クラウドの設定ミスが原因でデータ漏洩が急増しているのは、企業がクラウド インスタンスの設定状況をほとんど把握しておらず、監査や管理を行う能力がほとんどないことが原因です。
このあまり明るいニュースではないのはマカフィーのチームによるもので、同社は最新のインフラストラクチャ・アズ・ア・サービス (IaaS) リスクレポートの中で、無防備なインスタンスの 99 パーセントはそれを運用する企業に気付かれていないと述べています。
このようなセキュリティ保護されていないインスタンス (通常は、一般の人がアクセスできるように残されているストレージ バケットまたはデータベース) は、研究者や、場合によってはハッカーが偶然公開されたサーバーに遭遇し、そのコンテンツを持ち去ったことで、近年の大規模なデータ漏洩の多くの原因となっています。
マカフィーの調査は、11か国の1,000社の企業と匿名化された顧客データに基づいており、ほとんどの企業がインターネット上にどのようなデータを公開しているかをまったく認識していないことがわかった。
顧客はセキュリティ企業に対し、システムやフォルダの設定ミスが月平均37件発生していると報告しています。実際には、データベース、ストレージバケット、クラウドサーバーが脆弱なウェブアプリケーションによって不注意に開いたままになったり、無防備な状態になったりするため、この件数は月間約3,500件に上ると推定しています。
クラウドデータ漏洩を暴く仕事に興味がありますか?企業はまだほとんど何も分かっていません。
続きを読む
マカフィー氏によると、問題はほとんどの企業が、何がどこで公開されているかを実際に確認する方法がほとんどないことだ。調査によると、調査対象となった企業のうち、クラウド設定を監査できる能力を持つのはわずか26%だという。
さらに、企業は通常、経営陣やIT管理者が認識しているよりも多様なサービスを運用しています。調査対象者の76%が複数のクラウドベンダーを利用していると考えていましたが、マカフィーの調査によると、実際の数字は92%程度でした。
「クラウド導入のスピードが一部の実務者を後れにさせている可能性がある」とマカフィー氏は論文で述べた。
「クラウドではインフラストラクチャが急速に変化するため、継続的インテグレーション/継続的デリバリー (CI/CD) の実践でコードがリリースされる際にミスが発生する可能性が高くなります。」
このような調査結果は特に目新しいものではないが (ほとんどの企業が自社のクラウドがどこで稼働しているか、どのようなデータが共有されているかを適切に把握していないことは以前から知られている)、脆弱な企業の数が多すぎることは、特に警鐘となるべき大規模なインシデントが何年も続いた後では、かなり憂慮すべきことである。
「ここでは実務者と指導者の間に断絶が生じていると我々は推測している」とマカフィー氏は付け加えた。
企業の90%が、IaaSにおいて、設定ミスなど何らかのセキュリティ問題を経験したことがあると回答しています。しかし、IaaS環境に最も近いマネージャーレベルのIT担当者は、CISO、CTO、CIOの経営陣と比較して、問題を経験したことがないと考える割合が2倍にも上りました。
何ができるかについては、マカフィーは、クラウド プラットフォームが誤った設定の VM を吐き出さないようにするために監査ツールとセキュリティ フレームワークを定期的に使用するなど、いくつかの戦略を挙げています。®
