用して古いソフトウェアを監視し、自動パッチ管理ツールを使用してシステムが最新の状態であることを確認する必要があります。
誤設定された脆弱なワークロード、および古いワークロード
誤って構成されたワークロードと脆弱なイメージは、クラウドにセキュリティリスクをもたらします。組織は多くの場合、ルート権限のデフォルト設定を無意識のうちに使用しており、攻撃者がホストシステムにアクセスして悪意のあるアクションを実行するリスクが高まっています。コンテナイメージとソフトウェアの脆弱性は一般的であり、ワークロードの乗っ取りに悪用される可能性があります。
ワークロードのライフサイクル全体にわたり、開発時、レジストリ内、および実行時において、脆弱性を適時かつ継続的にスキャンすることが、ソフトウェアサプライチェーンの脅威に先んじる鍵となります。要件や基準に基づき、本番環境へデプロイする前に、脆弱なライブラリやコンポーネントを更新する必要があります。ルート権限が不要な場合は、コンテナイメージのビルド時に、アプリケーションの実行に必要な最小限の権限を持つ非特権ユーザーを作成してください。
保護されていないAPI
API (アプリケーション プログラミング インターフェイス) は、アプリケーションとサービスが通信してデータを共有できるようにするためにクラウドで使用されます。認証、承認、およびデータ保護メカニズムの弱点は、データ侵害、不正なトランザクション、およびそれらの API に依存している企業の運用中断につながる可能性があります。API は簡単なエントリポイントであるため、他のクラウド サービスと同様に適切な構成と制御が必要です。
クラウド API を保護するには、API ゲートウェイを介した認証の集中化、転送中のデータの暗号化、入力データの検証などのプラクティスを実装します。定期的にセキュリティ テストを実行し、最小権限の原則に従ってアクセス制御を管理すると、API 全体で包括的なセキュリティポスチャーを維持できます。
CSPM を活用したクラウド構成ミスの管理
ーほとんどの組織にとって、セキュリティコンプライアンスを確保するためにクラウド インフラストラクチャーの設定を手動で確認および調整することは、単純に実現可能ではありません。このプロセスは時間がかかりすぎるうえ、人為的エラーが発生しやすく、維持も困難です。ここで、クラウド セキュリティ ポスチャ管理 (CSPM)ツールが役立ちます。これらのツールは、組織がクラウド環境を継続的に監視し、構成ミスを検出し、修復支援を提供できるようにするために存在します。
CSPM は、単にあればよいというものではありません。現代のクラウドセキュリティの重要なコンポーネントです。動的な環境ではクラウドの構成ミスは避けられませんが、適切な可視性、監視、管理があれば、コストのかかる緊急対応を回避できます。適切な CSPM ソリューションは、セキュリティポスチャーをリアクティブからプロアクティブに変革するのに役立ち、構成ミスが悪用される前に対処できるようになります。
CSPM ソリューションの一般的な機能は次のとおりです。
- 資産インベントリ– クラウド資産の一元的なビューを提供し、マルチクラウド環境全体のセキュリティポスチャーの変化を追跡します。
- 誤った構成の検出– オープンなストレージバケット、公開されたエンドポイント、誤った構成のネットワークサービスなどのセキュリティリスクを明らかにします。
- コンプライアンスの監視とレポート– クラウド構成をコンプライアンスフレームワークにマッピングし、GDPR、HIPAA、DORA、PCI DSS、NIS、NIST などの標準に準拠した監査対応レポートを取得します。
- 自動修復とポリシーの適用 – ポリシーを有効にしてセキュリティのベストプラクティスを適用し、一般的な構成ミスに対するガイド付きの修復を提供します。
- 最小権限アクセスと IAM 分析– 過剰な権限、未使用の認証情報、危険なロールを検出し、最小権限アクセス制御の実施に役立ちます。
- ネットワークセキュリティと露出分析– 公開されているクラウドリソースや保護されていない API を検出し、ネットワーク接続をマッピングして潜在的な攻撃経路を可視化します。
クラウドの構成ミスは主要なセキュリティおよびコンプライアンス上の課題ですが、プロアクティブなアプローチを採用し、自動化を活用し、セキュリティ文化を醸成し、CSPM などのツールを統合することで、クラウド環境を保護し、あらゆる規模でリスクを軽減できます。