-
- エスカ&レン:
- 今月もやってきました!「エスカとレンのセキュリティ通信」のお時間です。
-
- エスカ:
- 最近は寒い時期が続いていますが、体調などはお変わりありませんか?
-
- レン:
- 僕たちの周りでも風邪が流行っているので、より一層体調管理には気を付けています!
-
- エスカ:
- それでは、今日のテーマです。今回はクラウド環境の脅威について最新情報を解説していきます!
CSAジャパン「クラウドコンピューティングに対する重大な脅威2024」公開
-
- エスカ:
- 昨今クラウドの利用が加速していますが、セキュリティ課題については取り組まれていますか?
一般社団法人日本クラウドセキュリティアライアンス(CSAジャパン)翻訳WGは12月9日、「クラウドコンピューティングに対する重大な脅威2024」の公開を発表しました。
同レポートでは、クラウド業界のセキュリティ課題について、500人以上の業界専門家を対象に調査を行い、回答者は今年のクラウド環境における11の重要なセキュリティ課題を特定し、紹介しています。
クラウドコンピューティングに対する重大脅威2024(参照: CSAジャパン )
-
- レン:
- 今回はこの中から、1位になった「設定ミスと不適切な変更管理」についてご紹介します。
【設定ミスと不適切な変更管理】
設定ミスとは、クラウドコンピューティング資産の誤った、または最適とは言えない設定のことで、意図しない損害や外部/内部の悪意ある活動に対して脆弱な状態になる可能性があります。よくある設定ミスには、次のようなものがあります。(一部抜粋)
| 1 | シークレット管理 | パスワードやAPIキー、証明書などの機密情報の取り扱いが適切でなく、攻撃者に搾取されやすい状態 |
|---|---|---|
| 2 | 無効化された監視とロギング | 疑わしい挙動を検知できない状態 |
| 3 | ICMPがオープン | 攻撃者が対象を特定しやすい状態 |
| 4 | セキュアでない自動バックアップ | バックアップデータが暗号化されていない、アクセス制限が不十分、安全でない場所への保管等の場合、データが窃取されたり、不正アクセスされるリスクが高まる |
| 5 | ストレージへのアクセス | ストレージが意図せず一般公開されている状態 |
| 6 | HTTPS/HTTPポート以外への無制限のアクセス | 必要のないポートが開いており、攻撃者がリソースへアクセスしやすい状態 |
| 7 | 過剰なアクセス権限の有効化 | 過剰なアクセス権限は攻撃者がこの設定ミスを悪用しやすい状態 |
参考URL:
https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2024/12/TopThreatstoCloudComputing202420240805_J.pdf
https://www.clouddefense.ai/common-misconfigurations-on-the-cloud/
https://scan.netsecurity.ne.jp/article/2024/12/24/52079.html
-
- そふくリス:
- クラウド環境は提供ベンダーがセキュリティ対策してくれると思っていたので、セキュリティ事故についてあまり意識していなかったなぁ。気づかないところに設定ミスがありそうで怖いね。
-
- エスカ:
- そうだね。クラウドの設定ミスは情報漏洩に直結するから特に怖いよね。
意図しない設定ミスを防ぐためには次のような対策が有効になります。
自組織でも問題がなさそうか確認してみてくださいね。
■推奨する対応策
- ①クラウド環境へ構築する時や設定変更を行う時はポリシーを策定し、正しい設定になっているか複数人で確認を行う
- ②アクセス制御の方針を策定し、必要以上に権限は付与せず、不要になった時点で棚卸を行う
- ③公開前や設定変更時に技術的な診断を行い、意図しない設定になっていないか確認する
- ④クラウド環境を監視する仕組みを導入し、意図しない設定が行われた場合に気づくことができる体制を整える
-
- そふくリス:
- なるほど・・。意図しない設定に気づく仕組みやサービスにはどのようなものがあるの?
-
- レン:
- 利用するクラウドサービスや環境構成によって異なるよ。詳しく知りたい方は、リンクからサービスページをご覧ください。
■関連サービス
・
SCSmart クラウド設定監査
・・クラウド環境の設定不備や潜在的な攻撃の兆候の検知、対処方法の提示
・
クラウド設定診断
・・クラウド環境の設定確認やアプリケーションの動作の解析等の実施
・
Security FREE for M365
・・Microsoft アカウントにおける不正アクセス等の監視・検知
クラウド設定ミスによるインシデント事例・・・三重県立学校で個人情報漏洩
全校生徒約800人分のテスト成績や体力測定結果など漏洩
-
- エスカ:
- 続いて最近発生したクラウド環境の設定ミスによるインシデントをご紹介します。
県立学校における個人情報の漏えいについて(参照: 三重県庁ホームページ より)
三重県教育委員会は12月17日、県立四日市工業高校の全校生徒およそ800人分のテストの成績や体力測定の結果などの個人情報が漏えいしたと発表しました。
校内の教師のみがアクセスできるクラウドで共有されていたものでしたが、設定ミスで他校の生徒や教職員が閲覧できる状態になっていて、12人からアクセスがあったということです。
アクセスログから、次の情報にアクセスがあったことがわかりました。
①アカウントのID/パスワード
②生徒のテスト成績(1科目)
③体力測定結果
④進路情報
情報が悪用されることはなかったとしていて、学校は16日、全校集会を開いて生徒に謝罪しました。
■推奨する対応策
- ①デフォルトが非公開状態となる設定を行う
- ②設定完了する前に、複数人でチェックする体制を整備する
- ③アクセス権の見直しを行い、決まった範囲でのみ共有をかけられるようにする
■関連サービス
・
クラウド設定診断
・・クラウド環境の設定確認やアプリケーションの動作の解析等の実施
・
SCSmart クラウド設定監査
・・クラウド環境の設定不備や潜在的な攻撃の兆候の検知、対処方法の提示
参考URL:
https://www.pref.mie.lg.jp/TOPICS/m0044500314.htm
https://news.yahoo.co.jp/articles/1849dd22e0735dd87c8b0275f9986feb61098d92
-
- そふくリス:
- やっぱり最近でも設定ミスによるインシデントは起こっているんだね・・
-
- レン:
- そうだね。クラウドは便利な一方で、運用方法によっては容易に設定ミスが発生してしまうものなんだよね。
-
- エスカ:
- 人為ミスは防ぐことがどうしても難しいから、システム的にも気づけるような仕組みを導入することが有効ですね。
-
- レン:
- ということで、本日の「エスカとレンのセキュリティ通信」は以上となります。
私たちは毎週、参加無料のオンラインセミナーを開催しています。他にもセキュリティ関連情報を公開していますので、ご興味ありましたらぜひ確認してみてください。
前回の記事はこちら!
2024年のインシデント事例まとめ&2025年に注意すべき脅威とは?
お役立ち資料
自社のセキュリティレベルが気になる方向け
無料セミナーのご案内
関連サービス
記事内でご紹介したサービスは下記からご覧いただけます。
