2022年のCloudセキュリティの学び

皆様明けましておめでとうございます! 新年初回の記事は2022年のCloudセキュリティ総括と学びについて触れたいと思います。この記事はこちらの記事の要約です。

多くの企業でCloudの利用が加速しており、Cloudが持つ柔軟性や経済性の利点を享受できるようになりました。

この流れは更に加速する傾向で、Gartner社の調査によると2023年までに70%のWorkloadはCloud環境で稼働するようになる見込みです。特にPublic Cloudへの投資総額はグローバルで600B USDに達すると予測されています。

Cloudが持つ柔軟性や経済性の利点を受けやすくなった反面、多くのお客様がSecurity対策のチャレンジに直面しています。

Orca Securityの調査チームによると、多くのお客様がPublic Cloudが持っているSecurityサービスかOnpremiseの時代から利用し続けているレガシーなサービスを利用し続けていることが判明しました。

Public Cloudが持っているSecurityサービスはCloudそのもののインフラストラクチャを対象にしており、Cloud環境上のDataやApplicationは対象にしておらずこれらのSecurity対策の責任は依然お客様側に残ります。

またレガシーなSecurityサービスはCloudの特性に合わせた設計になっておらず、Cloudが持つ柔軟性や簡易性に完全に対応することは不可能です。

攻撃者はこれらのPublic CloudのSecurityギャップをいつ何時も狙っています。2021年に実施されたIDC社の調査によると98%の企業は過去18ヶ月の間にCloud環境のData漏洩を経験しています。

2022年の経験から得たCloudセキュリティの主な教訓をまとめます。

先ずPatchの適用です。

Orca Securityのリサーチチームが2022年秋に公開した2022 State of Public Cloud Security Reportによると、78%の攻撃経路は既知の脆弱性に起因していることが判明しています。

だからと言って、既知の脆弱性だけ対応すれば良いのかというとそうではありませんね。日々新しい脆弱性が発見されて攻撃者は常にこれらの新しい脆弱性を狙っています。

全ての脆弱性に対応することは不可能なため、どの脆弱性がどんなリスクに直結する可能性が高いかを正確に把握して戦略的な対策を検討し続けることが大切です。

原点回帰も大きな教訓です。

例えば、前述したReportによると71%のお客様がGCPのデフォルトユーザをそのまま利用していることが判明しています。デフォルトのユーザは最小権限の原則に反していることがほとんどです。

これはあくまで1例ですが、同じような根本的な対策が欠如しているケースが多くのお客様で散見されています。

Zero Dayのような騒ぎに過剰に反応し過ぎて、土台の不備をつかれてしまったら元も子もありません。

Cloud-Nativeサービスの戒めも大切です。

Cloudサービスは誰でも簡単にSpin-upできる反面、設定ミスやデフォルトのまま利用され続けることで、Securityチームの頭を悩ませています。

前述のReportによると、69%のServerlessサービスはPasswordやAPI Secret等の機密情報を取得できてしまう関数を公開していたり、70%のk8sはAPIをインターネットに公開していることが判明しています。

さらにGartner社の調査によると、2025年までに発生するCloud環境のData漏洩の99%はユーザによる設定ミスが原因となるとされています。

Cloudの利用の加速はSecurity対策の変革を必要としていますね。

皆様のCloud環境をOrca SecurityでスキャンしてCloudのリスクを明らかにしませんか? 30日間無償でお手伝い致します。

https://orca.security/lp/cloud-security-risk-assessment/