fbpx

増加するクラウドの設定ミス:2021年クラウドセキュリティレポート #aqua #セキュリティ #クラウド #CSPM #レポート

AquaSecurity

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

本ブログは「Aqua Security」社の技術ブログで2021年6月2日に公開された「 Cloud Misconfigurations on the Rise: 2021 Cloud Security Report 」の日本語翻訳です。

増加するクラウドの設定ミス:2021年クラウドセキュリティレポート

不十分なアクセス制限、制限が不十分なストレージポリシー、公開されたリソースなどは、企業がクラウドインフラを構成する際に犯してしまうミスのほんの一部に過ぎません。この問題の規模は非常に大きく、90%の組織がクラウドの設定ミスによりセキュリティ侵害の危険にさらされています。Aqua のクラウドセキュリティレポートでは、実際の運用環境で最も一般的なクラウド設定の問題点に焦点を当てています。

クラウド構成のリスクを明らかにする

クラウドの導入が急速に進んでいる中で、企業は気をつけなければならない設定の数の多さに圧倒されています。1つのサービスであっても、ユーザ、ロール、パーミッションに加えて、他サービスとの接続のオン/オフなども含まれます。これらの設定はそれぞれ、組織の全体的なセキュリティ対策に一定の影響を与えます。

そして、環境の複雑さは常に激化しています。企業はクラウドのリソースを拡大したり、ハイブリッドやマルチクラウド化したり、新しくリリースされたサービスを採用したりしています。

Aqua の調査チームは、12ヶ月間にわたり数百の組織の実際の本番環境から得られた匿名化されたクラウドインフラストラクチャのデータを分析しました。「2021 Cloud Security Report: Cloud Configuration Risks Exposed」では、マルチクラウド環境への移行に伴うリスクをより深く理解するための洞察と、それを軽減するためのベストプラクティスに関する推奨事項を提供しています。

では、このレポートから得られた重要なポイントは何でしょうか。

組織はセキュリティ問題をより早く解決する必要がある

大多数の企業は、クラウドの設定ミスの問題をタイムリーに解決できていません。クラウドの普及に伴い、特に大企業であるほど、際限なく増えていくセキュリティ問題の指摘に圧倒されがちです。当社の調査では、中小企業の場合、構成上の問題が発見されてから修正または解決までに平均で約75日かかっているのに対し、大企業の場合は平均で88日でした。

ストレージの設定ミスは依然として大きな問題

クラウドストレージは、著名な情報漏えい事件が定期的に報道されているため、引き続き注目を集めています。通常このような事態は、サービスを管理する管理者が何らかのセキュリティ設定を誤ったために、一般に公開された状態となってしまうことで起こります。調査した環境の82.4%が「インターネットに公開されている」問題を抱えていました。つまり、クラウドストレージが世界中に公開されているため、組織は情報漏えいの影響を受けやすくなっています。

クレデンシャル情報の取り扱いにはより注意が必要

悪意のある攻撃者は、クラウドの認証情報を取得するための手法を常に刷新していますが、分析した組織の74%は認証情報のローテーションを実践しておらず、そのほとんどが未使用の認証情報に関する問題を少なくとも1つは抱えていました。

広範囲に及ぶクラウドの誤設定問題は、Docker コンテナや Kubernetes にも影響を与える

侵入者は、お客様の環境へ最初にアクセスするため、脆弱なコンテナ関連サービスを悪用しようとする傾向が強まっています。

レポートによると、40%以上のユーザが少なくとも1つの Docker アプリケーションプログラミングインタフェース(API)の設定ミスを抱えており、その修正には平均で65日を要しました。また、Kubernetes に関しては、ACL やネットワークポリシーに問題のあるユーザが数名見つかりました。それらの問題のほとんどは、平均して65日以内に修復されました。

まとめ

クラウドインフラは複雑で、適切に設定するのが難しく、今回見たようにクラウドの設定を1つ間違えるだけで、深刻な問題に発展する可能性があります。良いニュースとしては、84%のユーザが複数のクラウドにまたがるセキュリティリスクの追跡と修正を自動化するクラウドセキュリティポスチャマネジメント(CSPM)ソリューションを使用して、設定ミスの問題を検出し、修正できたと回答しています。

クラウド構成に関する調査結果とベストプラクティスの詳細については、「2021 Cloud Security Report」をダウンロードしてください。

New call-to-action

新規CTA