クラウドサービスを利用する際に知っておきたいセキュリティのこと
クラウドサービスが広く普及した半面、新聞やニュースなどでクラウドサービスに起因する情報漏洩や不正アクセスなどのインシデントに関する報道も増えてきています。特にクラウドサービスの利用者側の設定ミスに起因するインシデントは、クラウドサービスの責任共有モデルの特徴的な事例ということもあり大きく報じられる傾向があります。
様々なインシデントが報道されていますが、中でも最も話題になったのはSalesforceの設定不備に起因する不正アクセスです。これまで大きなセキュリティ事故を起こしていなかった企業でも相次いで不正アクセスが判明したことを受け2020年12月には金融庁から、2021年1月には内閣サイバーセキュリティセンター(NISC)から注意喚起がされています。
<代表的な事例>
2020年11月 楽天・楽天カード・楽天edy
2020年12月 PayPay
2021年 1月 イオン
2021年 2月 イオン銀行
2021年 3月 SMBC信託銀行・SMBC日興証券
1. なぜセキュリティ事故が起こったのか
これらのSalesforceでの不正アクセス事例は全て同じ内容の設定不備が原因でした。
Salesforceは2016年にLightningという新しいコンソールをリリースしています。そこには「サイト機能」というWebページをSalesforce上に置くことができる機能があり、そのページはID・パスワードによる認証がなくてもアクセスできるようになっています。また、Webページを作成すると自動的にゲストユーザーが作成されます。
さらにこの機能を有効化すると「Auraエンドポイント」というSalesforce上のオブジェクトにアクセスできるAPIも有効化されます。
これらが相まって、オブジェクトと呼ばれるSalesforceのデータベースを参照できる権限を持ったゲストユーザーが作成されたことが原因でした。
このように新機能がリリースされたことがトリガーとなって発生する設定不備については、リリースされるたびに影響範囲の調査が必要となりチェックに多くの時間と労力を要しますし、何より非常に難しい作業になってきます。
実際にSMBC信託銀行とSMBC日興証券は金融庁からの注意喚起を受けて2020年12月にシステム点検を実施したものの設定不備を発見できず、2021年2月に外部のセキュリティ専門家からの指摘で事態が発覚したとされています。
2. Salesforceの対応とセキュリティ対策
Salesforceはこの事態を受けて「Salesforceサイトおよびコミュニティにおけるゲストユーザーのアクセス制御の権限設定について」というお知らせを公開しています。
このお知らせの「お客様にとっていただきたいアクション」をみると、2つのツールと情報が紹介されていて、これらの活用が推奨されています
・「ゲストユーザーアクセスレポート」(ゲストユーザーのアクセス制御の権限設定の再確認を支援するパッケージ)
・「ゲストユーザープロファイルを設定する際のベストプラクティスと考慮事項」(ヘルプ記事)
もし「Salesforce」を利用されていて、まだ、上記のような設定不備が残存している可能性がある場合は、至急対応することが望まれます。
Salesforceを例にした設定全体のベストプラクティス
上記では、一つの設定不備の事例を紹介しましたが、事例以外にもクラウド移行時に機密情報を誤って一般閲覧可能な設定にして情報漏えいしたケースや、アクセス認証の設定不備でパスワード総当たり攻撃による侵入を許し、データをすべて消去されてしまったケースも生じています。
一つの機能だけ完璧なセキュリティ設定を施してもセキュリティは維持できませんので、次にSalesforceを例にして設定全体の安全性を確認する方法について紹介します。
Salesforceのセキュリティ設定については、Salesforce自身がベストプラクティスを公開しています。また、「Salesforceセキュリティガイド」というセキュリティ設定をまとめたサイトも出しているので、まずはこのガイドを参照して、基本的なセキュリティ設定を実施するといいでしょう。
Salesforceと同様、他のクラウドサービスでもベンダーがセキュリティに関する情報をまとめているので、代表的な例としてAWSとAzureのセキュリティガイドをご紹介します。
AWS・・・「AWS クラウドセキュリティ」
Azure ・・「Azureのセキュリティドキュメント」
3. クラウドのセキュリティ設定上の重要なポイント
クラウドサービスの利用者側におけるセキュリティ設定の重要なポイントを以下に例示します。
①クラウドサービスで取り扱う情報の重要性
・情報の機密性の高さに応じたセキュリティ設定方針を確認
②保管される情報の所在地、管理状況の確認
・情報はセキュリティ対策がなされた環境に保管されているかを確認
・データが格納されるサーバの設置国を確認
(データの取り扱いにサーバ設置国の法律が適用される)
③利用者及び管理者アカウントの認証設定
・クラウドサービスの重要性に応じた認証方法を採用しているか
設定例)多要素認証、IPアドレス制限、セッション切断時のログアウ ト設定等
④データや設定機能へのアクセス権限
・必要最低限の権限設定になっているか
設定例)グループごとのアクセス制御、外部サービスからのアクセス制 限(不要な情報を共有しない)等
※外部サービスとの連携機能は特に注意が必要
⑤ログの取得と保管に関する設定
・自主点検に必要なログはとれているか
・有事の際や事後の調査・検証が可能か
設定例)監査ログ、ログ保存期間等
※アクセス不可のログが取得できていることも重要な確認項目
上記のようなクラウドのセキュリティ設定上の重要なポイントの、より詳細な要点を理解したい場合は、サービス事業者のガイダンスに加えてクラウドサービス利用に係る包括的な情報セキュリティのガイダンスとして、総務省の「クラウドサービス提供における 情報セキュリティ対策ガイドライン (第3版)」(2021年 9月)なども参考になります。
4. セキュリティ診断サービスの活用
これまでセキュリティ設定を実施する方法を確認してきましたが、セキュリティ設定を正しく行うためには一定の知識を有していることと、作業に充てる時間と労力を確保する必要があります。どうしても自分たちで設定することは難しいという場合はセキュリティベンダーの提供する「クラウドセキュリティ診断サービス」を活用すると良いでしょう。
多くの「クラウドセキュリティ診断サービス」ではCISベンチマークなどのグローバルなセキュリティ基準を参考にして、高いレベルでのセキュリティのチェックが可能です。また、セキュリティの観点で必要な設定項目を洗い出すだけではなく、推奨設定や設定方法も教えてくれるサービスもありますので、クラウドサービス管理者の負担も大幅に軽減できるでしょう。
CISベンチマーク・・・CIS(Center for Internet Security)が策定した情報システムを安全に構成するためのベストプラクティスをまとめたガイドライン
CIS・・・米国国家安全保障局(NSA)、米国国防情報システム局
(DISA)、米国立標準技術研究所(NIST)などの政府機関や、企業、学術機関など協力して、インターネット・セキュリティ標準化に取り組む非営利団体
5. 最後に
情報漏洩などのインシデントを起こした場合は多大なコストが発生するだけでなく企業の信用失墜につながることがあります。情報漏洩の場合は、顧客への被害もあり、企業規模に関係なくすべての企業で対策が必要となりますので、自社に合った最適な対策方法を見つけ出すことが大切です。
さらに詳しくサイバーセキュリティについて学ばれたい方に、以下のeラーニングコースと書籍を紹介させていただきます。
サイバーセキュリティアカデミー(サイアカ)
実践的で、わかりやすく、お手頃価格で、いつでもどこでも学べるサイバーセキュリティ専門のeラーニングコースを提供しております。マルウェア解析、IoTのペネトレーションテスト、クラウドセキュリティ、デジタル・フォレンジック、OSINT、FinTech関連のセキュリティなどのコースがあります。 コースについてお知りになりたい方は、https://cyberprotec.jpにアクセスください。
特に、クライドのセキュリティの基礎を学習されたい方には、以下のコースがお薦めです。
「クライドセキュリティ基礎コース」(https://cyberprotec.jp/product/cloud-security-basic-course/)
書籍のご紹介
また、クラウドの監査については、ISMAP制度も含め以下の書籍で解説を行っております。
サイバーセキュリティの基礎及びその監査の方法をわかりやすく解説しています。サイバーセキュリティの脅威、攻撃手法、対策を詳しく説明するとともに、NISTのサイバーセキュリティのフレームワーク、AICPAのサイバーセキュリティリスクのマネージメント報告なども解説しています。Amazonへのリンク