IBM、セキュリティーに関する調査レポートを公開
複雑さとシャドーITの課題を今なお抱えるクラウド・セキュリティー
クラウドへの移行が加速する中、企業が対処すべき主なセキュリティー・リスクを新しいデータが指摘

[米国マサチューセッツ州ケンブリッジ- 2020年6月10日- PRNewswire] IBM Securityは、クラウド・セキュリティーに影響を及ぼす主な課題と脅威を調査し、新しいクラウド・ツールの導入しやすさと導入スピードにより、セキュリティー・チームはツール利用のコントロールがより難しくなる場合があることを示す新しいデータを発表しました。IBMの調査データとケース・スタディ分析によると、ますますクラウド化が進むビジネスのセキュリティーを確保するために対処すべき主なリスク要因は、依然としてガバナンス、脆弱性、構成ミスなどのセキュリティー管理の基本的な課題です。また、過去1年間に発生したセキュリティー・インシデントのケース・スタディ分析により、サイバー犯罪者が、カスタマイズしたマルウェア、ランサムウェアなどでどのようにクラウド環境を標的にするかも明らかになりました。

リモート勤務環境の整備のためにも企業がクラウド化を急速に進める中、リスク管理にはクラウド化に特有のセキュリティー課題の理解が欠かせません。ビジネスおよびテクノロジーの重要な機能がクラウドで実現する一方、ITチームとサイバーセキュリティー・チームは、クラウド・リソースのその場しのぎの採用と管理体制によって生じる複雑さにも直面する可能性があります。IDCによると、3分の1を超える企業が2019年だけで、16社の異なるベンダーから30種類を超えるクラウド・サービスを購入しました。1環境がこのように分散されているため、クラウド・セキュリティーに関する責任の所在が不明確になり、ポリシーの「死角」とシャドーITにより脆弱性と構成ミスが発生する可能性が生じることもあります。

IBM Institute for Business Value(IBV)とIBM X-Force Incident Response and Intelligence Services(IRIS)は、ハイブリッドなマルチクラウド環境に企業がすばやく適応しようとする中での新しいセキュリティーの現実を把握するために、クラウドでのセキュリティー業務に影響を及ぼすクラウド・セキュリティー特有の課題に加え、クラウド環境を標的にする主な脅威を調査しました。主な調査結果は次のとおりです。

  • 責任の所在の複雑化:調査回答者の66%2が、基本的なセキュリティーをクラウド・プロバイダーに頼っていると答えていますが、セキュリティーに関する責任の所在に関する回答者の認識は、具体的なクラウド・プラットフォームとアプリケーションで大きく異なっていました。2
  • 不正アクセスを可能にするクラウド・アプリケーション:サイバー犯罪者がクラウド環境のセキュリティーを侵害する最も一般的な経路は、クラウドベースのアプリケーション経由であり、IBM X-Force IRISのクラウド関連ケース・スタディにおけるインシデントの45%を占めていました。3これらの事例において、サイバー犯罪者は、多くの場合社員が独断で承認外で新しいクラウド・アプリを立ち上げたことで検出されないままになっているアプリケーションの構成ミスや脆弱性を利用していました。
  • 攻撃の増幅:調査されたクラウド攻撃の最大の影響はデータ盗難でしたが3、ハッカーはクラウドをクリプトマイニングやランサムウェアの標的にもしており、4クラウド・リソースを利用してこれらの攻撃の効果を増幅させていました。

IBM Security Servicesのクラウド・セキュリティー・コンピテンシー担当リーダーのアビジット・チャクラヴォーティ(Abhijit Chakravorty)は次のように述べています。「クラウドは経営の効率とイノベーションを実現する莫大な可能性を秘めていますが、組織が管理してセキュリティーを確保する必要があるより広大でより分散型の環境という「未開の地」も同時に生み出すおそれがあります。正しく運用すれば、クラウドによりセキュリティーを拡張し適応性を高めることができます。しかし、まずは、時代遅れの想定を捨てて、可能な限りオートメーションを活用しながらテクノロジーのこの新しいフロンティア向けに特別に設計された新しいセキュリティー手法に移行する必要があります。規制義務とコンプライアンス対応、技術的およびポリシーによる自社独自のセキュリティー課題、そしてクラウドを標的とする外部の脅威をしっかり把握するところから始めましょう。」

クラウド・セキュリティーに関する責任の所在
IBM Institute for Business Valueの調査では、データ侵害の原因で最も多いのは、一般的にユーザーが責任を負う構成の問題であったという事実(調査対象の組織で2019年に侵害されたすべての記録の85%超を占める)にもかかわらず、調査に回答した組織はクラウド・セキュリティーに関する責任をクラウド・プロバイダーに大きく依存していることが判明しました。4

また、クラウド・セキュリティーに関する責任の所在に関する調査対象の組織の認識は、各種プラットフォームおよびアプリケーションで大いに異なります。たとえば、回答者の大部分(73%)が、Software as a Service(SaaS)のセキュリティーを確保する責任を負う主要な当事者はパブリック・クラウド・プロバイダーであると考えているのに対し、クラウドのInfrastructure as a Service(IaaS)のセキュリティーを確保する責任を主に負うのはプロバイダーであると考える回答者はわずか42%でした。3

ハイブリッドなマルチクラウド時代にはこの種の共同責任モデルが必要ですが、セキュリティー・ポリシーが変わりやすくなり、クラウド環境間の可視性が失われる原因にもなりかねません。クラウドおよびセキュリティー業務を効率化できる組織は、IT環境全体に適用されるポリシーを明確に定めることで、このリスクの軽減に貢献できます。

クラウド内の主な脅威:データ盗難、クリプトマイニング、ランサムウェア
攻撃者がクラウド環境をどのように標的にしているのかをよりしっかり把握するために、X-Force IRISのインシデント対応エキスパートは、チームが過去1年間対応したクラウド関連の事例を徹底的に分析しました。5分析の結果、次のことがわかりました。

  • 攻撃の先頭に立つサイバー犯罪者:外国政府のスパイ・ハッカーも持続的なリスクではありますが、IBM X-Forceによるインシデント対応事例でクラウド環境を標的にする脅威グループ・カテゴリーとして最も一般的だったのは、金銭目的のサイバー犯罪者です。
  • クラウド・アプリの脆弱性の悪用:攻撃者にとって最も一般的なエントリー・ポイントはクラウド・アプリケーションで、総当たり攻撃、脆弱性や設定ミスの悪用などの戦術が使われます。社員が承認外で脆弱なクラウド・アプリを立ち上げると、多くの場合「シャドーIT」として脆弱性が検出されないままとなります。クラウド製品の脆弱性は2020年まで従来のCVEの範囲に含まれなかったため、クラウドでの脆弱性管理は難しいこともあります。
  • クラウドにおけるランサムウェア:IBMのインシデント対応事例では、クラウド環境には他の種類のマルウェア(クリプトマイナーとボットネット・マルウェア)の3倍もランサムウェアが展開されていました。
  • データ盗難:マルウェアの展開を除くと、過去1年間にセキュリティー侵害を受けたクラウド環境でIBMが最も多く観察した脅威活動は、個人識別情報(PII)から顧客に関係するメールに及ぶデータの盗難でした。
  • 指数的な返り:脅威をもたらす攻撃者は、クラウド・リソースを使用して、クリプトマイニングやDDoSなどの攻撃の効果を増幅させます。また、脅威グループはクラウドを使用して攻撃活動の運用をホスティングし、拡張性を獲得し、攻撃が検出されないように難読化させています。

IBM X-Force IRISのチャールズ・デベック(Charles DeBeck)は、次のように述べています。「インシデント対応事例の傾向に基づくと、クラウドを標的にするマルウェアの事例は、クラウド採用の増加に伴い拡大と進化を続けると見込まれます。我々のチームは、マルウェア開発者が一般的なクラウド・セキュリティー製品を無効化するマルウェアの作成や、クラウドが提供する規模とアジリティーを利用したマルウェアの設計をすでに始めていることを認識しています。」

クラウド・セキュリティーの成熟がセキュリティー対応を迅速化
クラウド革命はセキュリティー・チームに新たな課題を提示していますが、より成熟し効率化されたクラウド・セキュリティーのガバナンス・モデルに移行できる組織は、セキュリティーに関するアジリティーと対応能力を促進することができます。

IBM Institute for Business Valueの調査によると、調査に回答した中でクラウドとセキュリティーの進化の両方で高い成熟度を持つ組織は、まだクラウド採用過程の初期段階にいる組織よりも迅速にデータ侵害を特定して抑え込むことができました。データ侵害への対応時間の点では、最も成熟した調査対象組織は最も成熟していない組織の2倍の速さでデータ侵害を特定して抑え込むことができました(脅威の平均ライフサイクルは125日と250日でした)。

業務とますます増えるリモート勤務者にとってクラウドが必要不可欠になる中、IBM Securityは以下の要素に重点を置いてハイブリッドなマルチクラウド環境のサイバーセキュリティーの強化に役立てることを推奨します。

  • 協調的なガバナンスと文化の確立:アプリケーション開発者、IT運用部門、セキュリティー部門間でクラウドとセキュリティー業務をまとめる統一戦略を採用します。既存のクラウド・リソースと新しいクラウド・リソースの購入に対する明確なポリシーと責任を定めます。
  • リスクベースの考え方の採用:クラウドに移行する予定のワークロードとデータの種類を評価し、適切なセキュリティー・ポリシーを定めます。環境全体で可視性を確保するためにリスクベースの評価から始め、クラウド採用の段階を分けるロードマップを作成します。
  • 強力なアクセス管理の適用:盗まれた信用情報を使用した侵入を防止するために、クラウド・リソースへのアクセスに多要素認証などのアクセス管理用のポリシーとツールを活用します。アカウントのセキュリティー侵害による被害を最小限に抑えるために、強力な権限のあるアカウントを限定し、すべてのユーザー・グループに必要最低限の特権を設定します(ゼロトラスト・モデル)。
  • 適切なツールの採用:セキュリティー監視、可視性、対応用のツールが、クラウドとオンプレミスのすべてのリソースで有効なことを確認します。ツール間の相互運用性を高めるオープン・テクノロジーおよびオープン・スタンダードへの移行を検討します。
  • セキュリティー・プロセスの自動化:システムで効果的にセキュリティーを自動化すると、事象への手作業での対応に頼るよりも、検出と対応能力の改善に役立ちます。
  • 事前シミュレーションでの訓練:各種攻撃シナリオの対応リハーサルを行います。シナリオの死角を特定したり、攻撃調査で発生する可能性があるフォレンジックの課題に対応したりするためにも役立ちます。

X-Force IRISの「クラウドの脅威  セキュリティー・レポート2020 (要登録)」をご覧になりたい場合は、こちらからレポート全体をダウンロードすることができます。

当報道資料は、2020年6月10日(現地時間)にIBM Corporationが発表したプレスリリースの抄訳です。原文は下記URLを参照ください。
https://newsroom.ibm.com/2020-06-10-IBM-Security-in-the-Cloud-Remains-Challenged-by-Complexity-and-Shadow-IT(英語)

関連リンク
IBM Security
https://www.ibm.com/jp-ja/security
セキュリティー・インテリジェンス・ブログ
https://www.ibm.com/blogs/security/jp-ja/

  以上

IBM、ibm.com、は、世界の多くの国で登録されたInternational Business Machines Corporationの商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点での IBM の商標リストについては http://www.ibm.com/legal/copytrade.shtml(US)をご覧ください。