クラウドセキュリティの課題–求められるID、アクセス、認証情報の適切な管理

今回は「クラウドセキュリティの課題–求められるID、アクセス、認証情報の適切な管理」についてご紹介します。

関連ワード (クラウドをセキュアに、特集・解説等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 リモートワークへの移行によって、職場の定義が変わり、クラウドアプリケーションおよびサービスの使用の優先順位が変化したことで、ID、アクセス、認証情報のずさんな管理が、クラウドコンピューティングのサイバーセキュリティにおける最大の課題となった。新しい調査はこう警告している。

 クラウドコンピューティングのベストプラクティスを奨励する非営利団体Cloud Security Allianceがクラウド業界のセキュリティ問題に関して、700人の業界専門家を対象に実施した調査によると、特権アカウントのID、認証情報、アクセス、キーの管理の不備が、クラウドサイバーセキュリティに関する最大の懸念事項であるという。

 リモートワークやハイブリッドワークへの移行により、企業と従業員の業務の進め方が変化し、オフィスのPCにインストールされたオフィスアプリケーションや生産性スイートを利用するのではなく、SaaSやクラウドベースの生産性スイートによって、場所やデバイスを問わず必要なツールにアクセスできるようになった。

 こうした変化は、リソースやファイルへのアクセスの管理が非常に重要であることを意味する。管理者アクセスやその他の高度な特権アクセスが求められる場合は、特に重要だ。しかし、企業はその管理に苦労しており、主な要因としては、多くのエンドユーザーが企業のファイアウォールと従来の保護対策の外側で作業をするようになったことが挙げられる。

 ユーザー名とパスワードでクラウドツールにアクセスできる機能は、多くの従業員や企業にとって非常に有益であることが証明されているが、サイバー犯罪者による攻撃が容易になるという面もある。ユーザー名とパスワードを不正に入手したハッカーは、そのユーザーと同じアクセス権を利用できる。正当なアカウントであるため、不審な活動をすぐには検出できないかもしれない。

 しかし、ID、アクセス、認証情報が適切に管理されていない場合に、その設定ミスを悪用できるのは、社外のサイバー攻撃者だけではない。これらの問題が内部の脅威によって悪用されるおそれもある。具体的には、従業員が管理の不備を利用してアクセス権限を昇格させ、閲覧できてはならないデータにアクセスすることが考えられる。

 可能だからという理由だけでこれを実行する従業員もいれば、そのデータを持って競合他社に移籍する者や、悪用しようとするサイバー犯罪者に売る者もいる。

 クラウドアカウントのログイン認証情報の入手は、サイバー攻撃で使用される一般的な手法として増加しているが、一部のケースにおいては、攻撃者はユーザー名やパスワードを一切必要としない。これは、クラウドに保存されたデータが公開された状態になっているケースであり、どこを見ればいいか知っている者なら誰でもアクセスできるからだ。

 先述の調査レポートは、クラウドセキュリティの一般的な欠陥として、他にも次のような点を警告している。

 このレポートは、IDとアクセスの管理を改善するために、サイバーセキュリティのゼロトラストモデルの導入を推奨している。ゼロトラストでは、クラウド環境全体にわたって、すべての段階でユーザーに認証を要求することで、アクセスする必要のないデータに1組みの認証情報を使用してアクセスすることを防止できるという。

 また、ユーザーに脆弱なパスワードの使用を禁じて、侵入者が総当たり攻撃や推測によるアカウントの乗っ取りをできないようにする必要もある。さらに、ユーザーに多要素認証を提供して、攻撃に対する防壁を厚くしなければならない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
カット野菜もシャキシャキ AIが仕切るスマート農業
IT関連
2021-05-21 13:49
NTT-AT、AIでセキュリティ運用負荷を軽減するサービスを提供
IT関連
2024-06-15 10:45
ソフトバンクがマーケティング最適化のためのAIインフラ企業Pixisへの資金注入主導、新社名で新年度をスタート
IT関連
2022-01-20 14:20
日本IBM社長が説く「企業がDXを成功に導く3つのポイント」とは
IT関連
2021-04-30 00:24
GitLabが身売り先を探しているとの報道、Datadogが買収に興味と。CEOは骨肉腫の再治療へ
DevOps
2024-07-19 13:59
2026年にはコールセンターとのやりとりの10%がボット相手に–ガートナー
IT関連
2022-09-08 00:57
マイクロソフト「Teams」、「Togetherモード」用に独自のシーンを近く作成可能に?
IT関連
2021-05-21 23:00
NURO光で通信障害も約9時間半後に復旧 原因はSo-net網内の機器故障
セキュリティ
2021-05-18 19:33
NTTデータグループが業績発表、「NTT Ltd.」の統合が大きく影響
IT関連
2023-08-10 07:36
AWS、第3世代「AMD EPYC」搭載EC2インスタンス「C6a」–コンピュート集約型ワークロード向け
IT関連
2022-02-17 22:51
「ディープフェイク」–迫りくるセキュリティ上の新たな脅威
IT関連
2022-07-30 09:53
「ゼロトラスト」の中核–アイデンティティセキュリティを学ぶ
IT関連
2023-10-05 19:35
千葉銀行、レコメンデーションサービス導入で「ちばぎんアプリ」拡充
IT関連
2024-10-29 04:39
KDDI、物流倉庫向けデータ分析サービス導入–合弁会社のネクサウェアが提供
IT関連
2024-08-27 09:00