富士通クラウドテクノロジーズ株式会社は5月16日、FJcloud-V及び国産パブリッククラウド「ニフクラ」の一部のロードバランサーへの不正アクセスについて発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】クラウド環境で使われているロードバランサーに不正アクセスがあったことについて発表されています。ロードバランサーの不正アクセスに悪用された脆弱性の内容や、クラウド事業者がセキュリティを担保するための取り組みについて説明します。
今回のインシデントは、コントロールパネルやAPIへのアクセス情報や、ロードバランサーを経由する通信情報、ロードバランサー上の顧客証明書データを窃取された可能性があるということです。原因として、装置メーカーから公表されたロードバランサーの脆弱性の悪用と、多層防御の一部設定不備が挙げられています。
対策として、情報を窃取された可能性のある顧客に対し、本件の案内と対処の依頼を実施しています。さらに、本脆弱性を回避するための設定をロードバランサーに実施し、インターネット側のネットワーク機器においてアクセス制御を実施しています。また、緊急対策チームを設置し、さらなる被害状況の調査と対策を進めているということです。
今回のロードバランサーで発見された脆弱性に対する多層防御は、ロードバランサーとは別のシステムでセキュリティ対策が行われていたことが考えられます。理由として、ロードバランサーの脆弱性を修正するために時間がかかることが挙げられます。
例えば、Aさんが料理をしていて、やけどをしてしまったとします。やけどを治すためには、薬を塗って患部を保護することが必要ですが、応急処置として、とりあえずやけどした個所を水で冷やそうとするのではないでしょうか。それは、ケガを治すために必要な対応に時間をかけていると、さらにケガの被害が広がってしまうことが考えられるため、まずはすぐにできる対策が求められます。脆弱性の多層防御でも同じ目的で実施されることがあります。
ロードバランサーとは、大量のアクセスが想定されるシステムに対し、複数のサーバへアクセスを振り分け、不可を分散するためのシステムです。サーバに代わりアクセスをいったん受け付け、あらかじめ設定した基準に従ってアクセスを振り分けます。主にWebアプリケーションなどの公開サービスで使用されているため、ロードバランサー自体はインターネットに公開されていることが多く、脆弱性があった場合は直ちに悪用されてしまう可能性があります。
今回の脆弱性は、ロードバランサーのステータス情報を取得したり、設定を変更したりするための機能に認証回避の脆弱性が存在していました。脆弱性を修正するためには、一般的にロードバランサーのアップデートが必要とされますが、その際にシステムの動作に影響が出ないかテストをするために、一定の時間を要することが考えられます。
そこで、ロードバランサーとは別のセキュリティ対策で、脆弱性を突くアクセス自体をロードバランサーに到着する前に遮断することが考えられます。例えば、ファイアウォールで脆弱性のあるサービスへのアクセスを遮断したり、IPSで脆弱性の攻撃パターンを検知して遮断したりすることが、脆弱性自体の修正に加えて、多層防御として考えることができます。
クラウド事業者のセキュリティ対策として、IT標準の順守と責任共有モデルが挙げられます。AWSの事例を引用して説明します。
AWSが遵守するIT標準は、グローバルのIT標準だけでも、ISOやPCI DSS、SOCなど11種類のセキュリティ要件を満たしているということです。その他にも、アメリカ、アジア、欧州、中東、アフリカの各国で、特定の業界や機能向けの目的を持ったセキュリティ要件も含まれています。これらが、第三者である監査人によって査定され、認証されていることを公開することで、利用者に安心と安全を提供していると言えます。
また、利用者と共にセキュリティを担保していこうという試みに、責任共有モデルという考え方があります。クラウドサービスの責任共有モデルとは、クラウド事業者と利用者がクラウドサービスで責任を負うべき範囲を可視化したものです。双方の役割を可視化して共有することで、インシデントの未然防止という共通目標の達成を目指していきます。
例えば、AWSの責任共有モデルの説明として、AWSの責任はクラウド「の」セキュリティとしている一方で、利用者の責任はクラウド「における」セキュリティとしています。もう少しわかりやすく具体的にSaaSの例で説明すると、物理、インフラ、ネットワーク、アプリケーションの責任はクラウド事業者が責任を負う一方で、データの保護やSaaSの設定回りは利用者の責任であるとされています。
今回は、クラウド事業者で発生したインシデントの内容と、セキュリティを担保するための取り組みについてお届けしました。クラウドの利用は不可避の時代になりましたので、今一度、クラウドセキュリティを見直すきっかけにしていただけましたら幸いです。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ