2018年以降のクラウド・セキュリティの10大脅威
クラウド・セキュリティの10大脅威(データ侵害、人為的ミス、データ消失、インサイダー脅威、DDoS攻撃、非セキュアAPI、エクスプロイト、アカウント・ハイジャック、CPUの欠陥)をご覧ください。
全組織のおよそ70%がクラウドを利用している状況にあって、クラウド・セキュリティの脅威はすべての企業にとっての課題といえます。CGIとOxford Economicsによる2017年の調査の結果、データ侵害による過去5年間の被害額は500億ドル以上に上ると試算されている、と『Fortune』誌の記事が報じています。
クラウドは、パブリック、プライベート、またはハイブリッドを問わず、IT管理の簡素化、リモート・アクセス、モビリティ、コスト効率などの利点がある柔軟性の高いモデルですが、ミッションクリティカルなアプリケーションのクラウドへの移行が進むにつれ、データ・プライバシーとソフトウェア・セキュリティに対する懸念が高まっています。
本質的に、Webアプリケーションをクラウドに移行することによってセキュリティは向上しません。クラウド・インフラストラクチャにメリットはありますが、他方であらゆるセキュリティ・リスクに確実に対応する必要に迫られます。
クラウド・コンピューティングには柔軟なスケーリングによるスピードと効率などのさまざまな利点がある一方で、セキュリティ脅威に関する多くの懸念(データ侵害、人為的ミス、悪意のあるインサイダー、アカウント・ハイジャック、DDoS攻撃など)も生じます。Ponemon Institute studyの調査では、クラウドを利用している企業に対する全般的なデータ侵害はクラウドを利用していない企業の3倍に上るとしています。
以下では、企業が直面するクラウド・セキュリティの10大脅威とクラウド・テクノロジーを選択する際にとるべき手順の概要を説明します。
2018年以降のクラウド・セキュリティの10大脅威
- データ侵害。データ侵害のリスクはクラウド・コンピューティングに固有のものではありませんが、クラウド利用者の間ではこの問題が一貫して第1位に選ばれています。
- 人為的ミス。Gartnerリサーチ担当副社長のJay Heiser氏は、「2020年までに、クラウド・セキュリティの障害の95%は利用者のミスによるものになる」としています。
- バックアップしていないデータの消失。データをバックアップする対策をとらないと、事故や災害で顧客データを永久に失うことになりかねません。
- インサイダー脅威。最近の調査報告では、「調査対象の組織の53%がインサイダーによる攻撃を受けたことを確認した」とされています。
- DDoS攻撃。DDoS(Distributed Denial of Service)攻撃はクラウドの利用者とプロバイダーに長時間のサービス停止、評判の低下、顧客データの露出などの重大なリスクをもたらします。
- 非セキュアAPI。アプリケーションの公開の「玄関」となるAPIは、攻撃者にとって最初のエントリー・ポイントになる可能性があります。ペネトレーション・テストを行って、使用するAPIのセキュリティ上の弱点を発見してください。
- エクスプロイト。クラウドのマルチテナンシーの性質(利用者がコンピューティング・リソースを共有する)はつまり、メモリーとリソースの共有により悪意のあるアクターに新しいアタックサーフェスをもたらす可能性があることを意味します。
- アカウント・ハイジャック。攻撃者が盗んだ資格情報を利用してクラウド・コンピューティング・サービスの重要な部分にアクセスし、サービスの機密性、インテグリティ、可用性を低下させる可能性があります。
- APT(持続的標的型攻撃)。多くのAPTグループはクラウド環境を標的にするばかりでなく、パブリック・クラウド・サービスを利用して攻撃を仕掛けます。
- スペクターとメルトダウン。攻撃者はメルトダウンを悪用して、クラウド・コンピューティングと同じハードウェアでホストされている仮想サーバー上のデータを表示し、クラウド・コンピューティングのホストに大きな被害をもたらす可能性があります。スペクターはさらに悪質で、エクスプロイトが難しい代わりに修正も困難です。
次のステップ:クラウド・プロバイダーのデューデリジェンス・チェックリストを作成する
クラウド・テクノロジーとプロバイダーを選択する場合は、デューデリジェンスのための適切なロードマップを作成します。特に災害復旧とセキュリティ(ペネトレーション・テスト、パッチ/システム・アップデート、災害復旧計画、平均修復時間など)に重点を置きます。
