近年、顧客管理システムや経理システム、メールや文書等の社内情報システム等、あらゆる機能がクラウド化されており、企業でのクラウドサービスの利用が一般的になってきています。一方でクラウドでの情報漏洩の事例も多く報告されており、その原因の多くにユーザーによるクラウドの設定ミスやアクセスキーなどの不適切な管理が挙げられます。
クラウドサービスは便利な反面、ユーザーがコンソールにて実施できる設定が、多岐の機能、リソースに渡っており、一部複雑な設定なども存在します。さらに、各種機能のバージョンアップも日々活発に行われており、利用可能な機能や設定項目が日々追加・更新されます。
そうした中で、クラウド環境を管理する技術者にも相応の知識が求められます。 セキュアにクラウド製品を設定するには、このようなクラウド製品の知識やスキルに加えてセキュリティに関する知識も必要となり、こうした問題を難しくしている一因と言えます。
実際の情報漏洩事例を元に原因を見ていきましょう。
二要素認証やアクセス元制限などを行わない事でインターネットから不正ログインされ、情報漏洩や不正操作に繋がります。
Amazon S3等のストレージの権限設定に不備があると、情報漏洩に繋がります。
S3同様にRDSがグローバルネットワークからアクセス可能であったり、権限設定に不備があると情報漏洩に繋がります
アクセスキーを生成し、ソースコードに直接書いていたりした場合、ソースコードが漏洩したり、PublicなGitHubリポジトリに格納したりされていると、アクセスキーが漏洩し、不正アクセスされる事で、情報漏洩や不正操作に繋がります。
秘密鍵をKMS(鍵管理システム)を用いずにEC2などの仮想マシン上に保管しておくと、仮想マシンが不正アクセスを受けたり、マルウェアに感染した場合などに攻撃者に鍵が漏洩し、情報漏洩や不正操作に繋がります。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
