クラウドの脅威、法規制、そしてベンダーのリスク対策
クラウド サービスを使いこなす企業が増えるに伴い、クラウドへの信頼が高まり、サービス利用率は増加しています。その結果、サイバー犯罪者がクラウドに目を付けることもまた、避けられなくなります。クラウド ストレージやクラウド プロセスへ移行される機密データや社外秘データの量は増えていますが、大多数の企業は、今後も最重要データを自社データセンターに保管すると予測されています。実際には、その方がリスクは高いかもしれません。セキュリティ リソースの奥行きと幅が共に広がっているため、プライベート クラウドよりもパブリック クラウドの方が安全であることはほぼ間違いありません。
McAfee Labsの専門家が将来的なクラウドの脅威、法規制、またベンダーの対応について議論した内容をMcAfee Labs 2017年の脅威予測レポートにまとめました。重大な脅威として、旧式の認証システムを原因とするリスクの継続、クラウド ワークロードの可視性や管理の不足、現在の規制上の課題が挙げられています。
クラウドでも旧式の認証システムを原因とするリスクが発生
データ漏えいを招く最大の脆弱性は、将来的にも人的ミスとパスワードであることに変わりはありません。犯罪者は認証情報を盗み、見かけは正規アクセスとしてシステムに侵入するため、多くの場合、セキュリティ防御に検知されません。特に、クラウド システム管理者の認証情報を盗めば、大量の顧客データベースとワークロードにアクセスできることになります。総当たり攻撃やフィッシングなどのソーシャル エンジニアリング ベクトルによる、クラウド管理者アカウントを狙った攻撃が増加することが予測されています。セキュリティ ベンダーは、指紋認証だけでなく、虹彩、顔、心拍などの独特な要素を取り入れた新しい多要素認証や生体認証システムに対応するでしょう。
クラウド ワークロードの可視性と管理の不足
データやワークロードを移動できることはクラウドの大きなメリットですが、これに併せてリスクも高まります。データの行き先やワークロードの実行場所を管理できなければ、法規制を順守できず、データ漏えいの危険に曝されることになります。データの移動やワークロードを規制する機能は、まだまだ立ち遅れています。データ漏えい防止機能やポリシー連動ツールに強化されたクラウド認識が実装され、内部と外部のクラウド全体でセキュリティ管理とポリシーを適切に調節できるようになると予測しています。
現在の規制上の課題
恐らくクラウド サービスで最大の不確定要素は、使用実態と規制のギャップが拡大していること、そして国や地域間で法律が統一されていないことでしょう。この分野の技術変化に法整備が追いつけず、クラウドの個人情報やセキュリティ関連の法令では、「正当な注意義務」や「合理的な努力」などの文言が使われるようになると思われます。その結果、クラウド サービス プロバイダー、保険会社、さらにその顧客は、長年に渡り訴訟に悩まされるでしょう。国や地域によって、クラウド サービス プロバイダーに最低限の運営要件や監査要件しか課さないか、あるいはデータの移動そのものが規制されることが予測されています。こうした法の不一致や、場合によっては法の矛盾が、多国籍企業にとって大きな問題となり、一部の市場ではクラウドの導入が規制されるかもしれません。
上記の内容を含むより詳しいクラウドに関する予測については、McAfee Labs 2017年の脅威予測レポートをダウンロードしてください。
2017年度の脅威予測に関するインテル セキュリティ専門家の見解を得るには、こちらからご登録ください。(英文)
※本ページの内容は 2016年11月28日更新のMcAfee Blog の抄訳です。
原文: You Can Outsource the Work, but You Cannot Outsource the Risk
著者: Jamie Tischart(the CTO for Cloud/SaaS)
【関連記事】
McAfee Labs 2017年の脅威予測レポート
第8回:今だから学ぶ! セキュリティの頻出用語 : ソーシャルエンジニアリングとは?
第16回:今だから学ぶ! セキュリティの頻出用語 : フィッシング とは?
第21回:今だから学ぶ! セキュリティの頻出用語 : 多要素認証とは?
