クラウドセキュリティの課題–求められるID、アクセス、認証情報の適切な管理

今回は「クラウドセキュリティの課題–求められるID、アクセス、認証情報の適切な管理」についてご紹介します。

関連ワード (クラウドをセキュアに、特集・解説等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 リモートワークへの移行によって、職場の定義が変わり、クラウドアプリケーションおよびサービスの使用の優先順位が変化したことで、ID、アクセス、認証情報のずさんな管理が、クラウドコンピューティングのサイバーセキュリティにおける最大の課題となった。新しい調査はこう警告している。

 クラウドコンピューティングのベストプラクティスを奨励する非営利団体Cloud Security Allianceがクラウド業界のセキュリティ問題に関して、700人の業界専門家を対象に実施した調査によると、特権アカウントのID、認証情報、アクセス、キーの管理の不備が、クラウドサイバーセキュリティに関する最大の懸念事項であるという。

 リモートワークやハイブリッドワークへの移行により、企業と従業員の業務の進め方が変化し、オフィスのPCにインストールされたオフィスアプリケーションや生産性スイートを利用するのではなく、SaaSやクラウドベースの生産性スイートによって、場所やデバイスを問わず必要なツールにアクセスできるようになった。

 こうした変化は、リソースやファイルへのアクセスの管理が非常に重要であることを意味する。管理者アクセスやその他の高度な特権アクセスが求められる場合は、特に重要だ。しかし、企業はその管理に苦労しており、主な要因としては、多くのエンドユーザーが企業のファイアウォールと従来の保護対策の外側で作業をするようになったことが挙げられる。

 ユーザー名とパスワードでクラウドツールにアクセスできる機能は、多くの従業員や企業にとって非常に有益であることが証明されているが、サイバー犯罪者による攻撃が容易になるという面もある。ユーザー名とパスワードを不正に入手したハッカーは、そのユーザーと同じアクセス権を利用できる。正当なアカウントであるため、不審な活動をすぐには検出できないかもしれない。

 しかし、ID、アクセス、認証情報が適切に管理されていない場合に、その設定ミスを悪用できるのは、社外のサイバー攻撃者だけではない。これらの問題が内部の脅威によって悪用されるおそれもある。具体的には、従業員が管理の不備を利用してアクセス権限を昇格させ、閲覧できてはならないデータにアクセスすることが考えられる。

 可能だからという理由だけでこれを実行する従業員もいれば、そのデータを持って競合他社に移籍する者や、悪用しようとするサイバー犯罪者に売る者もいる。

 クラウドアカウントのログイン認証情報の入手は、サイバー攻撃で使用される一般的な手法として増加しているが、一部のケースにおいては、攻撃者はユーザー名やパスワードを一切必要としない。これは、クラウドに保存されたデータが公開された状態になっているケースであり、どこを見ればいいか知っている者なら誰でもアクセスできるからだ。

 先述の調査レポートは、クラウドセキュリティの一般的な欠陥として、他にも次のような点を警告している。

 このレポートは、IDとアクセスの管理を改善するために、サイバーセキュリティのゼロトラストモデルの導入を推奨している。ゼロトラストでは、クラウド環境全体にわたって、すべての段階でユーザーに認証を要求することで、アクセスする必要のないデータに1組みの認証情報を使用してアクセスすることを防止できるという。

 また、ユーザーに脆弱なパスワードの使用を禁じて、侵入者が総当たり攻撃や推測によるアカウントの乗っ取りをできないようにする必要もある。さらに、ユーザーに多要素認証を提供して、攻撃に対する防壁を厚くしなければならない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
中小企業にHRプラットフォームを提供する独Personioが約130億円調達
HRテック
2021-01-20 23:01
NVIDIA、データセンター向けの新GPU「H200」を発表–生成AIやHPCで大幅な性能向上
IT関連
2023-11-15 15:48
マイクロソフト、7月の月例パッチ–「Pwn2Own」で発見された脆弱性も修正
IT関連
2021-07-14 16:29
KDDIとAIQ、接客AIを活用したショッピング体験の実証実験を開始
IT関連
2024-03-31 13:15
【コラム】暗号資産とブロックチェーンは問題を受け入れてサステナビリティを牽引するべきだ
ブロックチェーン
2021-05-18 21:49
アマゾンのFire TV CubeがZoom会議に対応
ハードウェア
2021-07-31 04:37
「未来の働き方とコンテンツ活用の関係」を説いたBox CEOの野望とは
IT関連
2022-07-16 02:46
カスタマーサービスの電話応対をAlexaを使うようにするRedRouteが約7.5億円調達
IT関連
2022-02-14 12:23
MySQLの運用をコードで定義し大幅に自動化する「MySQL Operator for Kubernetes」がオープンソースで公開[PR]
Kubernetes
2022-05-30 08:21
フィッシング詐欺で最も悪用されるブランド、マイクロソフトを抜いて首位となったのは?
IT関連
2022-01-19 22:31
Google Cloudがアリアンツ、ミュンヘン再保険とサイバー保険に関するプログラムで提携
IT関連
2021-03-04 11:07
「Linux」でSSHのセキュリティを強化するヒント
IT関連
2024-03-01 14:16
一般的な樹脂ペレット材対応の超大型3Dプリンター・独自新型3Dプリントヘッドを開発するExtraBoldが約3.6億円を調達
ハードウェア
2021-04-02 02:53
ランサムウェア攻撃を受けたJBS、約12億円の身代金をビットコインで支払い
セキュリティ
2021-06-11 23:42