クラウドセキュリティへの信頼の増大とそれに伴う懸念
トピック: Barracuda Cloud Security Guardian、Barracuda Web Application Firewall
2019年11日14日、Rich Turner
現在の企業にとって、デジタル変革は、ますます最も重要になっています。CIOは、新しいアプリケーションベースのモデルを複数のクラウドプロバイダに依存しており、常に変化する市場の需要を満たすために、ビジネスアジリティを向上しています。しかし、セキュリティは依然として問題です。また、Webアプリケーションは依然としてデータ盗難とDDoS(分散サービス拒否)の主要な標的です。今年のベライゾンのレポートによると、ベライゾンが分析した侵害の4分の1がWebアプリケーション攻撃から発生しています。
では、企業は、どのような対策を行っているのでしょうか。バラクーダの新しい調査からは、興味深い結果が判明しています。
クラウドの成熟度の向上
世界中の850人以上のセキュリティプロフェッショナルを調査した結果によると、パブリッククラウド環境への信頼が増大しています。5分の2以上(44%)はパブリッククラウド環境がオンプレミス環境と同様にセキュアであると考えており、21%はオンプレミス環境よりはるかにセキュアであると考えています。また、60%は自社がクラウドテクノロジを使用することはセキュアであると確信しています。
現在、セキュリティ専門家の44%は #PublicCloud 環境はオンプレミス環境と同じくらい安全であると考えていますが、21%はさらに安全であると主張しています。
このような考えは合理的です。クラウドプロバイダは多くの企業の社内インフラストラクチャより新しいセキュアなインフラストラクチャを運用できます。つまり、企業は、異種による自社のレガシー環境と異なり、最高のセキュリティ基準で認定された最新のテクノロジの利点を享受できるということです。また、適切なサードパーティのセキュリティパートナーを採用し、クラウドの共同責任の概念を理解するかぎり、サイバーリスクを効果的に軽減できます。クラウドによって、リスクを最小限に抑制するためのバックアップと冗長性のオプションが増加します。
しかし、上記が調査結果のすべてというわけではありません。53%は顧客情報、55%は自社の財務データをクラウドにホスティングすることに抵抗を感じています。47%はサイバーセキュリティスキルの不足、42%は可視性の不足がクラウドセキュリティへの取り組みの妨げになっていると述べています。半数以上(56%)は自社のクラウドセットアップがコンプライアンスに準拠していないと考えています。
このような懸念はWebアプリケーション攻撃に関係している可能性があるのでしょうか。
Webサイト攻撃
現在のクラウド中心の企業は、Webアプリケーションにいつでもどこでもアクセスアクセスできる一方、Webアプリケーションをほとんど理解していない場合が多いです。Webアプリケーションは、CX(カスタマエクスペリエンス)を提供し、従業員の生産性を向上するビジネスクリティカルな方法であるため、機密データを盗み出し、主要なビジネスプロセスを中断しようとする攻撃者の主要な標的です。2018年のForrester Researchの調査によると、侵害が成功する最大の原因は社外からの攻撃であり、最大の標的(36%)はWebアプリケーションです。
幸いにも、バラクーダの調査によると、グローバル企業の半数以上(59%)は、このような攻撃を軽減するために、WAF(Webアプリケーションファイアウォール)を導入しています。サードパーティプロバイダのWAF(32%)が、最も悪用されている攻撃であるボットによる自動的なトラフィックから企業を保護できるという理由で最も導入されていることは、合理的です。しかし、そのすべてが企業を保護できるわけではありません。
パッチ適用と設定
さらに大きな懸念は、多くの企業がWebアプリケーションの脆弱性への攻撃を重視していないと思われることです。バラクーダの調査によると、過去12か月間、グローバル企業の13%はWebアプリケーションのフレームワークとサーバにパッチをまったく適用していません。パッチを適用した企業のうち、3分の1以上(38%)は、パッチ適用に7~30日かかっています。また、5分の1以上(21%)は、1か月以上かかっています。
セキュリティプロフェッショナルの13%が、過去12か月間にWebアプリケーションフレームワークまたはサーバーにまったくパッチを適用していないと主張しています #AppSec
たとえば、Equifaxは、Apache Struts2の脆弱性にすぐにパッチを適用しなかったため、大規模な攻撃を受け、これまで14億ドル以上の損害を受けました。この例は、極端ですが、企業にとってのリスクの可能性を非常によく表しています。
Webアプリケーション環境のもう一つのリスクの可能性は人的エラーです。たとえば、今年のキャピタル・ワンの大規模な侵害は、約1億人の顧客と申込者に影響しましたが、オープンソースのWAFの誤設定が原因でした。
バラクーダの調査によると、グローバル企業の約39%は、アプリケーションで機密情報を処理していないため、WAFを導入していません。しかし、攻撃には、データを盗み出すものだけでなく、ミッションクリティカルサービスを中断するものもあります。WAFは特効薬ではありません。WAFは、サイバーセキュリティへの多層的なアプローチの一部であり、ビジネスリスクを継続的に軽減するための重要なツールです。
まとめ
クラウドへの信頼が増大しているため、すべての企業が、形態と規模に関係なく、デジタル変革を行うことができます。しかし、この信頼は懸念を伴っています。攻撃者は過去に無視された可能性がある脆弱性を集中的に攻撃している一方、多くの企業はこのような攻撃が1つのアクセスポイントからどのように実行される可能性があるかについて意識していません。Webアプリケーションとクラウドのセキュリティポスチャは企業がクラウドでデジタル変革を安全に継続するために導入する必要がある重要な武器です。
クラウドセキュリティを確保するための対策は下記のとおりです。
- WAFがすべてのアプリケーションを保護できるようにする。アプリケーションは、社外からアクセスされていないと思われる場合も、攻撃ベクタとして悪用される可能性があります。攻撃者は、検出した脆弱性を攻撃し、ネットワークとさらに重要なリソースにアクセスする可能性があります。
- アプリケーションセキュリティを開発部門に委ねない。 開発部門はセキュリティプロフェッショナルではありません。開発部門の仕事は優れた製品を開発することです。
- クラウドのセキュリティ管理ソリューションを導入する。セキュリティプロフェッショナルは、多くのセキュリティリスクと障害を軽減するだけでなく、発生した問題を非常に簡単に修復し、迅速に調査することもできます。また、開発部門はセキュアな開発に必要な対策をとることができます。(パブリッククラウドの脆弱性を無償でスキャン)
製品のご紹介:Barracuda Web Application Firewall Barracuda Cloud Security Guardian
原文はこちら:
Growing confidence and emerging gaps in cloud security
November 14, 2019 Rich Turner
https://blog.barracuda.com/2019/11/14/growing-confidence-emerging-gaps-cloud-security/
No comments yet.