この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
オープンソースセキュリティとライセンスコンプライアンス管理プラットフォームを手掛けるWhiteSourceは2021年6月24日(米国時間)、クラウドセキュリティの課題とリスクを特定し、ベストプラクティスを紹介した。
クラウドセキュリティの課題とリスク
WhiteSourceは「クラウドコンピューティングは多くのデジタルビジネスの基盤となっており、これからのソフトウェア開発を支える。だが、セキュリティに関しては、大きな課題が残っている」との認識を示す。
「クラウドは、ハッカーがこっそり、ますます巧妙化する攻撃を仕掛けるための格好の場となっている。また今後、内部者による意図的な、または偶発的な攻撃のプラットフォームとなる可能性も高い」という。
WhiteSourceはまず、クラウドセキュリティの主な課題として、クラウドセキュリティに関する業界団体Cloud Security Alliance(CSA)のレポート「Top Threats to Cloud Computing: Egregious Eleven」で挙げられている11の項目について何が問題なのかを紹介し、その後、ベストプラクティスを解説した。
(1)データ侵害
データ侵害は標的型攻撃や不適切なセキュリティ、人的エラーの結果として発生する可能性がある。データ侵害が発生すると、ブランドアイデンティティーが損なわれる他、規制違反で制裁金を科されることがあり、知的財産が失われる恐れもある。データはサイバー攻撃の主要な標的だ。データにアクセスできる人を保護し、侵害を防ぐことが、クラウドの展開における最大の課題だろう。
(2)構成ミスと不適切な変更管理
コンピューティング資産は、セットアップ時に誤って構成される場合がある。これはデータ侵害の主な原因だ。
(3)クラウドセキュリティアーキテクチャと戦略の欠如
企業は多くの場合、「クラウドへの移行は、既存のITスタックとセキュリティ対策を単にクラウド環境に移すことだ」と誤解している。「戦略の欠如」という問題をさらに悪化させるのは、企業がセキュリティよりも機能や移行スピードを優先することだ。
(4)アイデンティティーや認証情報、アクセス、鍵の不十分な管理
クラウドを保護するには、企業は次の4点を実行しなければならない。
- 認証情報を保護する
- 鍵、パスワード、証明書を自動的に変更する
- アイデンティティー、認証情報、アクセスの管理システムを実装する。このシステムは、クラウドコンピューティングの要求を満たすスケーラビリティを備えていなければならない
- 多要素認証と強力なパスワードを使用する
(5)アカウントハイジャック
アカウントハイジャックは、高い権限を持つアカウントを乗っ取ることだ。これが起こると、データや資産の損失、オペレーションの侵害につながる恐れがある。この脅威を軽減するには、縦深防御やIAM(アイデンティティーとアクセス管理)が重要だ。
(6)内部脅威
内部者は、ファイアウォールやVPNなどの境界セキュリティ対策をかいくぐることなく、システムを侵害することが可能だ。
(7)安全ではないインタフェースやAPI
安全ではないAPIは、セキュリティ侵害を招く恐れがある。そのため、偶発的な攻撃と悪意ある攻撃を防ぐ設計を行う必要がある。
(8)弱いコントロールプレーン
弱いコントロールプレーンは、担当者がネットワークの盲点や脆弱(ぜいじゃく)性を認識していないということだ。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
からの記事と詳細 ( クラウドセキュリティの課題、解決への道は? - @IT )
https://ift.tt/3yCpkkz
No comments:
Post a Comment