CSA、クラウドセキュリティの阻害要因トップ11を特定

2022年6月20日、Mike Vizard

クラウドセキュリティアライアンスは、業界の専門家700人を対象とした調査に基づき、クラウドセキュリティに対する脅威のトップ11を発表しました。

そのレポート「クラウドコンピューティングの重大脅威: パンデミック11」では、11の脅威を以下のように特定しています。

1. ID、クレデンシャル、アクセス、キーの管理不行き届き
2. 安全でないインターフェースとアプリケーションプログラミングインターフェース（API）
3. 誤設定と不適切な変更管理
4. クラウドセキュリティアーキテクチャおよび戦略の欠如
5. 安全ではないソフトウェア開発
6. 安全性が確保されていないサードパーティリソース
7. システムの脆弱性
8. クラウドデータの漏えい事故
9. サーバーレスやコンテナのワークロードの誤設定と悪用
10. 組織犯罪／ハッカー／高度持続的脅威（APTs）
11. クラウドストレージのデータ流出

総合的にみれば、クラウドセキュリティがいかに大きな懸念材料かは明らかです。しかし、今後もクラウドに移行するワークロードの数は増え続けるでしょう。となれば、クラウドセキュリティの侵害の規模と範囲が指数関数的に拡大するのは時間の問題です。

しかし、クラウドセキュリティに対する11の脅威をさらに詳しく見ると、安全性に欠けるのはプラットフォームというより、その採用方法であることが明らかになります。サイバーセキュリティの専門知識をほとんど持たない開発者がガードレールもないクラウドインフラストラクチャを直接プロビジョニングすることを、今なお組織は許可しています。開発者がミスを犯す可能性は非常に高いのです。

クラウドサービスを設定する開発者に、セキュリティの確認などいっさいせずにTerraformのようなツールを使ってよいと許可することで生産性が向上するという考えもありますが、実際には、そのようなリスクをおかすほどの見返りはありません。開発者がアプリケーションやクラウドインフラをセキュリティレビューなしに提供することを許可している組織は、法廷で争えば、顧客の利益を無視した無謀な行為であるとすぐに判断されるでしょう。弁護士なら誰でも知っているように、無謀という言葉が使われたとたん、罰則が数百万ドル単位に跳ね上がるのです。

もちろん、どんな論争にも二つの側面があります。すべての行動には、等しく逆の反応があるのです。開発者が初めてクラウドを提唱したとき、多くのサイバーセキュリティ専門家はリスクが高すぎると判断しました。しかし、開発者と協力してプラットフォームのセキュリティ確保に必要なプロセスを定義するよりも、傲慢なサイバーセキュリティ専門家は、単にノーと突っぱねたほうがラクだと思ったのです。ほどなくサイバーセキュリティ専門家は、ノーという意見を押し通せるほどの政治的資本が残念ながら自分たちにはないと気づくのでした。出走ゲートは開け放たれ、当然のことながらサイバーセキュリティのカオスが広がったのです。

今日、クラウドの安全性確保は大いなる覚醒のさなかにあります。米バイデン政権が発令した大統領令により、あらゆる規模の組織がソフトウェアのサプライチェーンの見直しを迫られているのです。もはや無視できない根本的な問題があると、誰の目にも明らかになりました。サイバーセキュリティの専門家と開発者は今、互いに妥協できるようなDevSecOpsのベストプラクティスを見つけなくてはなりません。アプリケーションの安全性を担保しつつ、その開発スピードも落とさないようなベストクラクティスです。今にして思えば、最初からそれを目指すべきだったのです。クラウドセキュリティの課題と、今再びめぐってきたコラボレーションの機会を前向きにとらえ、意味のあるクラウドセキュリティを実現するために、新たなスタートを切るのです。そうしなければ、必ずや大変動が起こるでしょう。

原文はこちら
CSA identifies top 11 cloud security impediments
June 20, 2022 　Mike Vizard
https://blog.barracuda.com/2022/06/20/csa-identifies-top-11-cloud-security-impediments/