シークレットが公開されている: クラウドのデータエクスポージャーが事業リスクに

機密データやシークレットが漏洩している今、 セキュリティ責任者が実行できる阻止手段は何か。

莫大な資金をサイバーセキュリティに投じているにもかかわらず、依然として防げるはずの脅威が残っています。それは、機密データや認証情報が誰でもアクセス可能なクラウドサービス上に露出しているという問題です。 2025 年 Tenable クラウドリスクレポートによると、パブリッククラウドストレージの 9% に機密データが含まれており、その中には個人識別情報 (PII)、知的財産 (IP)、クレジットカード情報 (PCI) 、医療情報 (PHI) などが含まれています。

Tenable のレポートによれば、Amazon Web Services (AWS) の Elastic Container Service (ECS) タスク定義や Google Cloud Platform (GCP) の Cloud Run を使っている組織の過半数が、少なくとも 1 件の秘密をそのようなサービスに埋め込んでいます。責任元の認識があるかないかにかかわらず、これは非常に懸念すべき事態です。

このようなエクスポージャーは、セキュリティ対策に見過ごされて生じた弱点であり、攻撃者が既に積極的に探して武器化している部類なので懸念されます。

セキュリティ責任者にとって重要である理由

API キーや暗号化トークンのようなシークレットが露呈されると、攻撃者によるラテラルムーブメント、データの抽出と漏洩、環境全体の乗っ取りなどに繋がります。

単なる設定ミスの問題ではありません。問題はガバナンスのギャップです。レガシーのセキュリティツールや、場合によってはネイティブのクラウドサービスがあれば十分な保護があるという誤った認識によって状況は悪化されます。

今すぐ実行すべき対策

セキュリティ責任者は、検出から防止へと戦略を変更して、次のような方法で機密データ保護を改善する必要があります。

• 自動データ検出と区分け: 環境内にあるデータの内容を把握して機密度を継続的に評価します。継続的にテレメトリ中心で実行します。四半期毎のスキャンでは不十分です。
• パブリックアクセスはデフォルトで無効に: データとネットワークの両方に対して最小権限を徹底する。パブリックストレージは、例外中の例外であるべき。
• エンタープライズグレードのシークレット管理を運用する: ハードコードされている秘密を削除して、AWS Secrets Manager や Microsoft Azure Key Vault などのクラウドネイティブツールを実装します。
• クラウドセキュリティポスチャー管理 (CSPM): アイデンティティに対応したインテリジェントな CSPM を活用し、クラウド全体の可視性を統合。リアルタイムで設定ミス、シークレット情報の漏えい、過剰な権限を検出する

キーポイント:シークレットや機密データの露呈は、fumeiryouグレーなエッジケースではありません。見ればすぐわかるところに隠されているシステミックなリスクで、攻撃者に悪用される前に除去する必要があります。

もっと詳しく

• 2025 年 Tenable クラウドリスクレポートをダウンロード
• 近日開催のリサーチウェビナー「あなたのクラウドデータは実は安全ではない? Tenable Cloud Research の洞察にご参加ください。