ESETはこのほど、「The 7 deadly cloud security sins and how SMBs can do things better」において、中小企業が間違えがちなクラウドセキュリティに関する7つのポイントを解説した。クラウドはコストを抑えて迅速にサービスを提供できるため、中小企業に人気があり、53%がクラウドに年間120万ドル以上を費やしているとされる。クラウドの利用にはセキュリティ上のリスクが存在するため、中小企業にとってはリスクの克服が課題となる。
-
The 7 deadly cloud security sins and how SMBs can do things better
クラウドセキュリティの間違いトップ7
ESETの調査における中小企業が間違えがちなクラウドセキュリティの7つのポイントは次のとおり。
多要素認証(MFA: Multi-Factor Authentication)を導入していない
従来の静的パスワードは本質的に安全ではなくなっている。パスワードはフィッシング、ブルートフォース攻撃、推測など、さまざまな方法で突破される可能性がある。このため、安全な認証を維持するには多要素認証を導入する必要がある。可能であればパスキーのような新しい認証方式の導入が推奨される。
クラウドプロバイダーへの過剰な信頼
多くのIT部門の担当者は、クラウドへの投資を信頼できるサードパーティにすべてをアウトソーシングすることだと勘違いしている。実際はクラウドを保護するための責任共有モデルが存在し、クラウドプロバイダーと顧客の間で責任を分担することになる(参考:「Cloud security guidance - NCSC.GOV.UK」)。責任の比重はそのサービス形態とクラウドプロバイダごとに異なる。
バックアップをしていない
クラウドプロバイダーのストレージを過信しない。常に最悪のシナリオを想定し、障害やサイバー攻撃に備えて計画する。データの消失だけではなく、ダウンタイムの影響も考慮する。
定期的にパッチを適用していない
オンプレミスと同様にクラウドにおいてもパッチの適用は重要。パッチを適用しないと脆弱性を悪用される可能性がある。
クラウドの構成ミス
クラウドプロバイダーは先進的集団だが、顧客の要求に応じてリリースされる膨大な新機能により、信じられないほど複雑なクラウド環境が構築される可能性がある。よくある間違いは、サードパーティがアクセスできるようにクラウドストレージを構成したり、開いているポートを塞いだりすること。
クラウドトラフィックに関心がない
早期に侵害の兆候を発見し、影響が出る前に攻撃を阻止するには迅速な検出と対応が重要。このため、クラウド環境においてもトラフィックの継続的な監視は必要。
機密情報の平文運用
クラウド環境においても侵害を完全に防げない。このため、機密情報は保存時、および転送中に必ず暗号化する必要がある。
クラウドの適切な利用
クラウドを利用するときは、セキュリティリスクを意識して適切に運用することが求められる。ESETはその最初のステップとして、クラウドプロバイダーと顧客の責任を明確にすることが重要と説明している。その上で、クラウドが提供するセキュリティ機能をどこまで信用するか、追加のサードパーティのセキュリティソリューションでどこまで強化するかを検討し、システムを構築する。
基本的にクラウド利用時に考慮すべきセキュリティ要件は、オンプレミスのシステム運用時のベストプラクティスと同じとされる。最後に、ESETは最も重要なこととして、クラウドセキュリティの責任は、プロバイダーだけではなく顧客にも存在することを忘れないでほしいと述べており、顧客企業による積極的なクラウドセキュリティの強化を促している。
