クラウドセキュリティの悩みの種である認証情報の漏洩

2021.03.25

compromised-credentials-are-bane-of-cloud-security

2021年3月23日、Mike Vizard

市場調査会社であるCensuswideが米国の150人のIT意思決定者を対象に実施した調査によると、クラウド環境に対する攻撃の10分の9は特権認証情報の漏洩に関係しています。

回答者の65%はクラウド環境が攻撃を受けたことを知っており、そのうちの80%はクラウド環境が実際に侵害されたことを認めています。

特権アクセス管理ツールのプロバイダであるCentrifyが主催したこの調査からは、広く導入されているネットワーク管理アプリケーションにマルウェアが埋め込まれていた多くの有名なセキュリティ侵害によって、多くの企業がソフトウェアサプライチェーンの完全性をかなり懸念している時期の認証情報の状況が判明しています。

この調査からは、どのようなクラウドを使用しているかにかかわらず、セキュリティの問題が懸念されていることが判明しています。回答者の約半数（45%）はプライベートクラウドを構築しており、約3分の1（31%）はハイブリッドおよびマルチクラウド環境を使用しています。また、約4分の1（23%）はパブリッククラウドのみを使用しています。

この調査によると、マルチクラウド環境の管理（36%）がクラウドへの移行の最大の課題であり、セキュリティリスク（22%）、クラウドへの移行（22%）、およびコンプライアンスの維持（19%）が続いています。

攻撃者が認証情報を標的としている主な理由は、IT部門がオンプレミスのIT環境にこれまで導入してきた管理の多くがクラウド時代には利便性の名の下に放棄されているためです。自分のインフラストラクチャをプロビジョニングするアプリケーション開発者だけでなく、企業に直接雇用されていなくても、クラウドサービスにアクセスできる個人もかなり増加しています。さまざまなコンサルタントがクラウドアプリケーションとそのインフラストラクチャに簡単にアクセスできる認証情報を所有していることはよくあります。

さらに困難なことはクラウドサービスの誤設定がよくあることです。Terraformなどのツールを使用して、インフラストラクチャをコードとして管理する開発者が、クラウドリソースを日常的に誤設定しているため、現在、攻撃者は複数のクラウドをスキャンできるようになっています。DevSecOps（開発、セキュリティ、運用）の台頭によって、多くの企業は、ようやくこの問題に対処し始めていますが、依然として初期段階にあります。多くのDevOps（開発と運用）プロフェッショナルは、アプリケーションの開発および導入速度を何よりも重視する傾向があるため、何年もセキュリティ管理を回避しています。現在、シニアITリーダーはソフトウェアサプライチェーンのプロセスをエンドツーエンドで見直すことを求められているため、この問題は顕在化しています。

一般的に、このような見直しは、かなり以前から行われています。新しいアプリケーションを可能なかぎり迅速に提供することは立派なビジネス目標です。しかし、この目標を達成するためのコストがセキュリティ侵害であるとすると、ほぼ間違いなく、このような見直しの意義は失われます。セキュアではない優れたアプリケーションなど存在しません。

近い将来、セキュリティはQA（品質保証）プロセスがさらに自然に発展したものになるでしょう。その間、セキュリティ部門は社内のアプリケーション開発者と有意義な協力関係を築く方法を見いだす必要があります。開発者のほとんどはマルウェアに感染したクラウドアプリケーションを意図的に導入しようとしていません。しかし、自分で管理できなくなった認証情報によって、アプリケーションがどれほど簡単に「沈没」する可能性があるかをよく理解していません。

原文はこちら：

Compromised credentials are bane of cloud security

March 23, 2021 Mike Vizard

https://blog.barracuda.com/2021/03/23/compromised-credentials-are-bane-of-cloud-security/