Capital Oneが最近受けたデータ窃取・侵害では、14万人の社会保障番号と8万件の銀行口座番号を含む、1億600万人分の機密情報が漏えいしました。単独実行犯は、クラウドベースのSaaSアプリケーションに存在する、よく知られた脆弱性(ウェブ・アプリケーション・ファイアーウォール(WAF)の不適切な設定)を悪用しました。
FBIの刑事告訴状によると、ハッカーは「Torの出口ノードを発信源に、Capital Oneのサーバーに対して多数の接続または接続の試行」を行いました。言ってみれば、未施錠のドアを見つけるまで、ドアを次々とノックして回ったということです。
ファイアーウォール内部に侵入後、ハッキングツール全体に送られたコマンドはわずか3つでした。1つ目でCapital Oneのフォルダへのアクセスに必要なセキュリティ認証情報を窃取し、2つ目でフォルダの内容を一覧表示し、3つ目でデータを抽出しました。しかし、鍵となる脆弱性は最初に見つけた未施錠のドアでした。
企業がクラウドやSaaS技術に移行していますが、残念なことに、不適切な設定のクラウドサービスやアプリケーションが、未施錠のドアを数多く残しています。私は最近の「16 Minutes」ポッドキャストで、企業が「推移する信頼関係」から「ゼロトラスト・セキュリティ」に移行する重要性について取り上げました。この投稿では、企業がクラウドやSaaS技術に移行する際に、セキュリティ・スタートアップが単独のコントロールプレーンの下でクラウド設定を管理することで、どう役割を果たせるのかを説明します。
新しいセキュリティの脅威:不適切な設定
オンプレミスのソフトウェアであれば、セキュリティ侵害の一般的な原因は、セキュリティ認証情報の窃取やソフトウェアパッチの未適用です。例えば2017年にEquifaxが受けたハッキングでは、ソフトウェアパッチが未適用であったことから、ネットワークがハッカーに侵入されました。今日、クラウドベースのソフトウェアではソフトウェアパッチの自動適用機能の普及が進んでおり、脆弱性が低下しています。
Capital Oneへの侵害では、企業に対する新しいセキュリティ上の懸念が明るみに出ました。すなわち、不適切または範囲の広すぎるアクセス権限に基づく設定をした、クラウドベースのソフトウェアです。Capital Oneでは、権限の強すぎるシステムアカウントを通したネットワークアクセスによりSSRF( サーバ・サイド・リクエスト・フォージェリ)攻撃が可能となり、ハッカーはストレージサービスを欺瞞して、バケットからあらゆる保管データを取得することができました。バケットとは、クラウドにオブジェクトやそのメタデータを保管するための、非常に単純なコンテナとして利用できる、ファイル・フォルダです。
クラウドとSaaSの時代、企業のセキュリティを保護するには、まず初めに、適切なアクセス権限と設定を異種混合のソフトウェア群に対して適用し、保守する必要があります。クラウド・SaaSベンダーは、各サービスの安全性を高めることに取り組んでいますが、今日の企業はマルチクラウドの環境に置かれており、SaaSツールとアプリケーションの数が増えています。
今日、企業はクラウドの設定の管理を、個別のツールやアプリケーションごとに行っています。これは、スタートアップがクラウドベンダーを横断するセキュリティサービスを提供するチャンスです。
セキュリティ・スタートアップを「機能の砂漠」から救い出す
クラウドセキュリティ・スタートアップ、特にCASB(クラウド・アクセス・セキュリティ・ブローカー)の多くは、共通のパターンを見せています。顧客とのやり取りを通し、クラウド・プロバイダ単独ではまだ提供されていない、単独のセキュリティ機能または機能のセットを見つけ出します。AWSやAzureを深く掘り下げ、特定のセキュリティ・コントロールなどの機能を追加して顧客に販売します。しかし、スタートアップが特定のクラウドベンダーを対象とする機能Xで価値を提供でき、顧客の需要がある場合、クラウドベンダーもいずれは同じ物をネイティブに提供するでしょう。
クラウドベンダーには、セキュリティ機能やセキュリティ・コントロールを、自社の専有的なプラットフォームに追加する動機があります。例えばAWSには、S3バケットが公開状態になった時に通知してくれる機能があります。しかし、Google CloudやAzureのセキュリティを管理するコンソールはありません。従って、企業はクラウド・プラットフォーム内でセキュリティを管理することはできますが、複数のクラウド・プロバイダを対象にセキュリティ機能を一手に管理し、不適切な設定を発見できるツールを持ち合わせていません。また、こうしたツールを提供する動機もありません。
よって、セキュリティ・スタートアップは開始点として、単独のクラウドベンダーを深く掘り下げるよりは、システム全体に目を向け、クラウドインフラ全体にわたる脆弱性の検出や継続的な設定の管理を一手に担う、コントロールプレーンを企業に提供することに重点を置く方が得策といえます。
企業のセキュリティにとって、侵入を継続的に監視し評価することも重要ですが、設定の包括的な分析を行うサービスがセキュリティ市場に欠けていることは注目に値します。単一のコンソールの下で、セキュリティ設定の調整が必要な箇所を特定できれば、クラウドインフラ全体のセキュリティを一元的に強化できます。クラウドインフラを要塞化し、常に一貫性のある設定を維持できるようになったら、次の仕事としてコンプライアンスに取り組みましょう。
一元管理プラットフォームの市場機会
クラウドベースのツール群を適切に設定する負担を負うのは、ベンダーではなく顧客です。事実、ガートナーの予測では、2023年までに、クラウド・セキュリティ関連の失敗の99%が、顧客が原因で発生するようになるとあります。この市場課題を解決するソリューションを提供する機は熟しています。なぜなら:
- 企業がマルチクラウドへの移行や、SaaSアプリケーションへの投資を進めており、クラウドの設定が複雑化し、管理する設定項目が増えています。
- APIが普及し、複数のクラウドプラットフォームやアプリケーションとの接続が容易になっています。
- ボトムアップ型の製品採用により、スタートアップが企業に入り込みやすくなりました。セキュリティ・スタートアップは、設定方法を提案するレポート機能付きの一元的な即時スキャンなど、どのユーザーにとってもシンプルで魅力的な機能を持つ製品を構築することで、経営陣に対して価値を示すことができます。
- 新しい世代のCSOが大企業の経営に関わり始めていますが、多くは会社のクラウド化を促進することに取り組んでいます。これに加え、セキュリティツールを購入する予算も持ち合わせています。情報セキュリティ市場の規模は昨年、単独で1140億ドルを突破しました。さらに、企業にとってセキュリティに値段を付けることが難しくなっています。失敗した場合の代償が非常に大きいものだからです。Bank of AmericaのCEO、Brian Moynihanが2015年、セキュリティに予算の制限を設けないと発言しているほどです。
- クラウドベンダーは、これまでにないペースで、新しいセキュリティ機能を追加しています。こうしたサービスの成熟化が進むと、マルチクラウド環境の企業は、セキュリティ機能を管理するためのプラットフォームが必要になるでしょう。
クラウドの不適切な設定とSaaSへの影響
企業はクラウド化の推進を望んでいますが、Capital Oneが受けたような侵害事案がそれを阻んでいます。クラウドはすでにインフラの変動費となっており、セキュリティ侵害のリスクを増大させています。そのため、金融サービスやクリティカルなインフラにおいて、クラウドの普及が鈍化する兆しが既に見られています。米国防総省は、AWSとの100億ドル規模のクラウド契約であるJEDIへの取り組みを再検討しており、一方で連邦準備制度理事会は、クラウドに金融データを保管する方針を見直しています。
SaaSやクラウドを導入した企業は、インフラをリアルタイムに提供し、顧客サービスやデジタル体験への新しい需要に対応することができます。しかし、こうしたテクノロジーがセキュリティ上の問題を伴う限り、企業にとって新しいパラダイムを導入する能力は、そこでのセキュリティを確保する能力に制約を受けます。クラウド設定を適切に行うためのアイデアがあれば、是非ご連絡ください。
著者紹介
記事情報
この記事は原著者の許可を得て翻訳・公開するものです。
原文: The Next Generation of Cloud Security Startups (2019)
