多くのセキュリティコンサルタントにとっての趣味の一つは、大手クラウドストレージやサービスプロバイダーにある、容易に悪用され得る弱点を見つけることです。彼らは前向きな使命感を持って取り組んでいますが、犯罪者も同じことをしており、脆弱なデータを喜んで盗み出そうとしていると断言できます。

著者:クリス・ナイト

Kevin Beaumont氏は著名なセキュリティコンサルタントで、クラウドシステムの脆弱性（最近のAmazonのAWSにおけるCapital Oneの情報漏えいなど）についてツイートすれば、多くのハッカーが注目していると考えて間違いありません。さらに、Amazon S3のデータバケットがDefConのハッカーイベントで注目の議題になっていることからも、不適切（非安全）な使い方をした場合のリスクが高いことは明らかです。

問題は大きく2つあります。クラウドサービスの利用は自動化されているとはいえ、依然として人が関与しており、適切なログイン情報を持つ不満を抱えた現職または元従業員が1人いるだけでデータを抜き取られる可能性があります。あるいは、アクセス権を持つサードパーティの担当者が、金銭目的で悪用しようとすることもあり得ます。

2つ目の問題は、典型的な弱いパスワード／ログイン情報の使用と、誰がそれらのサービスやデータにアクセスしているかを確認するためのシステムログ未確認です。多くの企業はデータに依存している一方で、データが安全であること、アクセス権が適切に管理されていること、そして特に退職者が出た際にパスワードが定期的に変更されていることを確認するための時間やセキュリティ意識が不足しています。

多くの企業が、EBSスナップショット（Elastic Block Storage）とは何かすら把握していないリスクがあります。これらが正しく設定されていない場合、誰でも閲覧してデータやアプリケーションキーなどの有用な情報を見つけられてしまい、企業全体を危険にさらします。

クラウドおよびその他サービスの保護

この“ハッカーの楽園”は、企業が成長する過程で基本的なセキュリティ知識や専門性を欠いていることの結果です。安全なネットワークから強固なアクセス権限まで、ITセキュリティ意識はあらゆる経営判断とITプロセスの中核に置く必要があります。そして、社内にその知見がない場合は、セキュアなパートナーの関与が不可欠です。明日では遅すぎる可能性があるため、少なくとも今日からその取り組みを始めるべきです。

事業を保護しなければ、顧客情報が盗まれ、訴追や罰金につながる可能性があります。データベースがランサムウェアにより人質に取られたり消去されたりして事業が麻痺する、あるいは競合に売却されることもあり得ます。サービスへのアクセスを失うだけでも、企業の評判や収益に悪影響を及ぼします。

IT関連のセキュリティインシデントが増加する中、自社は標的にならないと思うかもしれません。しかし、クラウドやサードパーティのサービスへの依存度が高いほど、またアクセスできる人が多いほど、リスクは増大します。Amazonをはじめとするクラウドプロバイダーには独自のセキュリティがありますが、機能や設定を適切に管理するのは利用者側の責任です。特に事業成長に注力しているときほど、そこに弱点が生まれやすくなります。

専門家を確保しておくことで、セキュリティを強化し、企業のITインフラ全体にわたる弱点を特定できます。その意味で、KokoBo.netのサービスは、危機から企業を救い、廃業を防ぐために不可欠な存在となり得ます。