Tenable Research が発見: クラウド設定ミスが機密データや重要情報の漏えいリスクに

サイバーエクスポージャー管理ソリューションを提供する Tenable®2025 年 クラウドセキュリティリスクレポートを発表しました。調査では、分析対象となったクラウドストレージリソースの9% に機密情報が含まれていることが判明し、その 97% が極秘、社外秘などに分類される情報でした。特に設定ミスや埋め込みのシークレット情報が存在する場合、これらのエクスポージャーは攻撃に悪用されるリスクが高まります。

クラウド環境のリスクは、機密データ、設定ミス、潜在する脆弱性、不確かな方法で補完されているシークレット (API キー、パスワード、認証情報など) などによって劇的に高まっています。クラウドセキュリティリスクレポート 2025 は、データ、アイデンティティ、ワークロード、AI リソースを脅かすクラウドセキュリティの主要問題について深く研究し、先行的にリスクを削減して重大なセキュリティギャップを塞ぐための実用的なリスク削減戦略を提案します。

主要な調査結果は以下の通りです。

• 多様なクラウドリソースに埋め込まれているシークレットが組織を危険にさらしている: 組織の半数以上 (54%) が少なくとも 1 件のシークレットを Amazon Web Services (AWS) Elastic Container Service (ECS) のタスク定義に保管している — 直接攻撃できる経路となっている。Google Cloud Platform (GCP) Cloud Run (52%) and Microsoft Azure Logic Apps workflows (31%) を利用している組織についても同様の結果が得られています。また、 3.5% of all AWS Elastic Compute Cloud (EC2) の全インスタンスの 3.5% のユーザーデータにシークレットが含まれている — これは EC2 の普及度の高いことを考慮すると、大きなリスクです。
• クラウドワークロードのセキュリティは改善されてきているが、危険な組わせは以前として存在している: 「クラウドの有害な 3 つの組み合わせ」(外部公開されていて、非常に脆弱で、非常に過剰な権限が与えられているワークロード) を抱える組織の割合は 38% から 29% に下がったものの、この危険な組み合わせは以前としてある重大なリスクです。
• アイデンティティプロバイダー (IdPs) を採用するだけではリスクは撤廃できない: While 83% of AWS を使う組織の 83% はベストプラクティスの実践で IdP サービスを使ってクラウドアイデンティティを管理していますが、それでもデフォルトが過剰に寛容で、過剰な権限、長期設定された権限などが、アイデンティティを悪用した脅威を招いています。

「クラウドにある最重要資産、機密データ、シークレットなどを回避可能な設定ミスによって露呈したままにしている、このような組織の振る舞いは、ここ数年間に起きたセキュリティ障害を完全に無視しているようなものです」と Tenable の Cloud Security Research ディレクター、Ari Eitan は語っています。

「攻撃者の辿る道は多くの場合簡単なもので、公開されているアクセスを悪用し、埋め込まれているシークレットを盗む、または付与されている過剰権限を悪用するというパターンです。そのようなギャップを塞ぐには、環境全体を完全に可視化できること、脅威が悪化する前に優先順位付けをして修正を自動化できることが必須です。クラウドには継続的で能動的なリスク管理が必要です。パッチワークのようなばらばらな事後対応では保護できません」

本レポートは、Tenable Cloud Research チームが 2024 年 10 月から 2025 年 3 月にかけて、さまざまなパブリッククラウドおよびエンタープライズ環境のワークロードのテレメトリーデータをもとに分析した調査結果をまとめたものです。レポートはこちらからダウンロードできます。https://www.tenable.com/cyber-exposure/tenable-cloud-security-risk-report-2025

Tenable Cloud Security について詳しくはこちらをご覧ください。https://www.tenable.com/cloud-security 

Tenable について

Tenable® は、ビジネス価値、評判、信頼を損なうサイバーセキュリティにおけるギャップの明確化と遮断を行うサイバーエクスポージャー管理ソリューションを提供しています。同社の AI を活用したサイバーエクスポージャー管理プラットフォームにより、アタックサーフェス全体にわたるセキュリティの可視性、インサイト、アクションを根本的に統合することが可能です。それにより、DX 時代の組織に存在する IT インフラからクラウド環境、重要インフラ、それらのはざまに至るまで、あらゆる場所に対する攻撃を防ぎます。企業におけるセキュリティエクスポージャーを保護することで、Tenable は世界中の 44,000 社を超えるお客様のビジネスリスクを軽減しています。詳しくは、jp.tenable.com をご覧ください。

###

【本件に関するお問い合わせ先】

Tenable

[email protected]