目次
クラウドコンピューティングは、クラウドへの移行とモバイルワーカーを広義に捉えた言葉で、新しいセキュリティとコンプライアンス上のリスクを生み出しました。クラウドアカウントの乗っ取り、過剰に共有されているデータ、認証されていないクラウドアプリケーションの使用などは、セキュリティ部門に大きな課題を突きつけています。クラウドセキュリティにとっては、IT部門が許可したアプリケーションの可視化と制御が重要です。企業の多くは、Microsoft Office 365・Google G suite・Box・Dropbox・セールスフォース・Slack・AWS・ServiceNowなどを安全に利用したいと考えています。
無料トライアル
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
クラウドセキュリティとは?
クラウドセキュリティという用語は、クラウドコンピューティングに対する攻撃やコンプライアンスリスクから、人やデータ、インフラを守るための、テクノロジー群、制御、実践に使われている言葉です。クラウドセキュリティは、クラウドコンピューティングを遵守事項に沿って安全に最大限活かすためには大切です。
クラウドセキュリティの要素の一つに、CASB(Cloud Access Security BrokerもしくはCloud App Security Brokerの略)があります。CASBは、オンプレミスかクラウドに導入でき、クラウドサービスとクラウドサービス利用者との中間に導入されます。クラウドでのアクティビティを監視し、攻撃をブロックしてセキュリティポリシーを強化します[1]。
クラウドセキュリティの仕組み
クラウドセキュリティは、以下を実践することにより、クラウドベースの脅威から社内の利用者を保護します。
- 利用者がアクセスできるクラウドコンピューティングプラットフォームあるいはサービスを明らかにする
- 攻撃を検知するためにクラウドコンピューティングのアクティビティと意図せず企業を危険にさらしているユーザー行動を監視する
- サイバー攻撃者や利用権限のない人物が機密データやリソースにアクセスすることを防ぐ
- クラウドベースのユーザーアカウントが乗っ取られることを阻止する
- セキュリティとコンプライアンス ポリシーを強化する
クラウドセキュリティの重要性
企業は、同僚や提携企業とファイルなどのデータを共有するために、クラウドコンピューティングと、クラウドベースのコラボレーションツールやメッセージツールを利用しています。同時に、クラウド上での共有は、規制の対象データ、企業秘密や技術設計などの知的財産や、そのほかの極秘企業データを危険にさらす可能性があります。社内での過失やトレーニング不足は、誰もがアクセスできるパブリックリンクによりファイルを広い範囲に共有しすぎてしまう結果を招きます。また、内部関係者の情報流出も珍しくありません。例えば、会社を辞めた元営業の社員がCRMサービスから情報を盗む可能性もあります。
シャドーITとは、IT部門から正式に許可を得ていないクラウドアプリやクラウドサービスを利用することをいいます。一般的に、承認されていないSaaSアプリケーションをファイル共有、SNS、コラボレーション、Web会議などに用います。社内未承認のアプリに企業データをアップロードすると、データプライバシーや居住地の規則に違反する可能性もあります。
別の課題として、OAuthの許可があるサードパーティのアプリやプログラムもあります。OAuthに接続済みのサードパーティアプリは、Microsoft 365やGoogle WorkspaceのようなIT承認されたクラウドコンピューティングサービスにアクセスします。数百にも及ぶアプリを社内のクラウド環境で見つけることはよくあることです。広範囲にデータの利用許可を与えてしまう設計の甘さのために、このようなクラウドアプリはリスクがあります。また、簡単に悪用できるデータもあります。さらに、OAuthの危険性は、1度デバイスで認証してしまうと、無効に設定し直さない限り、企業データにアクセスすることができ、継続的にアプリケーションを使用できます。
クラウドセキュリティガイドライン
CASBサービスは主に4種のクラウド セキュリティシステム管理を提供します。
- 可視化: 企業内のクラウドサービスに含まれる誰が、どのデバイスで、どこから、クラウド上のデータにアクセスしたかについての詳細を含む、全体像を得ることです。
- データセキュリティ: CASBには、望ましくないアクティビティを防ぐためにデータセキュリティポリシーを強化する機能を備えているものもあります。ポリシーは、情報漏洩対策 (DLP) の、監査・警告・ブロック・検閲・消去・閲覧のみにするなどの制御によって適用されます。
- 脅威からの保護: CASBは適応型のアクセスコントロールを備えることで、好ましくないデバイス、ユーザー、特定のバージョンのクラウドサービスアプリを経由したアクセスを防ぎます。ログイン中やログイン後に見られる兆候によって、クラウドアプリのアクセスは変更することが可能です。
- コンプライアンス: CASBでは、企業がクラウドサービス利用を適正に管理していることを示す証明にもなります。データの保管場所(レジデンシー)や法規制の遵守を、CASBは支援します[2]。
クラウドの課題とセキュリティ
CASBは主に4種のクラウドセキュリティ課題を解決へと導きます。
シャドーIT
企業内の社員や各部門は、新たなクラウドアプリをITセキュリティの管理者から承認を受けずに(場合によっては黙認のまま)導入することがあります。そのようなアプリのサービスは、情報漏洩・データの過剰共有・コンプライアンス問題などの原因となる危険性があります。
同時に、社内では多くの人が、IT部門が承認したクラウドサービス、Microsoft 365やGoogle WorkspaceにアクセスするOAuth権限のあるサードパーティアプリやプログラムをインストールしています。
とても便利なアプリの多くは、標準的なクラウドアプリに役立つ機能を追加します。ただし、あからさまに悪質な設定や、または完成度の低さのために、必要以上に広範に渡るデータへの権限を与えてしまうリスクのあるアプリも存在します。さらにOAuthトークンは認証されると、無効にしない限り、たとえユーザーパスワードを変えたとしても、企業データやアプリケーションにアクセスし続けられてしまう仕組みです。
CASBは人的なリスクであるシャドーITを可視化して制御します。
クラウドアカウントへの不正や乗っ取り
サイバー犯罪のクラウドアカウントへの不正アクセスは、貴重なデータや資金にまで及びます。攻撃者は自身で入力可能なクラウドアカウントの認証情報を手に入れると、正規ユーザーになりすまします。そして社内の誰かに、送金するように仕向けたり、企業データを開示させたりします。スパムやフィッシングメールをばらまくために、メールアカウントをハイジャックすることさえあります。
1,000件のクラウドサービス利用企業の2,000万のユーザーアカウントに対して調査を行ったところ、2019年上半期だけで、1,500万回以上もの非認証ログインが試みられていました。その試行のうち、40万回以上はログインに成功しています。合計で、対象とした企業の85%がサイバー攻撃者の標的になり、環境内には少なくとも不正利用されたアカウントが1件ある計算になります[3]。攻撃者は典型的なアカウント侵害の以下3つの手口のうちいずれかを用いています。
- 総当たり攻撃(ブルートフォース攻撃)は、攻撃者がたくさんのユーザー名やパスワードを組み合わせてログインできるまで繰り返す、試行錯誤による手法です。
- クレデンシャルフィッシングでは、攻撃者がソーシャルエンジニアリングによるメールで、ユーザーがパスワードを明かしてしまうように騙します。
- パスワードの再利用では、攻撃者が関連性のない情報漏洩から手に入れたパスワードを、同じユーザー名(メールアドレスの場合もあり)や同じパスワードを持つ別のアカウントで悪用します。
情報漏洩と知的財産の盗難
普段、同僚や提携企業などの人とクラウドベースのコラボレーションツールやメッセージツールを通して情報を共有しています。しかし社員への教育不足や関係者の私利私欲が、閲覧すべきでない人たちに極秘情報を流出してしまうような状況を招きます。
企業はサイバーセキュリティの変わらぬ規制を前に、膨らみつつあるクラウドコンプライアンスのリスクに直面しています。政府法令や産業規則では、データがクラウド上のどこに保管され、どのように共有されているかを把握することを求めています。EU一般データ保護規則 (GDPR) は、何百万もの企業組織に影響を与えます。だからこそ、すべての企業組織にとって、新しい規則に準拠するよう計画を立てることが重要です。CASBはそのための鍵になります。
クラウドの脅威
近年の攻撃で標的になるのは、人であり、テクノロジーはターゲットになりません。これはオンプレミスと同様に、クラウドに関しても言えることです。ビジネスでは、メッセージの送受信や連携プラットフォームを企業のネットワークからクラウドへと移行することで、攻撃に対して脆弱になります。
サイバー犯罪者には、よく使われているSaaSアプリケーションやMicrosoft365、Google Workspaceを標的にする傾向があります。社内のほぼ全員が前述のアプリケーションを利用しており、ビジネスコミュニケーションや重要なデータの鍵を握っています。攻撃者は多様な手口を使ってクラウドアカウントの認証情報を盗み取り、次の方法で脆弱なユーザーを利用します。
- コンピュータによる総当たり攻撃。 複数のユーザー名とパスワードの組み合わせを送り込む自動ツールを使って、大量の認証情報を流出させる。
- 応用的なフィッシング詐欺。 狙いを定めた、よくできたフィッシングは、様々な形態からなり、認証情報を入力し暴露してしまうように人々を騙します。
- 悪質なファイルの共有。 フィッシングへのリンク、クレデンシャル盗難やファイル保存サイトを、攻撃者は典型的に使用しています。攻撃者は、Dropboxのようなクラウドサービスを経由してマルウェアを広める働きもします。
クラウドセキュリティ対策
CASBは、堅牢な検知、修復、リスクベースの認証能力を持ち、クラウドセキュリティソリューションを幅広く捕捉します。そのため、現在の人を中心とした脅威、ブルートフォース攻撃やフィッシング攻撃、悪質なファイルの共有に対して最大の防御を提供しています。
クラウドベースの脅威から保護する
サイバー犯罪者は、テクノロジーの脆弱性ではなく、クラウドを介するMicrosoft 365やGoogle Workspaceなど広く普及しているSaaSアプリケーションを利用する「人」をターゲットにする傾向があります。クラウドセキュリティのソリューションを広く補完するCASBは、今日の人を狙った脅威に対する最大の防御を提供します。
コンプライアンスを守る
従業員、請負業者、提携企業がクラウド上でデータを多くシェアするようになるにつれて、漏洩のリスクは高まります。情報侵害を検知すべく証拠を集め、漏洩を防ぐためには、リスク認識をした上でのクラウドデータセキュリティが必要です。さらに、政府規制や立法指令の遵守も必須です。規制や法令には、次の情報を含みます。マイナンバーや生年月日などの個人情報(PII)、クレジットカード情報 (consumer payment card information: PCI) 、カルテなどの保護対象保険情報 (PHI) など。
クラウドアプリを管理する
濫用されているクラウド配信アプリの使用は管理しなければなりません。平均的な企業では、一社あたり1,000のアプリが使われていると見積もられています。その中には、深刻なセキュリティギャップが生じているものがあります。例えばEUであれば、一般データ保護規則(GDPR)のようなデータレジデンシー規則に違反しています。攻撃者はサードパーティのアドオンやソーシャルエンジニアリングを用いて、SaaSアプリに広いアクセス権限を与えてしまうように人々を騙します。
クラウドアプリを管理する能力は、クラウドセキュリティのリスクを可視化する上で重要です。エンドユーザーに警告を与えたり、指示を出したりして、クラウドへのアクセスに対して自動応答を設定するなど、「許可」「閲覧のみ」「ブロック」で制御を保つことが大切です。
[1] Gartner Inc. “Magic Quadrant for Cloud Access Security Brokers”
[2] Ibid.
[3] Proofpoint. “Cloud Attacks Prove Effective Across Industries in the First Half of 2019” (「2019年上半期の分析:クラウド攻撃がさまざまな業界に対して効果的であったことが判明」)