シャドウ IT とクラウド・マルウェアが組織のリスクを高める

Shadow IT, Cloud-Based Malware Increase AppSec Risks

2021/07/26 SecurityBoulevard — Netskope の調査によると、クラウド・アプリにより配信されるマルウェアが増加し続けていることにより、クラウド・アプリのセキュリティ・リスクが引き続き高まっているという。この調査では、従業員の離職に伴い、重要なデータが流出していく可能性も指摘されている。離職する従業員は、その直前の 30日間に、通常の3倍ものデータをパーソナル・アプリにアップロードしているという。つまり、Google Drive や Microsoft OneDrive などが、最も人気のターゲットとなる。

また、このレポートでは、Google Workspace のユーザーの 97% が、少なくとも1つのサードパーティ・アプリに対して、企業の Google アカウントに対するアクセスを許可している。したがって、Google Drive 内 のファイルの表示/管理などの権限により、第三者にデータを公開している可能性があることを指摘している。クラウド・アプリの導入率は、2021年1月~2021年6月の間に 22% ほど増加している。

500人~2000人のユーザーを抱える平均的な企業では、805種類のクラウド・アプリ/サービスが利用されているが、そのうち 97% はシャドーITと呼ばれる管理されていない運用であり、ビジネス・ユニットやエンド・ユーザーが自由に導入しているケースが多いようだ。その一方で、クラウドから配信されるマルウェアは、過去最高の 68% にまで増加している。たとえば、クラウド・ストレージは、クラウド・マルウェア配信の 66.4% を占めている。また、悪意の Office ドキュメントは、マルウェア・ダウンロード全体の 43% を占めているが、2020年初頭には 20% に過ぎなかった。

ワークロードの露出

AWS / Azure / GCP では、全ワークロードの 35% 以上が、パブリック・インターネットに公開されており、攻撃者がよく使う侵入経路 RDP サーバーは、ワークロードの8.3% が公開されている。Valtix の CEO である Douglas Murray は、上記の Netskope レポートについて、パブリック・クラウドのセキュリティが、すべての企業にとって最重要課題であるという事実に、正確なスポットを当てていると指摘する。

彼は、「2020年には、クラウドへの支出が、オンプレ・データセンターへの支出を上回るという、大きな変曲点があった。それに伴い、クラウドへのアクセスおよび、ネットワーク、アプリケーションの、セキュリティ確保が重要になった」と述べている。また、クラウドで配信されるマルウェアは過去最高水準に達しており、従業員が会社のデータを個人のクラウド・アプリに混入することがあるとも指摘している。

Douglas Murray は、「そのため、流出を防ぐ DLP (Data Loss Prevention) などのポリシーが極めて重要になる。クラウドは、とてもパワフルだ。しかし、正しく管理されなければ、重大な企業リスクを引き起こす可能性もある」と述べている。Murray によると、S3 Buckets や Google Drive のようなクラウド・ベースのストレージの場合、退職する従業員が、企業ストレージから個人ストレージにデータをコピーすることは非常に簡単だという。また、これらの従業員は通常、リソースや ID をベースにしたポリシーで設定されており、企業ストレージへの正当なアクセス権を持っていると指摘する。

彼は、「必要なのは、企業の資産であるデータを、個人のクラウド・ストレージへのコピーさせないための機能であり、重要なデータの流出を監視する DLP チェックを追加することで、アクセス制御を強化することだ。多くの企業は、アカウントに入ってくるデータに注目し、アカウントから出ていくデータには十分な注意を払っていない」と述べている。

データの安全性確保に注力

Symmetry Systems の CEO である Mohit Tiwari は、企業が関心を寄せる根本的な問題の鍵は、データ・セキュリティを確保することにあると指摘する。彼は、「具体的には、規制対象となる特定のデータが、許可されていないアプリに流れ込まないようにすることだ。そして、それらのアプリで許可されたデータに対して、厳重にアクセス制御することだ。クラウドのプラス面として、すべての SaaS サービスなどが、アクセス制御のノブを提供していることが挙げられている」と述べている。つまり、クラウドや SaaS におけるアクセスを制御/分類/監視する機能により、データ・セキュリティをオーバーレイすることで、最新のエンタープライズ・ツールに起因するセキュリティ上の懸念を緩和できる。

また、従業員の離職時にも、大きな問題が生じることも指摘している。つまり、従業員の権限を、すべてのサービスから解除する必要があるが、その従業員が特定の資産の所有者/管理者であった場合などには問題が生じる。彼は、「人事部だけのソリューションではない。人事チームにより、Workday などの人事ソフトウェアから元従業員は取り除かれる。しかし、そこに紐付けられたクラウド・サービスの ID や権限を完全に取り除くための、ツールやエンジニアリングのサポートが必要になる」と述べている。

データ・セキュリティのための権限停止プロセス

Douglas Murray は、データへのアクセス設定はサービスの所有者が行うものであり、退職する従業員のためにデプロビジョニングとアクセス削除を行うための、正しいプロセスと手順を確保することは、サービスの所有者の責任であると付け加えている。彼は、「このプロセスは、人事チームや、従業員のマネージャー、IT セキュリティ・チームなどの、複数のチームで調整する必要がある」と述べている。

これらのチームは協力して、従業員のアクセスを特定するのに役立つ ID および、アクセス・セキュリティ・ソリューション (特権アクセス管理など) を用いて、効率的で自動化されたプロセスを確実に実施する必要がある。それにより、監査を有効にすることが可能になる。監査を実行すると、従業員が退社する前にアクセスを無効にすることが可能になる。Thycotic Centrify の CISO である Joseph Carson は、昨年に職場をハイブリッドな環境へと移行した。そして、境界線やネットワーク・ベースではなく、クラウド/アイデンティティ/特権的アクセス管理に焦点を当てるかたちで、セキュリティを進化させる必要があると指摘している。

彼は、「ビジネス・アプリやデータ・アクセスを管理/確保することを優先し、それに適応する組織になる必要がある。ハイブリッドな職場環境から生じるリスクを軽減するために、ゼロトラスト戦略に注目している。つまり、ゼロトラスト戦略を実現するためには、組織は最小特権の原則を適用しなければならない。それにより、組織はユーザーとアプリの権限をより適切に管理し、許可されたユーザーのみを昇格させることが可能になる」と述べている。

最近の Microsoft Office ドキュメントを介した、マルウェアのダウンロードは、とても深刻ですね。そのコンテンツは欲しいのだけど、Word や Excel の形態だと、DL ボタンのクリックを躊躇してしまうことが多くなってきました。だからと言って、PDF なら安全というわけでもないのですが・・・ この記事を訳していて、いちばん面白くて難しかったのは、最後の方の従業員の退職に関連する部分です。この日本でも、アメリカと同様に、雇用の流動性は高くなってきているので、この辺り、とても重要な視点だと思ってしまいました。ERP があれば大丈夫という時代は、もう過去のものなのでしょう。

%d bloggers like this: