誰もが心せく年末年始ですが、筆者は毎年この時期になるとさまざまな出来事を振り返り、翌年に思いを巡らせます。そして新しい年が始まれば、私たちの期待が高まる新たな気運がいくつも誕生します。しかし過去が未来を暗示するものであるなら、セキュリティ脅威動向は新年も目まぐるしく移り変わり、新たな課題を私たちに突きつけることになるでしょう。

脅威動向や課題を検証する仕事は、チェック・ポイントのセキュリティ・チームの役割です。セキュリティ・チームは毎年末、翌年の脅威動向がどのような方向へ向かうのか、予測を行います。この1年間のセキュリティ動向を分析し、その結果に基づいて、今後起こりうる事態を大胆に推測するのです。

ほとんどのITセキュリティ担当者の願いだと思いますが、このような予測は当たらないに越したことはありません。ハッキングやセキュリティ侵害を受ける組織など、ない方が良いに決まっています。しかし、現実のサイバー空間は危険に満ちています。懐かしのコメディ・ドラマ『Police Squad!(邦題:フライング・コップ)』に登場するフランク・ドレビン刑事の口癖ではありませんが、もしそこに危険がないのなら、私たちはすでに失業しているはずです。期待を裏切るかのごとく進化を続けるサイバー犯罪者の戦術や手口を見極め、予防対策を講じるための情報を提供する。それが、脅威動向予測の目的なのです。

チェック・ポイントでは先ごろ、IT担当者が抱えるセキュリティ上の懸念事項を探るため、第三者機関に依頼して研究調査を実施しました。それによると、クラウドのセキュリティを「懸念する」または「強く懸念する」と回答した組織は、圧倒的大多数を占める93%に上っています。以降では、この調査および分析の結果に基づく2つの予測と、2017年に私たちが直面するであろうクラウド・セキュリティの脅威と傾向について解説します。

予測1: 大手クラウド・プロバイダを狙った攻撃が発生する。業務用のデータやアプリケーションをパブリック・クラウドに移行する組織は増加の一途を辿っています。このため、大手クラウド・プロバイダに対し、サービスの妨害や停止を目的とする攻撃が行われた場合、サービスを利用する組織の業務にも影響が及びます。プロバイダに対する攻撃は、特定の企業や組織を標的に実行される場合もありますが、標的に加えて多くの企業や組織が巻き添えになるため、攻撃者の真の目的を把握することは困難です。

ご存知のように、2015年9月、Amazon Web Services(AWS)で5時間に及ぶサービス障害が発生し、多数のAWSサービスと膨大な数の顧客が影響を受けました。問題が発生したリージョンは「us-east-1」、直接の原因となったのはAmazon DynamoDBというデータベース・サービスです。きっかけは、あるネットワーク障害によって、DynamoDBがメタデータ・サービスと「一時的に」通信できなくなったことです。そしてネットワーク障害の復旧後、メタデータのアップロードを試みるストレージ・サーバから膨大なリクエストがメタデータ・サービスに押し寄せ、処理能力が飽和状態になった結果、同サービスがシャットダウンを余儀なくされました。

この一連の出来事の影響は、同じリージョンの中でDynamoDBを利用するすべてのサービスに及びました。 6時間にわたって障害と格闘したAWSはメタデータ・サービスの処理能力を強化し、同サービスおよび対応するストレージ・サービスの復旧に成功しました。では、この問題から学ぶべき最も重要な教訓は何でしょうか。それは、大手プロバイダが運用するクラウド環境でも、障害は発生するという点です。

さらに多くの標的を対象とした大規模な妨害活動を実施できる「新型兵器」も登場しています。それは、モノのインターネット(IoT:Internet of Things)を構成する大量のデバイスです。高度に組織化されたサイバー犯罪グループは、IoTデバイスに内在する脆弱性の悪用方法を熟知しており、これらを利用する手口で、かつてない規模の攻撃を仕掛けることができます。AWSもこの潜在的な脅威を認識しており、2016年のイベント「AWS re:Invent」では、その解決策として、AWS Shieldというサービスを発表しました。AWS Shieldは、アプリケーションの障害や遅延を最小限に抑える目的で開発された、マネージド型の分散サービス妨害(DDoS)攻撃対策です。

チェック・ポイントが現在把握している最新のDoS/DDoS攻撃の手口にAWS Shieldが対応できるかどうかは、大変興味深いところです。しかし、AWSがクラウドへのDoS/DDoS攻撃を深刻な脅威と見なしているという事実は、パブリック・クラウド・サービスを利用する組織への警鐘として重く受け止めなければなりません。つまり、パブリック・クラウドを利用するすべての組織は、クラウドのサービス障害に伴う影響を最小限に抑えるため、強固なディザスタ・リカバリ計画とバックアップ計画をあわせて策定しておく必要があるということを意味します。

予測2: ランサムウェアがデータセンターに侵入し始める。クラウド・データセンターを対象としたランサムウェア攻撃の増加が予想されます。パブリック/プライベートを問わず、多くの組織でクラウドの導入が進むにつれ、ランサムウェアがこの新たなインフラストラクチャに侵入を始めることでしょう。ファイルの暗号化が自動的に、またはクラウドを規模拡大の手段に利用するハッカー自身の手によって、クラウド環境に拡大する事態が予想されます。前述したチェック・ポイントのクラウド・セキュリティ調査でも、80%以上のセキュリティ担当者がランサムウェアを「懸念する」または「強く懸念する」と回答しています。

ユーザのファイルを暗号化し、それを人質に身代金(多くの場合はBitcoin)を要求する不正なソフトウェアであるランサムウェアは、深刻なセキュリティ脅威として広範囲に感染を広げています。しかしランサムウェアが、クライアント上のファイルと同様にクラウド上のファイルも容易に暗号化してしまう事実はあまり知られていません。多くの組織では、サーバにもアンチウイルス・ソフトウェアを導入していますが、一般的なアンチウイルスがランサムウェア対策として不十分であることは明らかです。ランサムウェアを拡散しているサイバー犯罪者は、アンチウイルスでは検出されないよう工夫を施しているからです。

なぜクラウド・データセンターがランサムウェア攻撃の格好の標的として狙われるのか?それには次のようにさまざまな理由があります。

  • データセンターには、機密性が高く、金銭的価値のある情報が保存されている。データの機密性や重要性が高く、また量が多ければ、高額な身代金を要求できます。クライアントを標的にしたランサムウェアの身代金は、感染1件あたり100~2,000ドルですが、それとは桁違いの利益が期待できるのです。
  • 金銭的利益を目的とするプロのサイバー犯罪者は、実際にその活動で利益を得ており、常に新しい標的を探している。Carbanak APTMorpho/Butterfly APTsGameOver ZeuSなどのグループとして活動しているハッカーは、クラウド・データセンターに対するランサムウェア攻撃を実行できるだけの技術力を備えています。
  • 動的なクラウド・データセンターに対応できないという理由から、ランサムウェア感染を防止する高度なセキュリティ対策を導入していないケースが多い。また、パブリック・クラウド・プロバイダが採用する共同責任モデルの意味を正しく理解しておらず、セキュリティ対策が不十分な組織が多いという点も、クラウド環境やそこに保存された重要データが狙われる一因となっています。
  • クラウド・データセンターに標的を絞り込んだランサムウェアAPT攻撃の台頭は、重要資産の保護を外部に依存している組織にとって深刻なリスクとなる。データセンターのクラウド移行の進展に伴い、クラウド・セキュリティ・ベンダーにとって、ランサムウェアが大きな課題となりつつあります。

ランサムウェアのような脅威への対策としては、サービス障害対策と同様、確実なデータ・バックアップの実施、綿密なディザスタ・リカバリ計画の策定、クラウド環境への高度な脅威対策の導入が有効です。

クラウド環境におけるサイバー・リスクとしては、この他にも次の点が挙げられます。

情報漏洩: 他の組織とリソースを共有するマルチ・テナントのパブリック・クラウド環境に機密情報を預ける行為は避けた方が無難です。また、セーフハーバー・ルールやプライバシー保護法に対応するため、データの適切な制御も欠かせません。情報漏洩は、政府当局によるアクセスやハッカーによる攻撃、偶然の事故など理由が何であれ、重大なセキュリティ違反、プライバシー保護違反となります。転送データと保存データに強力な暗号化を適用する以外に、クラウドからの情報漏洩を防ぐ効果的な対策は今のところありません。クラウドにデータを保存する際には、すべてのデータおよびメタデータを、自社環境の外に出す前、つまりネットワークの境界で暗号化する必要があります。自分以外の何者も信用しないというのが、クラウド利用時の原則です。

顧客データ/業務データへの不正アクセス: サイバー犯罪者は、手っ取り早い成果を好みます。そのため、セキュリティのリソースや人材が不足気味で比較的容易に侵入できる小規模企業を標的にする傾向があります。その一方で、大きな見返りが期待できるという理由から、大規模企業も格好の標的になっている事実を忘れてはなりません。規模の大小にかかわらずクラウド環境は、不正アクセスに利用できる絶好の攻撃経路となり得ます。新たなアプリケーションやサービスを定義するためのプロビジョニング・ツール、連携ツール、管理ツールなどを、クラウドで複数の管理者が使用している場合、各管理者は、個々の作業がセキュリティに及ぼす影響を十分に把握できません。誰がログイン中であり、これまでにどのような操作が行われたのか、明確に知ることができないからです。

システムに侵入したハッカーがまず行うのは、認証情報の収集と、侵入可能な別のシステムの偵察です。正規の認証情報が手に入れば、攻撃活動を察知されずにネットワーク内を移動し、場合によってはインフラストラクチャに手を加えることができます。クラウド・プロバイダが責任を負う対象は自社のインフラストラクチャの保護に限られており、顧客環境の安全性は担保されていません(先ほど述べた共同責任とはこういうことです)。したがって、不正アクセスや、マルウェアおよびその他の高度な脅威を利用した侵入を防ぐ対策を講じる責任は、クラウドを利用する組織の側にあります。

では、クラウドに保存したデータを保護するためには、どうすれば良いのでしょうか。

まずは、ここで説明した問題を理解することが、適切な対策を実施するための第一歩となります。そして、すべてのセキュリティ・イベントを完全に可視化すると共に、自社運用環境とクラウド環境の両方で一貫性のあるセキュリティ対策を実施します。「口で言うのは簡単だが」と思われるかもしれませんが、ご安心ください。チェック・ポイントのソリューションを利用すれば、自動化と柔軟性というクラウドのメリットを損なうことなく、このレベルのセキュリティを簡単に実現できます。チェック・ポイントの包括的なクラウド・セキュリティ・ポートフォリオが、いかにしてクラウド・ベースのネットワークへの移行を容易に実現するか、ぜひこちらでご確認ください。

では、どうぞ良いお年を!