見出し画像

2023年のCloudセキュリティトレンド

Orca Security Japan公式アカウント

皆様こんにちは! 今年も残り3週間ですね。この記事では新年の準備も兼ねて2023年のCloudセキュリティのトレンドを整理したいと思います。


感染症をはじめ昨今の不確実性はまだまだ継続する模様ですが、お客様のCloudへの投資は引き続き加速すると考えられます。

Garter社の調査結果では世界のPublic Cloudへの投資額が2022年の494.7Bドルに対して2023年は600Bドルに上ると予想されているようです。

つまりこれは攻撃者はますますCloudに特化した攻撃手法や経路を編み出してあの手この手でCloud環境に保管されているお客様の重要資産を搾取しようと加速することを示唆しています。


本年9月にOrca Securityのリサーチチームが公開した2022 State of Public Cloud Security Reportでは、多くのお客様がCloudセキュリティを最優先課題の1つと認識されている一方で、機密情報は暗号化することやMFAをかける等多くのお客様で基礎的な対策が欠如している実態が明らかになりました。

先ず引き続きCloud環境の設定ミスはほぼ全てのお客様にとって頭の痛い課題と言えます。例えばAWS RDSのSnapshotをうっかりInternetに公開していて、Snapshotに保管されている機密情報が流出してしまったといった事故は枚挙に暇がありません。

RDSの例はほんの1部ですが、Cloud環境で発生するインシデントの90%以上は、NetworkやSecurity、IAM等何らかの設定ミスが原因で発生していることも先に触れたReportで明らかになっています。

既知の脆弱性対策も重要です。80以上の攻撃経路は既知の脆弱性から始まることが判明しています。さらにOrca Securityがお客様のCloud環境で発見した攻撃経路は平均してわずか3ステップで重要資産に到達できてしまうことも判明しています。


お客様がどんな業種業態や企業規模であっても、CloudセキュリティのShare Security Modelは今後も変わりません。この大前提を今一度強く意識すべきです。”Cloudプロバイダに自社の資産を預けているのだからセキュリティ対策もCloudプロバイダの責任”との認識は大きな間違いです。

Cloudセキュリティはリスクの1部をCloudプロバイダに委任しているだけで、自社の資産に対する最終的な責任はお客様にあります。脆弱性を修正するPatchをいつどこまで適用すべきかの最終判断はお客様が下すべきですね。


Orca Securityは昨今の不確実な世界情勢はCloudセキュリティに2つのパラダイムシフトをもたらすのではと予測しています。

先ずは集約です。多くのお客様が現在ご運用されているセキュリティツールの数を減らして、よりCapex/Opexが小さく効果の大きいセキュリティツールの導入をご検討し始めると考えています。

もう1つは優先順位付けです。Orca Securityの調査結果では、半数以上のセキュリティチームは1日に500以上のAlertに対応していてそのうちのほとんどのチームが重大なセキュリティインシデントに繋がってしまったAlertを見逃していることが判明しています。

おそらく多くのお客様が複数のセキュリティツールをご運用されており、個々のツールが日々大量のAlertを吐き出していると推測しています。1口にAlertと言っても全てが同じ重要度であることはありえませんね。


Cloudのユースケースにおける変化も2つの顕著な事象があるかと考えています。1つ目はMulti-Cloudです。複数のCloudプロバイダを併用することでLock-inや囲い込みを排除できるばかりではなく、適材適所によるROIの最大化も図ることができます。

極端な例ではCloudプロバイダをスイッチしたことで80%のCost削減に繋がったケースも出てきています。

2つ目はAPIのリスクです。"APIs are eating the world"な昨今、多くのApplicationがMicroservice化され重要資産はAPIを介してやり取りされるようになりました。

ApplicationはCI/CDで継続的にCloud環境にDeployされるため、Software開発者はどんなAPIがいつDeployされているのかを完全に把握することは困難で、Zombie APIやShadow APIがCloud環境に放置されているのではないでしょうか。

当然攻撃者はこの放置されたAPIを介してお客様の重要資産を不正に搾取しようと企てています。


皆様のCloud環境をOrca SecurityでスキャンしてCloudのリスクを明らかにしませんか? 30日間無償でお手伝い致します。

https://orca.security/lp/cloud-security-risk-assessment/



この記事が気に入ったらサポートをしてみませんか?