ブログ

クラウドには運用ゲートが必要 - 特にセキュリティのために

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2017 年 8 月 7 日公開

2017 年 1 月、非常に人気のある MongoDB は、攻撃者にとってかなり予測可能な戦術になりつつあると思われる、データの人質攻撃を受けました。 その後の侵害に関する調査では、ほとんどの場合、攻撃者は何も悪用していなかったことが判明しました。 問題はソフトウェアではなく、構成にありました。 デフォルト設定は、主に AWS 上で実行されており、インターネットに接続しているすべてのユーザーにデータベースが公開されていました。

 

 

クラウドペットユニコーン

これには、今では悪名高い CloudPets 事件も含まれており、子供とその親の間の音声メッセージ (プライベートであると想定) が、データベース (MongoDB のセキュリティ保護されていないインスタンス) を入手するか、アプリのアーキテクチャと Amazon S3 の使用方法を理解できる人なら誰でも公開アクセス可能でした。 Cloud Pets はプロフィール写真や音声記録の保存に S3 を使用しており、セキュリティを一切無視して、適切な参照があれば誰でもアクセスできる状態にしていたようです。

さて、私が CloudPets を批判していると思われないように、 RedLock CSI チームが最近、「Amazon Relational Database Service や Amazon RedShift などのパブリック クラウド コンピューティング環境のデータベースの 82% が暗号化されていない」ことを発見したことを述べておきます。

[劇的な休止]

さらに、「これらのデータベースの 31% がインターネットからの着信接続要求を受け入れていました。」

さらに、2017 年 1 月の最初の数週間で27,000 台を超える MongoDB サーバーが侵害されたことも指摘しておきます。 この事件に関して、CloudPets 自身の不十分なセキュリティ対策によって被害を受けたのは、はるかに多かった。 最初の攻撃が公表されたとき、 MongoDB のブログでは次のように述べていました。「これらの攻撃は、MongoDB に組み込まれた広範なセキュリティ保護によって防ぐことができます。 これらの機能を正しく使用する必要がありますが、当社のセキュリティ ドキュメントがその手助けとなります。[強調は筆者による]”

MongoDB は安全ではなかったわけではなく、単にまったく安全ではなかっただけです。 問題は実際には製品にあるのではなく、IoT やモバイル アプリをクラウド経由で消費者の手に届けようと急いでいる人たちの悪い慣行にあるのです。 

安全でない慣行を促進するクラウド

データセンター(オンプレミス)には、ソフトウェアが世界に公開され、データの提供に使用される前に通過しなければならない物理的なゲート(ファイアウォールなど)と運用上のゲート(プロセスと承認)があります。 クラウドは、設計上、物理的なゲートが少なく、また、残念ながらよくあることですが、アプリが世界に公開される前に通過しなければならない運用上のゲートも少なくなっています。 運用ゲートの削減は、まさに「不正 IT」や「シャドー IT」という概念が消え去った場所です。 長いリードタイムと、数か月ではなく数年に及ぶプロジェクト タイムラインに不満を抱いた基幹業務の利害関係者は、当初、IT を「回避」するためにクラウドを利用し始めました。 ただし、それが意味するのは、それらのアプリケーションのセキュリティとパフォーマンスを確保するために設置された運用ゲートも回避していたということです。

これはクラウドの問題ではなく、クラウドを導入する人の問題です。 なぜなら、私たちが 10 年間言い続けてきたのは、「物理ハードウェアのプロビジョニングに時間がかかりすぎる」という言い訳だけではありません。競合他社より先に今すぐ市場に参入したいと考えているビジネス関係者を本当に苛立たせているのは、「IT 承認プロセスを通過するのに時間がかかりすぎる」という言い訳なのです。

2017 年に Arxan/IBM が主催したモバイルおよび IoT セキュリティに関する調査の回答者がこれを裏付けています。 回答者は、IoT およびモバイル アプリのセキュリティが不十分な原因としてアプリ開発チームへのプレッシャーを挙げており、69% がモバイル アプリ開発の急ぎが脆弱なコードの原因であると指摘し、75% が IoT アプリについても同じことを述べています。

同じプレッシャーは、そもそも物事を有用にするデータベースやクラウド ストレージの設定とセキュリティ保護にも及びます。 Cloud Pets の全体的な前提は、おもちゃ自体ではなく、おもちゃがインターネット経由でデータを送受信する機能に基づいています。 つまり、その成功は、クリスマス当日のリリースに間に合うようにクラウドでの開発と展開を急いでいる IoT アプリの 1 つにかかっているということです。

開発者だけが、提供を任されたアプリケーションのセキュリティ保護に責任を負っているわけではありません。 データベース、ファイル共有、または一般的なアプリ サービスなど、そのアプリをサポートするクラウド サービスのプロビジョニングを担当する人は、そのアプリのセキュリティ保護の責任も一部負う必要があります。 非現実的な期限を設定し、最終的な納品までに最低限の運用ゲートを設けるよう奨励するビジネス関係者も同様にすべきです。

はい、IT 部門はデジタル変革を受け入れ、消費者への製品の安全かつ確実な提供につながる運用ゲートを合理化する必要があります。 しかし、企業や開発者は、クラウド内の運用ゲートを単純に回避し続けることはできません。また、「デフォルト」構成に依存する粗雑なセキュリティ対策によって、消費者だけでなく企業の利害関係者も危険にさらすことになります。 これは製品に関することではなく、プロセスに関することです。アプリとそのユーザーが予防可能な侵害にさらされる前に、ポリシーが展開され、構成が正しいことを確認することが重要です。

恥ずかしい事件を避けたいのであれば、市場に出す前に通過しなければならない基本的な運用ゲートを少なくともいくつか定義 (および実施) して、基本的なセキュリティを強化することから始める必要があります。

生産性と利益の両方をサポートするアプリケーションのパブリック クラウドへの移行のペースが加速しているため、組織はこれまで以上にこれらの運用ゲートを必要としています。 そして、移行のペースが速まるにつれて、攻撃者がそれを悪用する機会も増えます。