要約 - 2022 State of Public Cloud Security Report

皆様こんにちは! Orca Securitry JapanチームのBlogをご覧頂き誠にありがとうございます。この記事では2022年9月公開された2022 State of Public Cloud Security Reportの要約をまとめています。

調査の結果多くの組織で基礎的なセキュリティ対策が欠如していることが発覚しました。以下は10の例です。

• 36%の組織が個人情報や健康情報等のPII(個人を特定する情報)を非暗号

• 攻撃経路の78%は既知の脆弱性を第一ステップとして利用

• 7%の組織はインターネットに接続された利用されていないWorkloadを運用攻撃経路の大半はわずか3ステップで企業の最重要資産に到達

• 33%の組織はRootアカウントをMFAなしで運用

• 72%の組織がPublicに公開しているS3バケットを1つ以上運用

• 12%の組織が漏洩済または極めて弱いポリシーのPasswordをInternet接続されている環境で利用

• 70%のk8k API ServerはPublicに公開

• 58%のSeverlessサービスは非推奨の実行環境で運用

• Alert検知〜復旧までの平均時間は18日

更に10%の組織は10年以上前に発見された脆弱性を放置していて、攻撃経路の78%は既知の脆弱性を起点に行われることが発覚しました。

Zero Dayのような未知の脆弱性による攻撃に備えるより既知の脆弱性を愚直に対処する方が大きなRisk軽減に繋がると言えますね。

予防の効果も見逃せません。33%の組織はAWS Rootアカウントを、58%のAzure RootアカウントはMFAが無効になっていることが分かりました。更に71%の組織がGCPのDefaultアカウントを利用していることが発覚しました。

GCPのDefaultアカウントは書き込み権限を持っており最小権限の原則から反しています。これらを対処することでAccount Take OverのRiskを軽減できますね。

設定ミスは最も頭の痛いCloudのRiskかもしれません。99%の情報漏えいはUserによる設定ミスが原因であることが分かりました。

更に掘り下げてみると、99%の組織がAWS ManagedのKMSを利用、79%の組織が90日以上経過したAccess Keyを保持、77%の組織がデフォルトのPortが空いたままのRDSを利用していることが発覚しました。

得てしてCloudのデフォルト設定はベストプラクティスになっていません。デフォルトを信用して使い続けるのは危険です。

シークレット(Password, API Key, Token)は重要資産が保管されたエリアへの鍵になるため厳密に管理されるべきです。

18%の組織が脆弱または漏洩したPasswordをInternetに接続した環境で利用、43%の組織がShell Historyに平文Passwordを記録、21%の組織が組織外で作成・管理されている認証鍵を利用していることが分かりました。

API KeyやTokenは使い終わったら削除する、Passwordは定期的に変更する等の愚直な運用が大切と言えます。

LateralムーブメントはRansomware被害の温床です。75%の組織がLateralムーブメントが可能なCloud環境を運用していることが発覚しました。

そのほとんどの組織が、複製/放置されたPrivate Keyを持っていたり、Hashではなく復元可能はPasswordを管理していることが判明しました。

組織の重要資産は最高水準のセキュリティポリシーで保護されるべきです。36%の組織がPII等の機密情報を暗号化しておらず、35%の組織が門外不出の機密情報をGitHub Public Repoに保持、6%の組織で2021年12月から2022年1月にかけて未対策のLog4j脆弱性を確認されました。

皆様のCloud環境をOrca SecurityでスキャンしてCloudのリスクを明らかにしませんか? 30日間無償でお手伝い致します。

https://orca.security/lp/cloud-security-risk-assessment/