クラウドに対する見落としがちな5つの脅威:最終話

クラウド利用に伴うセキュリティリスクについて、様々なところで触れられていますが、見落としがちなことは、セキュリティリスクそのものが変化してきていることです。

internet.comのサイトに、クラウドに対する見落としがちな5つの脅威(5 Overlooked Threats to Cloud Computing)という記事が掲載されていますので、それを紹介しながら、確認してみましょう。

5. インサイダーの脅威

インサイダー(すなわち内部からの)脅威は今もあるだろうか。残念ながら、仮想化とクラウドはインサイダーの脅威から発生するリスクを増大させている。少なくとも現在のところはだ。
クラウドシステムがクラウドのインフラ管理チームで管理されるようになると、より少なく人数の管理者がかつてよりも大量のホストデータやシステムにアクセスできるようになる。以前はアクセスできなかったような人間が機密データにアクセスできる余地が残っているということを意味する。すなわち、権限の分離が損なわれ、インサイダーアタックのリスクが大きくなるのだ。」(Webb氏)
善悪のいかんを問わず、仮想化環境では従来の現実環境よりも、重要な資産を持ち去ることが非常に簡単になっている。
「銀行の換金制限が出せれた際、人々は物理的なデータセンターに押し入り、テープの束を持ち去ったのではないかと心配した」(Chiu氏)
このような恐れは、データを暗号化する動きに拍車をかけた。
データ暗号化を怠っている場合、仮想化環境では同じような資産をどのように盗みだすのか。
「管理者権限を持っていれば、仮想環境を選び、右クリックしてコピーするだけだ。」
テープの箱を持ってビルから出ていくのは、見咎められる恐れが高く困難だ。USBドライブに入れた仮想マシンなら、より簡単だ。

デバイスの持ち込み、持ち出しを厳しくチェック、操作ログを取り、万が一のことを考えて、データ暗号化を忘れずに。
でも、常にセキュリティの最大の脅威は内側(インサイダー)にあるのです。

クラウドに対する見落としがちな5つの脅威:第四話

クラウド利用に伴うセキュリティリスクについて、様々なところで触れられていますが、見落としがちなことは、セキュリティリスクそのものが変化してきていることです。

internet.comのサイトに、クラウドに対する見落としがちな5つの脅威(5 Overlooked Threats to Cloud Computing)という記事が掲載されていますので、それを紹介しながら、確認してみましょう。

4. ハイパーバイザのセキュリティ対策が貧弱でIPSの負担が大きい

あらゆる新技術はなんらかの新しい脆弱性を持ち、クラウドや仮想化の大きな脆弱性はハイパーバイザだ。
「多くの人は仮想インフラのセキュリティ対策を何もしていない。ハイパーバイザはつまるところネットワークだ。これらのマシン内で全てのネットワークが動いているのだが、ほとんどの人はそこにどの様なトラフィックが発生しているを全く把握していない。」(Anthony氏)

バッファオーバーフローアタックがハイパーバイザに有効で、ハイパーバイザが、Xbox360を含め、自分が持っていると思っていない装置もすべて表示してしまう。
組織が、自身のクラウド環境内のトラフィックを制御していると思っている時ですら、思い過ごしかもしれない。特にレガシーなセキュリティツールに依存していればなおさらだ。自身のクラウドを保護するためにIPSソリューションが必要であることは知られているが、問題の大きさををわかっていない。
(IPS:Intrusion Protection System 侵入防止システム)

さらにこれらの機器の多くは、デフォルトでパケット検査の設定は有効になっていない。すなわち例えば機器がビデオトラフィックなどで高負荷になれば、ほとんどのトラフィックは安全だとみなされて処理され、ほんの一部だけについて、脅威があるかどうかを検査する。

IPSは通常ローレベルのアラームを発するか、ログに書き込むだけだ。しかし多くのIT部門は何か問題があることを認識していない限り、ログを見ない。仮想化されたクラウド環境では、社内システムよりも、よりバラエティに富んだ防御策が必要であることを、組織はなかなか認識しない。あるいは、認識していたとしても、予算や時間がないという理由で無視してしまう。

私が話したIBMのセキュリティ担当役員は、クラウド環境保護対策として推奨するセキュリティソリューションを立て板に水のごとく説明してくれた。毎秒20Gパケットの能力を持つIPSソリューションや、DLP(Data Loss Protection:データ漏洩対策)、アプリケーションセキュリティなどだ。アドバイスのほとんどは、セキュリティ問題があまりに大きくなりすぎ、自身だけで対応するには限界に来ているということだ。

クラウドに対する見落としがちな5つの脅威:第三話

クラウド利用に伴うセキュリティリスクについて、様々なところで触れられていますが、見落としがちなことは、セキュリティリスクそのものが変化してきていることです。

internet.comのサイトに、クラウドに対する見落としがちな5つの脅威(5 Overlooked Threats to Cloud Computing)という記事が掲載されていますので、それを紹介しながら、確認してみましょう。

3. プライベートとハイブリッドクラウドでマルチテナント型であることのリスク

プライベートやハイブリッドクラウドを構築する際、多くの企業は壁にぶち当たる。テスト環境やファイル共有など、簡単なものは仮想化される。
「多くの企業は、インフラの約30%を仮想化している。60%から70%程度にしたいと考えているが、常に下の方にぶら下がっている果実だけを取ってしまうのだ。ミッションクリティカルでコンプライアンスが必要な負荷に挑戦しようとするのだが、そこはセキュリティが深刻なボトルネックになるところだ。」(仮想化とクラウドセキュリティ会社HyTrust社の社長Eric Chiu氏)

マルチテナント型はパブリッククラウドだけの問題ではない。異なるビジネスユニットで、したがって多くの場合異なるセキュリティ指針を持ったユニット同士が、プライベートやハイブリッドクラウドで同じインフラを使用する。

「優れたセキュリティ指針を持つビジネスユニット単体で所有するシステムのリスクは、上位のビジネスユニットの貧弱なセキュリティ指針により増大する。それらは計測するのが非常に困難であり、と特に大規模な国際組織の場合は顕著だ。」(Webb氏)

もうひとつのもんだいは、アプリケーション層だ。貧弱な設計のプライベートクラウドでは、ミッションクリティカルではないアプリケーションがミッションクリティカルなアプリケーションとリソースを共有していることが多い。
「ほとんどの会社はどのように分離しているのであろうか。エアギャップして完全に分離している。従って、多くの仮想化やプライベートクラウド環境に対する最大の脅威は構成ミスだ。ダウンタイムの80%は、不適切な管理系の変更が原因だ。」(Chiu氏)

プライベートクラウドを自社で構築するのはなかなか難しいのです。

クラウドに対する見落としがちな5つの脅威:第二話

クラウド利用に伴うセキュリティリスクについて、様々なところで触れられていますが、見落としがちなことは、セキュリティリスクそのものが変化してきていることです。

internet.comのサイトに、クラウドに対する見落としがちな5つの脅威(5 Overlooked Threats to Cloud Computing)という記事が掲載されていますので、それを紹介しながら、確認してみましょう。

2. プライベートクラウドでもプライベートじゃない

セキュリティを懸念する企業がクラウドでとる道のひとつは、プライベートクラウドを採用することだ。
企業が両方の利点を得ようとプライベートクラウドを採用するのは珍しくない。すなわち、クラウドの持つコストの効率性の利点と、パブリッククラウドの目に見えるセキュリティリスクを回避することだ。
しかしながら、非常に多くのプライベートクラウドは、すべてプライベートというわけではない。多くのプライベートとうたうクラウド・インフラは、現実にはサードパーティが運用しており、プロバイダ内の高権限ユーザによるアクセスの懸念は残り、セキュリティに関する実施内容とそのリスクが不透明である。」(データ保護のベンダーであるCREDANT Technologiesのプロダクトマーケティング担当ディレクターGeoff Webb)

クラウドセキュリティに関する記述のほとんどは時代遅れだ。最近のRSA Conferenceで、何人もの人が、クラウドセキュリティの鍵はセキュリティを詳細にカバーする堅牢なSLAを取り交わすことだと話していた。責任範囲を明確にし、サービスプロバイダーが説明責任を負えさえすれば、いいという姿勢だ。

これはある意味真実ではあるが、単純にベンダーを信用し、SLAに全てを託すのはおろかだ。
機密の知的財産や顧客情報が盗まれれば、取締役や顧客から非難されるのは、サービスプロバイダーではなく、あなた自身だ。
セキュリティスタンダードを唱えるサービスプロバイダは、セキュリティにそれほど注意を払っていないかもしれない。結局これはハイテクであり、セキュリティはほどんどいつも後回しなのだ。

プロバイダの言うことを鵜呑みにしちゃいけないっていうことですね。

クラウドに対する見落としがちな5つの脅威:第一話

クラウド利用に伴うセキュリティリスクについて、様々なところで触れられていますが、見落としがちなことは、セキュリティリスクそのものが変化してきていることです。

internet.comのサイトに、クラウドに対する見落としがちな5つの脅威(5 Overlooked Threats to Cloud Computing)という記事が掲載されていますので、それを紹介しながら、確認してみましょう。

ウイルス、マルウェア、フィッシングはいまだに問題であるが、バーチャル・マシン・起動アタック、マルチテナントのリスク、ハイパーバイザー脆弱性などの問題は、最も先進的なセキュリティ管理者にとってもチャレンジングな問題だ。以下に、クラウドコンピューティングに向けた活動を危険に陥れかねない、5つの見落としがちな脅威を紹介する。

1. DIYセキュリティ

世に知られていないから安全だという時期は終わった。今まで、名もない中小企業であれば、心配すべき脅威は、一般消費者のものと同様であった。すなわち、ウイルス、フィッシング、その他例えばナイジェリアの手紙の類だ。
(注:ナイジェリアの手紙とは、419事件とも呼ばれる詐欺で、腐敗した国の金持ちを名乗る人間から、報酬を払うから、送金手数料の支払いと資金洗浄のための口座を貸してほしいというメールが届くもの。舞台がナイジェリアであることが多かったため、ナイジェリアの手紙と呼ばれるが、その他の国を舞台にしたものも存在する。高額の報酬を受け取れると考え、申し出に応じ、送金手数料を振り込み、講座番号を教える人もいる。報酬が約束通り支払われず、さらに自分の口座から金が引き出されてしまった後、騙されたことに気づくが、資金洗浄の話に乗っかってしまったという後ろめたさから警察に届けづらいというもの)
ハッカーは、そんな中小企業のネットワークに侵入を試みるだけの動機づけがないため、DDos攻撃などを心配する必要がなく、それらはサービスプロバイダの問題であった。
しばらく前のニューヨーカー・カートゥーンに、「インターネットではお前が犬だとは誰にもわかりゃしない」というのがあるが、クラウドでは、あなたが中小企業の人かどうか誰もわからない、といったところだ。
(注:2匹の犬がコンピュータの前に座ってインターネットを使っていて、「インターネットではお前が犬だとは誰にもわかりゃしない」
と話している漫画)
「小規模サイトでいることが安全であるということはもはやない。脅威はあらゆるところからやってくる。米国にいるからといって、米国内からの攻撃にのみ晒されているわけではない。みんな中国、ロシア、ソマリアなどあらゆるところからの攻撃に脅かされている。」(IBMセキュリティサービス担当副社長Marisa S. Viveros氏)
ある程度、今までにもこのようなことはあった。しかし、狙いを定めた攻撃は地球規模になっている。より人目に付く企業とインフラを共有すれば、あなたの会社が、隣人をターゲットした攻撃の足がかりにされてしまうかもしれない。
言い換えれば、次に中国やロシアから大手クラウドプロバイダに攻撃を仕掛けた時は、被害に巻き込まれてしまうかもしれない。つまり、クラウドでは、DIY(自前でなんとかしようという)型のセキュリティでは対応できない。また働きすぎのIT部門の人に助けてもらうというのも酷い考えだ。
クラウドベースのインフラに移行する企業が増えるにつれ、予算をたっぷり持っている大企業だけが自前でセキュリティ対策を実施できるようになる。その他大勢はセキュリティをサービスとして受けるか、ユーティリティとして考える必要が出てくるであろう。

生兵法は怪我のもと、というのがぴったりかと思います。