それでは、どうすればクラウドセキュリティリスクを低減できるのでしょうか? その鍵となるのが、クラウド脆弱性管理です。 あいにく、ほとんどの組織のサイバーセキュリティ手法は、クラウドの脆弱性によって生じる問題に効果的に対処できるほどには成熟していません。
Tenable Cloud Security と Osterman Research の委託レポートでは、80% の組織にはクラウドの保護を専門とするセキュリティチームがなく、ほとんど (84%) はクラウドに関する業務能力が初歩レベルであること、つまり、クラウドセキュリティについてその場限りの、または日和見的なアプローチを取っていることが明らかになっています。驚くべきことに、このレポートによれば大規模な組織の 93% でも、これと同じレベルの運用が行われています。
良いニュースもあります。例えばクラウド脆弱性管理のベストプラクティスを導入するなどして、クラウドセキュリティに 1 週間につき約 50 時間 (またはそれ以上) かけている組織は、最高の成熟度レベル (反復可能で自動化された統合型のセキュリティプロセスを使用) に達しつつあるというものです。しかし、そうした組織は Osterman のレポートで調査された組織のうち約 16% のみでした。
クラウド脆弱性管理とは
クラウド脆弱性管理とはそもそも何でしょうか? クラウド脆弱性管理は、従来の IT 向けの脆弱性管理と同様に、セキュリティ問題の特定と軽減や、修正を行う継続的なプロセスですが、従来の IT よりもむしろパブリッククラウド環境、プライベートクラウド環境、ハイブリッドクラウド環境の固有のリスクに重点を置くものです。 クラウド脆弱性管理プログラムを構築することで、セキュリティチームはすべてのクラウド資産について、一時的であるというクラウド資産の性質に関わらず、もっと包括的なインサイトを得ることができます。 そして、リスクベースの方法論をクラウド脆弱性管理に適用した場合には、攻撃者が悪用する可能性があるクラウドセキュリティ問題のどれが組織に最大のリスクをもたらすかについてのインサイトを得ることで、クラウドセキュリティ手法の成熟化を進められます。 こうした情報は、特に Tenable Research、AI や機械学習のようなリソースからのインサイトと組み合わせることで、クラウドアプリケーションやクラウドサービスの開発から始まり、 Active Directory 全体や、稼働中のクラウド環境に至るまで、どのセキュリティ問題の修正に最初に注力するべきかの優先順位付けに役立ちます。
クラウド脆弱性管理はなぜ重要なのか
オンプレミスのリスクベースの脆弱性管理プロセスと共にクラウド脆弱性管理のベストプラクティスを採用し、これらを既存のサイバーセキュリティおよび開発のライフサイクルと整合させることで、組織はアタックサーフェス全体の可視性を強化できるようになり、制御や対応の機会を増やしてサイバーリスクを低減することが可能になります。
クラウド脆弱性管理が重要な理由は、他にもあります。
コンプライアンスとデータセキュリティの向上
クラウドに保存される機密情報 (個人情報 (PII)、個人の健康情報 (PHI)、財務情報など) が増えているため、組織ではデータが安全であり公開されないように守る十分な保護対策を徹底することや、データが適切な承認の下で正しく使われるようにすることの重要性が増しています。
クラウド脆弱性管理プログラムがあることで、コンプライアンスや規制のすべての要件に準拠しているという組織の確信を強めることもできます。これは特に、業界の基準や州レベルの基準、その他の基準が増え続け、複雑さを増し、クラウドリスクの特定と軽減に非常に重点を置くようになっている状況において顕著です。 こうした要件への適合を怠ると、ビジネスのダウンタイムの発生や、業界での民事・刑事上の罰金や罰則につながりかねません。 クラウド脆弱性管理プログラムは、組織のブランドや評判を守るためにも役立ちます。 ベストプラクティスを導入し、コンプライアンスを達成して、(必要に応じて) 関連するクラウドセキュリティに関する認定を取得することによって、顧客信頼の構築や、組織がセキュリティ手法の成熟と侵害の防止に取り組んでいることの実証を行えます。
事業成長とともに柔軟に拡張できる能力
多くの組織がサイバーセキュリティの目標と事業目標を整合して得られるメリットを実現し始めています。 セキュリティは、今や単に「IT の問題」ではなく、経営幹部から取締役会に至るまで、すべての部門にわたり関心の高い項目です。 クラウド脆弱性管理の標準を組織に導入すれば、サイバーセキュリティ手法を、変化を続けるクラウドサービスやクラウドインフラのニーズと一緒に効果的に進化させることができます。 クラウドセキュリティプログラムの成熟に伴って、組織は急速なクラウドイネーブルメントを活用して前進し、クラウドリスクを低減した状態でクラウド技術のメリットを存分に享受することができます。
事業運営のレジリエンスと事業継続性の向上
クラウド脆弱性管理の主要なメリットの 1 つは、セキュリティチームがクラウドの潜在的な脆弱性や設定ミスを特定するのに役立つことで、従って攻撃者によってクラウドのアタックサーフェスが侵害される前に対処できるということです。 こうした問題の検出と修正を先回りして行うことによって、事業継続性の向上、ダウンタイムの削減、インシデント対応および災害対策の計画の構築のすべてを、全体的な事業運営のレジリエンスの向上とともに実現できます。
サプライチェーンリスクへの対処
CRA Business Intelligence のサードパーティリスク調査によれば、60% 近くの回答者が、過去 2 年間にサードパーティベンダーが関わるサイバーセキュリティインシデントの被害を受けていました。 平均すると、回答者は同期間に少なくとも 2 件のサードパーティ攻撃を経験していました。 一部の大規模な組織では、同期間にサプライチェーンパートナー経由で受けたの攻撃が 5 件にも上ると回答しています。 回答者の半数以上が攻撃経路としてソフトウェアベンダーを挙げており、攻撃によりネットワークの停止、ダウンタイム、顧客サービスに関する問題が生じました。 クラウド脆弱性管理のベストプラクティスを採用すれば、ベンダーが使用する下請け業者を通じた場合のリスクも含んだサプライチェーン全体のリスクを低減することができます。自組織のベストプラクティス要件をサービスレベルアグリーメント (SLA) や契約に盛り込んで、ベンダーがアクセス対象データに適用されるクラウドセキュリティ要件を実行することを徹底できます。 さらに、ベンダーに対して日常的なクラウド脆弱性評価を行うことによって、ベンダーがコンプライアンスへの準拠を維持しているかを確認し、もし準拠していない場合は現実のサイバー攻撃が起きる前に問題点を緩和することができます。
一般的なクラウドセキュリティリスク
クラウドの設定ミス
アメリカ国家安全保障局 (NSA) は、「クラウドリソースの設定ミスはいまだに最も蔓延しているクラウドの脆弱性であり、クラウドのデータやサービスへのアクセスのために悪用される可能性がある」と述べています。
例えば 2023 年には、日本でトヨタ自動車から 215 万件の記録が露呈するデータ流出事件が起きました。 この事件の原因は、トヨタのビッグデータとモビリティを扱う関連会社のデータベースに設定ミスがあったというセキュリティ問題でした。 この問題により、認証なしでサービスにアクセスできるようになっており、 漏洩は 10 年以上にわたって続いていました。
設定ミスは最も顕著なクラウドセキュリティ問題の 1 つですが、以下に示すようなその他の問題も、クラウドリスクの一因となります。
可視性の欠如
組織の規模が大きいほど、また多くの資産を持っているほど、資産の特定と追跡は難しくなります。 多くのセキュリティチームは、オンサイトの IT 資産、ネットワーク、システムについて特定と追跡を行うことに苦労しています。 資産やサービスがクラウドへと拡大し、日常業務でのクラウドリソースの使用が増えるにつれて、他のセキュリティ問題への対処と並行してクラウドの脆弱性の発見と修正を行う作業は、乗り越えがたいものに感じられることもしばしばです。 現実問題として、セキュリティチームは、見えないものを保護することはできません。 そして、成熟した変更管理プロセスを持たない組織では特に、部門やチームが、一般アクセスの可能なクラウドアプリケーションやクラウドサービスの採用を IT チームやセキュリティチームに一切知らせることなく進めることも珍しくありません。 Osterman のレポートでは、81% の組織がインターネットから直接接続できるすべての資産を完全に可視化できていないことや、ミッションクリティカルなリソースや機密リソースへのネットワークアクセスを制限している組織が 40% 足らずであるということが明らかになりました。
不十分なアクセス管理システム
Osterman のレポートによれば、52% の組織はユーザーがアクセスできるリソースや権限レベルを完全に可視化できていません。 その理由は、まだ多くのセキュリティチームが ID およびアクセス管理 (IaM) に対して基本的な制御を使用していて、クラウドアクセスの問題によって生じる固有のリスクを考慮していないからです。 チームにはすべてのクラウド資産に対する可視性が欠けているため、クラウドへのアクセス権限を最小限に抑えることができません。 IaM は、組織がすべてのクラウド環境にわたって認証と承認を確実に管理できるようになるための重要なツールです。 アクセス管理が不十分であれば、攻撃者 (または未承認のユーザー) にデータやシステムへの不適切なアクセスを許す可能性があります。 ID およびアクセス管理プロトコルは、クラウド脆弱性管理ツールとして、承認されたユーザーだけが、そのロールに割り当てられた機能の実行に必要とされる最小限のデータやシステムのみにアクセスできるようにします。
安全でないインターフェースと API
アプリケーションプログラミングインターフェース (API) は、確立されたプロトコルを通じてテクノロジー間の通信を促進するために使用されます。 クラウド環境では、API はデータをサーバーやアプリケーションからクラウドへ、またはクラウドからサーバーやアプリケーションへ転送するための経路です。 API またはインターフェースの設定やコードが不適切であれば、クラウドセキュリティのリスクが高まります。 攻撃者は、API を利用して中間者 (MITM) 攻撃によるエンドポイント間の通信の妨害、サービス拒否 (DoS) 攻撃によるリソースの停止、プログラムへの悪質なコードの挿入 (SQL インジェクション) などを仕掛ける可能性があります。 クラウド脆弱性管理プログラムを使用することによって、設定の評価、コードのレビュー、アクセスや管理の問題の特定を行い、攻撃者が API を攻撃経路として利用するのを阻止できます。
クラウド脆弱性管理のツールと技術
クラウドセキュリティは複雑であり、効果的なクラウド脆弱性管理を確保するには適切なツールと技術が必要です。 クラウド環境が進化して複雑さを増す中で、これは特に重要になっています。従来の脆弱性管理手法の多くはクラウドではうまく機能せず、新たに出現するクラウドの脅威状況にも追随できないからです。 クラウド向けに設計された専用のツールと技術を使うことで、攻撃者に利用される前に、先行してクラウドの脆弱性と弱点を特定することができます。 脆弱性管理のニーズは組織によって異なりますが、検討すべきベストプラクティスをいくつか紹介します。
脆弱性スキャンツール
Tenable Cloud Security のような脆弱性スキャンツールをクラウドワークロード保護に使用すれば、最も重要なワークロードの継続的なスキャンを実施し、リスクと設定ミスを特定することができます 脆弱性スキャンツールは、クラウド脅威の早期の特定や、継続的な監視、組織にとって最大の脅威となるクラウドリスクの修正の優先順位付けに役立ちます。 脆弱性スキャンは、ベストプラクティス、セキュリティフレームワーク、コンプライアンス要件への準拠に役立つ、クラウドセキュリティにおけるリスク管理のための事前対策型のアプローチだと考えることができます。
侵入検出システム
侵入検出システム (IDS) は、潜在的な侵害やその他のセキュリティインシデントについて、クラウドエンドポイントを先を見越して監視します。 例えば、Tenable では、クラウド脆弱性管理への継続的な事前対策型アプローチの一環として、ファイル、システム設定、アプリケーション、ログ、ネットワークトラフィックの監視を支援します。 侵入検出システムを使用すれば、こうした脅威の発見を早めたり、攻撃者の滞在時間を減らしたりできるほか、不正アクセスがあったときや、システムが疑わしいアクティビティを検出したときに、迅速で効果的なインシデント対応を確実に行うことができます。 IDS では、セキュリティインシデントを見落として隙を突かれることがないように、リアルタイムのアラートを送信することもできます。
ペネトレーションテスト
ペネトレーションテスト は、チームが攻撃者の一歩先を行けるようにする、有益なツールです。 ペネトレーションテストは一般的にサードパーティによって行われるもので、攻撃者と同じようにクラウド内の脆弱性やその他のセキュリティ上の弱点を探し出し、こうした問題を悪用してクラウド環境やクラウドデータにアクセスする方法を詳しく調べます。 ペネトレーションテストは、既知および未知のクラウドセキュリティ問題を特定して、チームが修正の計画を立てられるようにする予防的なソリューションです。 また、クラウドセキュリティ制御が意図したとおりに機能しているかを検証することや、クラウドアタックサーフェス全体で潜在的な攻撃経路を探し出すこともできます。
脆弱性インサイトと脅威インテリジェンス
米国国立標準技術研究所 (NIST) の National Vulnerability Database (NVD) には、 23 万 7,000 件近くの一般的な脆弱性やエクスポージャー (CVE) が登録されています。 2024 年の最初の 1 か月だけで、NVD は、すでに 2,000 件を超える CVE をレビューしました。 NVD は一般的な脆弱性に関する非常に優れたリソースですが、多くのセキュリティチームは NVD を使用する際に、リストにある CVE の数だけでなく、その中で共通脆弱性評価システム (CVSS) の深刻度の格付けが「緊急」や「重要」であるものの数の多さにも圧倒されてしまいます。 CVSS V3 については、2 万 3,000 件近くの CVE が「緊急」、6 万件以上が「重要」と評価されています。 最も大規模で、十分に準備を整えているセキュリティチームであっても、この数は驚異的なものです。 クラウド脆弱性管理の手法を成熟させるためには、補足的な脆弱性インテリジェンスツールとして別のリソースを使用することを検討してください。 例えば、Tenable Research にはクラウド脅威に特化したインサイトがあります。 そして、Tenable は AI ツールを使って、組織独自のプロファイルに特別に適用するクラウドリスク軽減策の優先順位付けをチームが行えるように支援します。
クラウド脆弱性管理の戦略
クラウド脆弱性管理戦略によって、組織はクラウドセキュリティの問題を先行的に探して発見することができます。 こうした戦略は、クラウドセキュリティリスクの特定と分析を行い、データ漏洩が起きる前にリスクを軽減する計画を立てるために役立ちます。 クラウド脆弱性管理戦略とセキュリティのフレームワークは、関連するクラウドセキュリティのコンプライアンス要件への準拠に役立ちます。くわえて、組織のクラウドセキュリティプログラムの成熟を支えるものであり、そのプログラムをビジネス目標と整合させて経営陣や主要なステークホルダーがクラウドリスクについてビジネスの文脈で理解できるようにするうえで助けにもなります。
リスクベースの脆弱性管理
リスクベースのクラウド脆弱性管理戦略では、潜在的な影響と、攻撃者に悪用される可能性に基づいて脆弱性を評価します。 リスクの高い脆弱性を優先順位付けすることで、組織はリソースをもっと効果的かつ正確に配分して、最も重要なクラウドセキュリティ上の懸念に対処することができます。 例えば、Tenable を使用すると、リスクスコアと文脈に沿ったインサイトによって、最大の脅威となる脆弱性にチームが注力できるようになり、セキュリティ対策の全体的な効果を向上させることができます。
修正作業の優先順位付け
「緊急」や「重要」の CVE はあまりに多いため、クラウドの脆弱性を優先順位付けする戦略を採用するのは得策です。 これにより、修正プロセスのスピードアップと合理化が実現し、クラウドサイバーハイジーンを成熟させることができます。 Tenable は、詳細な脆弱性評価と脅威インテリジェンスによって、優先順位付け戦略の構築を支援します。 悪用が起きる可能性と悪用の影響についてのインサイトや、実用的な修正の推奨事項を得られるので、リスクが最も高い脆弱性に最初に対処することができます。
自動化の役割の高まり
アタックサーフェスが拡大すればするほど、脆弱性の追跡と管理は困難になります。 クラウドの脆弱性をスプレッドシートで追跡するなどの手動プロセスをまだ使用しているのならば、必要とされる包括的な脆弱性インサイトを得ることはほぼ不可能です。 手動プロセスが多くなると、ヒューマンエラーが起きる可能性も増えるため、クラウドをリスクにさらす盲点が生じるかもしれません。 Tenable のソリューションのような自動化されたクラウド脆弱性評価と管理のツールを使うと、パブリッククラウド環境、プライベートクラウド環境、ハイブリッドクラウド環境にわたり、こうしたタスクの多くを自動化することができます。 自動化戦略によって、脆弱性の特定と修正が加速されるのと同時に、チームがリアルタイムでクラウド脅威に対応できるようになります。 自動化を採用することによって、スキルのある専門家を解放して、もっと戦略的なタスクへの対応やリスクの先行的な特定と軽減に注力させることができます。
AI と機械学習の組み込み
AI と機械学習は、クラウド脆弱性管理の新たなツールです。 もし AI 戦略の策定をまだ行っていないのであれば、AI の波に取り残されないように、今こそ策定を開始する時です。 クラウド脆弱性対策を自動化すると、高度な脅威検出と脅威分析が可能になるので、チームはパターン、異常、クラウドセキュリティのリスクをリアルタイムに特定できるようになります。 AI ツールや機械学習ツールを使用することにより、クラウド環境の動的な性質に合わせて進化する、適応性のあるセキュリティ対策を採用して導入することができます。
クラウド脆弱性管理のベストプラクティス
クラウド脆弱性管理はクラウドセキュリティの不可欠な要素であり、データのセキュリティと完全性を維持しながらクラウド資産を保護するために役立ちます。 動的なクラウドコンピューティング環境には数多くのリスクが存在するため、こうしたリスクを軽減して機密情報を保護するためのベストプラクティスの採用は極めて重要です。 定期的なクラウドセキュリティリスク評価の実施やクラウドセキュリティフレームワークの採用などのベストプラクティスは、コンプライアンス要請への準拠、新たに出現するクラウドリスクへの対応に役立ちます。 検討すべき 4 つのベストプラクティスを以下に示します。
継続的な脆弱性評価の実施
クラウドセキュリティを確保するには継続的な脆弱性評価が欠かせません。 継続的な脆弱性評価には、潜在的なセキュリティの弱点を発見するための、クラウド環境の徹底したスキャンと評価が含まれています。 クラウドセキュリティ評価を自動化することで、組織は修正の優先順位付けを簡略化して、新たに登場する脅威に先行的に対処し、クラウドの脆弱性を効果的に管理することができます。 脆弱性評価のような継続的な脆弱性管理手法は、悪用のリスクを低減するとともに、クラウドインフラの全体的なセキュリティとレジリエンスを強化するものです。
パッチ管理戦略の採用
パッチ管理は、クラウドのソフトウェア、システム、アプリケーションの既知の脆弱性に対処するために、定期的にパッチの更新や適用を行うプロセスです。 クラウドの脆弱性に対してパッチをすぐに適用しておけば、アタックサーフェスを減らし、悪用のリスクを低減して、全体的なクラウドセキュリティ態勢を強化できます。 ベストプラクティスとして、パッチ管理は、クラウドセキュリティの問題や設定ミスを悪用しようとする潜在的な攻撃者が攻撃を仕掛ける絶好の機会を減らすことができます。
データ暗号化の使用
保存されているデータや送信されるデータの暗号化は、クラウド環境内で機密情報を保護するために不可欠なステップです。 暗号化アルゴリズムは、クラウドデータベースに保存されているデータや、サーバーやエンドポイントの間で送信されるデータを保護します。 強力な暗号化対策を実装することで、組織は不正アクセスやデータ漏洩を防止したり、攻撃者によるクラウド通信の監視を防いだりすることができます。 データの暗号化により、クラウド内でデータの保存や送信が行われる間のデータの機密性や完全性が強化されます。
多要素認証
多要素認証 (MFA) は、ユーザー名とパスワードを使った従来のログイン認証の先に、さらにもう 1 つ保護のレイヤーを加えるというベストプラクティスです。 MFA はユーザーに、ワンタイムコードや生体認証情報などの追加の検証要素を提供するように求めることから、不正アクセスのリスクが大幅に下がります。 MFA の実装は、クラウドに関して、アクセス制御の強化、侵害された認証情報が及ぼす影響の軽減、認証プロセスの強化を行うための効果的な方法です。
明日のクラウド脆弱性管理
今後、クラウド脆弱性管理は、コンテナ化されたワークロードの利用増加、技術の進歩、規制やコンプライアンスの基準の増加と複雑化、新たに出現するクラウド脅威、機械学習や人工知能の利用増加といった変革によって推進されていくと予測されます。 クラウド環境が進化してますます事業運営の欠かせない一部になっていることから、事前対策型の適応性のある戦略こそがクラウド脆弱性管理の未来を形作るでしょう。
クラウドセキュリティ技術の進歩
クラウドセキュリティ技術の進歩に伴い、またクラウドインフラをもっと安全にするために、クラウドサービスプロバイダー (CSP) やクラウドセキュリティベンダーはおそらく、クラウドセキュリティ態勢管理 (CSPM) 、クラウドネイティブアプリケーション保護プラットフォーム (CNAPP)、クラウドワークロード保護 (CWP)、AI を利用した脆弱性評価と脆弱性管理などの、高度なツールへの投資を増やす可能性が高くなります。 これまで以上に強化された脅威検出、自動化された対応、セキュリティ対策が、クラウドプラットフォームに統合されることが予想されます。 こうした変化により、クラウド脅威に対して強靭性を高めた防御が作り出されるはずです。 徐々に、こうした高度なセキュリティ対策がおそらくクラウドサービスの標準的な手法となる可能性が高いことから、クラウドの保護も強化されることになります。
変化する規制環境の状況
データ保護とプライバシーへの注目が高まる中で、クラウドセキュリティ規制の状況は常に変化しています。 欧州連合の一般データ保護規則 (GDPR) や米国の HIPAA (医療保険の携行性と責任に関する法律) といった規則は、同様の要請とともに、組織がクラウドの脆弱性を管理する方法に影響を与えます。 また米国では、クラウド環境のセキュリティ基準を含むことになる、カリフォルニア消費者プライバシー法 (CCPA) のようなデータセキュリティやプライバシーに関する州法や、組織がクラウド脆弱性管理にさらに動的なアプローチを採用するよう促すことになる法的要件が、これからもっと増えることが予想されます。
新たな脅威の増加
クラウド技術の使用や導入が増え続けているのと同時に、それに伴うリスクも増加を続けています。 これらのリスクは常に進化して巧妙化が進んでいるので、迅速かつ効果的に対処することが不可欠です。 コンテナ化されたマルウェア、サーバーレスのエクスプロイト、増加するインサイダーリスクのような新たな攻撃経路が出現する中で、先行的な防御対策を備え、クラウド脅威インテリジェンスと修正ガイダンスを利用することが重要になっています。
機械学習と AI の採用の浸透
機械学習と AI は、クラウド脆弱性管理の進歩に伴ってさらに重要性を増すことになります。 これらの技術は、脅威検出、アラートの自動化、対応戦略の向上につながるほか、クラウド環境やハイブリッド環境でパターンや異常を検出するために行う、膨大な量のデータの分析を合理化します。組織ではおそらく、自動化された脆弱性のパッチ適用からリアルタイムの脅威モデリングに至るまでのすべてを行える AI ベースのツールを採用することが多くなるでしょう。スキルのある人材の不足でクラウドセキュリティ業務の欠員を埋めるのが困難な状況で、AI 技術の重要性はますます高まります。2028 年までに、全世界のサイバーセキュリティ分野における AI の市場規模は 610 億ドル近くに達すると予想されており、現在から 2028 年までの年平均成長率 (CAGR) は 22% 近くになると見込まれています。