CSA(Cloud Security Alliance)は、クラウド黎明期の2009年から活動している団体。これまで4回、「クラウドの重大セキュリティ脅威 11の悪質な脅威」という文書を公開し、業界や利用者にクラウドセキュリティの重要性を説いている。
この文書は2019年版が最新で、日本語訳は2020年に日本クラウドセキュリティアライアンス(CSAJ)によって公開されている。最新版の同文書と2017年版を比較すると、クラウドセキュリティについてひとつの大きな変化が見て取れる。
●システムとして堅牢なクラウドは人間のオペレーションが弱点
これまでクラウド関連のインシデントの原因、あるいはクラウドセキュリティの課題は、主にクラウドプロバイダーに起因するもの、プロバイダー視点の課題が多かった。しかし、2019年版の文書では、近年のクラウドインシデントのほとんどが利用者の設定ミスや管理ミスによって生じるものだという。
SaaSやクラウドがトレンドワードとして広がった2000年代半ば、「クラウドはセキュリティが不安」が常識だった。業界もこの問題を認識しており、改善に取り組んだ。その結果、DXなどのトレンドを持ち出さずとも、クラウドは企業システムやサービスにおいて普通の選択肢になっている。セキュリティの専門家でも、中途半端な投資でオンプレミスシステムを構築するより、クラウドサービスを利用したシステムのほうが、何倍もセキュアで信頼性が高いことを知っている。
プロバイダ側の信頼性やセキュリティが向上する一方、利用者側のリテラシー不足や運用ミスによる情報漏えい、意図しない機密情報の公開、内部犯行、運用・設定ミスによるシステムダウンが増えているのが現状だ。
CSAJ理事のひとりである諸角昌宏氏は、「2017年版の文書では、11の悪質な脅威のうち、プロバイダ起因、利用者起因に分類可能なものがそれぞれ3つずつ該当していたが、2019年版では、プロバイダ起因がゼロに、利用者起因が5つに増えている」と指摘する。
●CSAが指摘する11の悪質な脅威と対策の基本
2019年版で指摘された11の悪質な脅威について、具体的にどういうものかを見ていこう。
1:データ侵害
クラウドの実体は堅牢なデータセンターなので、物理的にもネットワーク的にも侵入やデータ窃取は難しいが、利用者アカウントやその接続口がアタックサーフェスとなっている。アカウント管理や認証強化、暗号化や分散管理が課題であり対策ポイントでもある。
2:設定ミスと不適切な変更管理
AWSの設定ミスにより情報が誰でもみられるようになっていた、というインシデントが問題になっている。従来型のインフラを防御するセキュリティ、境界セキュリティから、データを基準としたデータセキュリティへのシフトが叫ばれている。
3:クラウドセキュリティアーキテクチャと戦略の欠如
クラウドファーストの時代、フォークリフト式にオンプレミス環境をそのままクラウドに移行させるだけでは不十分で、セキュリティ対策をクラウド指向に設計しなおさなければならない。利用者はシステム設計に加え、入念なデューデリジェンス(事前調査)が必要だ。
4:クレデンシャル情報の管理(ID・鍵)
アクセス制御や認証は、データセキュリティの根幹をなす技術だ。ID情報や鍵の管理はユーザーの役割や権限のロールベース(RBAC:Roll Base Access Control)から、場所、デバイスなど属性ベース(ABAC:Attribute Base Access Control)への認証粒度の変更が必要。
この文書は2019年版が最新で、日本語訳は2020年に日本クラウドセキュリティアライアンス(CSAJ)によって公開されている。最新版の同文書と2017年版を比較すると、クラウドセキュリティについてひとつの大きな変化が見て取れる。
●システムとして堅牢なクラウドは人間のオペレーションが弱点
これまでクラウド関連のインシデントの原因、あるいはクラウドセキュリティの課題は、主にクラウドプロバイダーに起因するもの、プロバイダー視点の課題が多かった。しかし、2019年版の文書では、近年のクラウドインシデントのほとんどが利用者の設定ミスや管理ミスによって生じるものだという。
SaaSやクラウドがトレンドワードとして広がった2000年代半ば、「クラウドはセキュリティが不安」が常識だった。業界もこの問題を認識しており、改善に取り組んだ。その結果、DXなどのトレンドを持ち出さずとも、クラウドは企業システムやサービスにおいて普通の選択肢になっている。セキュリティの専門家でも、中途半端な投資でオンプレミスシステムを構築するより、クラウドサービスを利用したシステムのほうが、何倍もセキュアで信頼性が高いことを知っている。
プロバイダ側の信頼性やセキュリティが向上する一方、利用者側のリテラシー不足や運用ミスによる情報漏えい、意図しない機密情報の公開、内部犯行、運用・設定ミスによるシステムダウンが増えているのが現状だ。
CSAJ理事のひとりである諸角昌宏氏は、「2017年版の文書では、11の悪質な脅威のうち、プロバイダ起因、利用者起因に分類可能なものがそれぞれ3つずつ該当していたが、2019年版では、プロバイダ起因がゼロに、利用者起因が5つに増えている」と指摘する。
●CSAが指摘する11の悪質な脅威と対策の基本
2019年版で指摘された11の悪質な脅威について、具体的にどういうものかを見ていこう。
1:データ侵害
クラウドの実体は堅牢なデータセンターなので、物理的にもネットワーク的にも侵入やデータ窃取は難しいが、利用者アカウントやその接続口がアタックサーフェスとなっている。アカウント管理や認証強化、暗号化や分散管理が課題であり対策ポイントでもある。
2:設定ミスと不適切な変更管理
AWSの設定ミスにより情報が誰でもみられるようになっていた、というインシデントが問題になっている。従来型のインフラを防御するセキュリティ、境界セキュリティから、データを基準としたデータセキュリティへのシフトが叫ばれている。
3:クラウドセキュリティアーキテクチャと戦略の欠如
クラウドファーストの時代、フォークリフト式にオンプレミス環境をそのままクラウドに移行させるだけでは不十分で、セキュリティ対策をクラウド指向に設計しなおさなければならない。利用者はシステム設計に加え、入念なデューデリジェンス(事前調査)が必要だ。
4:クレデンシャル情報の管理(ID・鍵)
アクセス制御や認証は、データセキュリティの根幹をなす技術だ。ID情報や鍵の管理はユーザーの役割や権限のロールベース(RBAC:Roll Base Access Control)から、場所、デバイスなど属性ベース(ABAC:Attribute Base Access Control)への認証粒度の変更が必要。
