出版
アフィリエイトリンクまたはスポンサーシップを通じて、ベンダーから収益を得る場合があります。これにより、サイト上の商品配置が影響を受ける可能性がありますが、レビューの内容には影響しません。詳細は利用規約をご覧ください。
Qualys のレポートでは、クラウド サービス プロバイダーの構成ミスが攻撃者のアクセスにどのように影響するかを検証しています。
クラウドの不適切な設定(クラウド内のハードウェアとソフトウェアの両方の要素に適用される不適切な制御設定)は、データ侵害のリスクを増大させる脅威ベクトルです。クラウドセキュリティベンダーQualysの脅威調査部門バイスプレジデント、トラヴィス・スミス氏が執筆した新しいレポートは、3つの主要クラウドサービスプロバイダーのリスク要因を明らかにしています。
レポートについて
スミス氏は、Qualys の研究者が Amazon Web Services、Microsoft Azure、Google Cloud Platform における誤った構成の問題を分析した結果、Azure ではディスクの 99% が暗号化されていないか、または SaaS アプリケーションのデータ保護に使用する暗号化キーをユーザーが制御できる顧客管理キーを使用していないことを発見したと書いている。
この調査では、暗号化、アイデンティティおよびアクセス管理、外部向け資産の監視の失敗を調査し、次のような原因による不正アクセスのリスクについて検証しました。
- クラウド環境の複雑さ
- 進化する技術に対応するための専門知識の欠如
- 人為的なミスによる安全でない設定と権限
- セキュリティ実装対策を損なう急速な展開
- クラウド環境の動的な性質により、クラウド内の暗号化されていないデータや機密データの制御と可視性が不足している
スミス氏は、同社の担当者が鍵の85%がローテーションされていないことを発見したと記している。つまり、自動鍵ローテーションが有効になっていないということだ。Amazonは、鍵の自動ローテーション(新しい暗号化素材を生成すること)を365日周期で提供している。
Qualys はまた、GCP 環境では重要な仮想マシンの仮想マシン ディスクの 97.5% に、顧客提供の暗号化キーを使用した暗号化が行われていないことも報告しました。
ジャンプ先:
- レポートについて
- アイデンティティとアクセス管理
- 漏洩した S3 バケットからの外部向け資産の露出
- インターネットセキュリティセンターの活動は修復に関する洞察を提供する
アイデンティティとアクセス管理
Qualys は、3 つの主要プロバイダーすべてにおいて IAM の実装レベルが低いことを発見しました。
- 多要素認証:コンソールパスワードを使用しているIAMユーザーの44%でAWSが有効化されていません。Qualysによってスキャンされたアカウントの96%でIAM Access Analyzerが有効化されていません。
- Azure では、Azure App Service 内で認証を有効にし、クライアント証明書を構成するためのスキャンが 97% の確率で失敗します。
漏洩した S3 バケットからの外部向け資産の露出
Qualys は、3 つのプラットフォームのユーザーによる一般的なミスとして、データの公開が挙げられていると指摘しています。
- Qualys は、S3 バケットの 31% がパブリックにアクセス可能であると報告しました。
- パブリック ネットワーク アクセスを有効にしたままにする誤った構成が、Azure データベースの 75% で確認されました。
参照:クラウド セキュリティとは何ですか?
インターネットセキュリティセンターの活動は修復に関する洞察を提供する
同社の推奨事項には、Qualys が参加した作業(個々の制御を MITRE ATT&CK の戦術とテクニックにマッピングする作業)を含むインターネット セキュリティ センターによる研究のレビューが含まれていました。
Qualysは、AWS、Azure、GCP向けのCISベンチマークの開発に貢献しました。これらのベンチマークは、クラウド環境で利用可能な数百ものセキュリティ強化策の優先順位付けを防御側が適切に行うための貴重な洞察とコンテキストを提供します。
Qualys はまた、企業が 3 つの主要プラットフォーム全体でクラウド体制を強化するためにどのように制御を展開しているかを調査し、権限昇格 (96.03%)、初期アクセス (84.97%)、検出 (84.97%) が最も高い合格率を示していることを指摘しました。
攻撃を早期に制御する取り組みは、キル チェーンのさらに先で発生するより有害な結果を軽減するのに役立っています。
- インパクトはわずか13.67%で合格
- 漏出率はわずか 3.70% です。
- 公開アプリの活用はわずか 28.54% で合格しました。
- リモート サービスの活用はわずか 17.92% で、失敗率が高くなっています。
- リソースハイジャックはわずか 22.83% で通過しています。
スミス氏は、暗号通貨マイニングマルウェアはクラウド環境にとって脅威であるため、組織はクラウドにおける組織のリスクを軽減するためにそのような制御を緩和することを検討すべきだと書いている。
「これらのデータポイントから得られる教訓は、ほぼすべての組織がクラウド構成をより適切に監視する必要があるということです」とスミス氏は述べ、CIS コントロールのスキャンは AWS で 34%、Microsoft Azure で 57%、GCP で 60% の確率で失敗していると付け加えました (図 A )。
図A
「クラウドの設定が適切だと思っていても、定期的に状態を確認しないことはリスクが高いことがデータから明らかになっています。設定を頻繁にスキャンし、正しい設定になっていることを確認してください。たった一度のミスで、組織のクラウドが攻撃者に公開されてしまう可能性があります」とスミス氏は記しています。
こちらもご覧ください
- 1Passwordはパスワードフリーの未来をどのように目指しているのか
- ゼロトラスト アクセスを使用してコンプライアンスを維持し、一般的な MDM の問題を解決する
- 採用キット:サイバーセキュリティエンジニア
- サイバーセキュリティとサイバー戦争:さらに必読の記事
カール・グリーンバーグ
カールはTechRepublicのクラウドセキュリティ担当リードライターであり、企業のセキュリティリスク、戦略、製品、脅威、トレンド、そして組織セキュリティ確保のためのテクノロジーを専門としています。フロリダ州立大学卒業後、タンパ・トリビューン紙、タラハシーのラジオ局、テレビ局で勤務した後、コロラド州ボルダーに移住しました。ブルックリン・カレッジで劇作の修士号を取得後、ジャーナリストとなり、自動車、工業化学、インターネット技術、消費者マーケティングなどの分野を扱う出版物に数年間寄稿しました。Adweek、Brandweek、The Chemical Market Reporter、MediaPostなどに寄稿しており、TAに入社する前はニューヨーク大学タンパ・トリビューン工学部で6年間広報担当官を務めていました。
