第24回見えにくいが見つけやすいクラウドの誤設定

クラウド上の情報は本当に安全？

クラウドの活用は企業にとって大きなメリットをもたらします。クラウドにはIaaSやSaaSなどのさまざまなサービスがあり、インフラの柔軟な拡張やコスト削減、リモートワークの推進などにも不可欠な要素といえるでしょう。

重要なシステムや情報がクラウド上にある今、クラウドサービスは攻撃者が注目する主要な攻撃ターゲットの一つです。クラウドに対する攻撃手法にはさまざまなものがありますが、特に「設定ミス（誤設定）」が原因で、機密データが漏洩した事例は後を絶ちません。

今回は、攻撃者の視点で見たクラウドの盲点と、誤設定によるリスクを最小化するための対策について考えてみましょう。

誤設定は“見えにくい”が、攻撃者にとっては“見つけやすい”

クラウド上のストレージやデータベースを「特定の誰かだけに公開する設定にしていたはずが、全世界に公開される状態になっていた」という事故は珍しくありません。AWS（Amazon Web Services）のAmazon S3をはじめとするクラウドストレージやクラウドの管理コンソールへのアクセス権限の設定ミス、想定外の公開範囲設定は、攻撃者にとって絶好の標的となります。

攻撃者はスキャンツールを用いることで、インターネット上で公開されているリソースを継続的に探し出し、わずかなヒントから認証情報やデータを盗み出します。担当者にとってはささいなミスだったとしても、攻撃者には宝の山として映っているのです。

クラウドは柔軟にアクセス権限を設定できる反面、構造が複雑なため、意図せず与えすぎた権限が裏目に出てしまうことがあります。“とりあえず”付与した高いアクセス権限は、そのまま攻撃者の侵入経路になり得るのです。そして、そこを足掛かりにシステム全体に影響を及ぼす脅威となる可能性があります。

利用者はどこまで責任を負うのか

クラウドサービスの運営はクラウド事業者が行いますが、すべてのセキュリティの責任を事業者が負うわけではありません。「責任共有モデル」という概念があり、クラウド事業者が責任を負う部分と、利用者が責任を負う部分が明確に定義されています図1 。

図1 責任共有モデル

一般的にクラウド事業者は基盤となる部分の保護などを担い、利用者はアプリケーションやデータの保護、認証やアクセス制御の設定管理を担うというモデルが基本です。攻撃者はこのモデルを理解した上で「利用者が設定や権限管理を怠っている部分」を集中的に狙います。クラウドを利用しているからといって、自動的に安全になるわけではないのです。

クラウドには安全な推奨設定がある

クラウドの安全な推奨設定として、CIS（Center for Internet Security）が公表している「CIS Benchmarks」というガイドラインがあります。このガイドラインには、AWSやMicrosoft Azure、GCP（Google Cloud Platform）などのクラウドサービスごとに、セキュリティ上望ましい設定項目を網羅したベストプラクティスがまとめられています。例えば、以下のようなチェック項目が挙げられます。

クラウドの誤設定を自動的に検知し、セキュリティリスクを可視化する「CSPM（Cloud Security Posture Management：クラウドセキュリティ態勢管理）」と呼ばれるソリューションもあります。クラウドを定期的にチェックし、以下のようなポイントをアラートやレポートで示してくれます。

CSPMのようなソリューションを使うことで、環境の拡大やサービスの追加、利用者の増加などが起きた状況でも、手作業では追い切れなくなる設定ミスを早期に発見しやすくなります。

クラウド設定の対策ポイント

クラウドサービスによって、設定すべき項目や名称などは異なりますが、どのクラウドにも共通する対策のポイントは、以下のとおりです。

クラウドサービスは強固なインフラを提供してくれますが、データやアプリケーションのセキュリティ設定は利用者が責任を持って行うことが前提となります。クラウドの大きな魅力である柔軟性や拡張性を生かすためにも、誤設定や権限の乱れを防止し、絶えず改善していく体制づくりが重要です。

（「SKYSEA Client View NEWS Vol.101」 2025年4月掲載）