クラウドセキュリティの課題–求められるID、アクセス、認証情報の適切な管理

今回は「クラウドセキュリティの課題–求められるID、アクセス、認証情報の適切な管理」についてご紹介します。

関連ワード (クラウドをセキュアに、特集・解説等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 リモートワークへの移行によって、職場の定義が変わり、クラウドアプリケーションおよびサービスの使用の優先順位が変化したことで、ID、アクセス、認証情報のずさんな管理が、クラウドコンピューティングのサイバーセキュリティにおける最大の課題となった。新しい調査はこう警告している。

 クラウドコンピューティングのベストプラクティスを奨励する非営利団体Cloud Security Allianceがクラウド業界のセキュリティ問題に関して、700人の業界専門家を対象に実施した調査によると、特権アカウントのID、認証情報、アクセス、キーの管理の不備が、クラウドサイバーセキュリティに関する最大の懸念事項であるという。

 リモートワークやハイブリッドワークへの移行により、企業と従業員の業務の進め方が変化し、オフィスのPCにインストールされたオフィスアプリケーションや生産性スイートを利用するのではなく、SaaSやクラウドベースの生産性スイートによって、場所やデバイスを問わず必要なツールにアクセスできるようになった。

 こうした変化は、リソースやファイルへのアクセスの管理が非常に重要であることを意味する。管理者アクセスやその他の高度な特権アクセスが求められる場合は、特に重要だ。しかし、企業はその管理に苦労しており、主な要因としては、多くのエンドユーザーが企業のファイアウォールと従来の保護対策の外側で作業をするようになったことが挙げられる。

 ユーザー名とパスワードでクラウドツールにアクセスできる機能は、多くの従業員や企業にとって非常に有益であることが証明されているが、サイバー犯罪者による攻撃が容易になるという面もある。ユーザー名とパスワードを不正に入手したハッカーは、そのユーザーと同じアクセス権を利用できる。正当なアカウントであるため、不審な活動をすぐには検出できないかもしれない。

 しかし、ID、アクセス、認証情報が適切に管理されていない場合に、その設定ミスを悪用できるのは、社外のサイバー攻撃者だけではない。これらの問題が内部の脅威によって悪用されるおそれもある。具体的には、従業員が管理の不備を利用してアクセス権限を昇格させ、閲覧できてはならないデータにアクセスすることが考えられる。

 可能だからという理由だけでこれを実行する従業員もいれば、そのデータを持って競合他社に移籍する者や、悪用しようとするサイバー犯罪者に売る者もいる。

 クラウドアカウントのログイン認証情報の入手は、サイバー攻撃で使用される一般的な手法として増加しているが、一部のケースにおいては、攻撃者はユーザー名やパスワードを一切必要としない。これは、クラウドに保存されたデータが公開された状態になっているケースであり、どこを見ればいいか知っている者なら誰でもアクセスできるからだ。

 先述の調査レポートは、クラウドセキュリティの一般的な欠陥として、他にも次のような点を警告している。

 このレポートは、IDとアクセスの管理を改善するために、サイバーセキュリティのゼロトラストモデルの導入を推奨している。ゼロトラストでは、クラウド環境全体にわたって、すべての段階でユーザーに認証を要求することで、アクセスする必要のないデータに1組みの認証情報を使用してアクセスすることを防止できるという。

 また、ユーザーに脆弱なパスワードの使用を禁じて、侵入者が総当たり攻撃や推測によるアカウントの乗っ取りをできないようにする必要もある。さらに、ユーザーに多要素認証を提供して、攻撃に対する防壁を厚くしなければならない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
海賊、麻薬、汚染、違法漁業など海上監視に最適化された産業ドローン用AI特化のTekeverが約26億円調達
IT関連
2022-02-08 01:57
HPE、「GreenLake」上で提供する複数のクラウドストレージサービスを発表
IT関連
2021-05-07 03:42
Facebook、メタバース「Horizon Workrooms」のβ版公開 「Oculus Quest 2」で世界中から参加可能
アプリ・Web
2021-08-21 05:46
“感謝の気持ち”送り合うアプリで社内活性化 ブロックチェーン活用、博報堂など開発
企業・業界動向
2021-08-18 11:31
AIチャットbotを200件のデータで構築 従来の60分の1に 「りんな」開発元が新技術
ロボット・AI
2021-01-26 18:52
NFTアートが約1300万円で落札 世界的VRアーティストのせきぐちあいみさんに、“VR一点もの”オークションに挑戦した経緯を聞いた
イラスト・デザイン
2021-03-26 14:39
「プチプチ」つぶす感触を再現した「∞プチプチAIR」、バンダイが発売 260万個売れたヒット商品をリニューアル
くらテク
2021-06-16 14:31
マイクロソフトが今や1日に1億4500万人が利用するTeamsの開発者向け新機能やツールを発表
IT関連
2021-05-27 11:37
アップル、「ロックダウンモード」の詳細を公開–国家の支援を受けたスパイウェアに対応
IT関連
2022-07-09 09:21
共創空間「NEC Future Creation Hub」の現在地点–最新技術を体感
IT関連
2022-06-10 16:30
愛犬とのライフスタイルに寄り添うブランドを構築するFable
IT関連
2022-02-06 07:38
富士通とNTTドコモ、ローカル/パブリック5G環境を相互接続するハイブリッドネットワークを構築
IT関連
2021-07-19 17:35
サステナビリティーは経済成長のコントロールが必要ではないか
IT関連
2022-07-29 05:58
切っても茶色くならないリンゴの品種育成を加速、リンゴ果肉の変色に関わる染色体領域を特定
IT関連
2022-01-25 13:04