ローカルサーバーやパーソナルコンピュータの代わりに、クラウドコンピューティングでは、インターネット上のリモートサーバーのネットワークが使用されます。 サーバー、データベース、ネットワーキング、ソフトウェアなどのツールやアプリケーションがこの目的のために使用され、費用対効果の面で消費者に大きな柔軟性を与えます。
クラウドコンピューティング構成は、アプリケーションベースのシステムなど、異なるユーザーに対して異なるサービスを可能にするコンピュータベースのリソースとアウトソーシングのメカニズムを提供します。
2019 Cloud Security Report highlightsは、過去1年間に多くのセキュリティ問題があったことを示します。 この調査には約40万人の回答者が参加し、以下のような重大な調査結果がもたらされました:
サイバーセキュリティ専門家のクラウドセキュリティに関する最大の懸念はデータの損失と漏えい(64%)
社員の認証情報の悪用と不適切なアクセス制御による不正アクセス(42%)は、安全ではないインターフェースやAPI(42%)と並んで、クラウドセキュリティに対する最も大きな認識済みの脆弱性の1位を占めます。
これに続くのが、クラウド プラットフォームの誤った設定 (40%) です。
SOC チームが頭を悩ませている運用セキュリティの上位 2 つは、コンプライアンス (34%) とクラウド セキュリティの可視性の欠如 (33%) です。
セキュリティと不正アクセス
従業員の過失と従業員資格情報の誤用による不正アクセスは、クラウド コンピューティングにおける最大のセキュリティ脅威の 1 つとなっています。
クラウド アプリケーションの可視性の欠如
可視性の欠如は、パブリック クラウドのセキュリティ リスクを高め、不正アクセス、不適切な取り扱い、データの複製を引き起こし、インフラから機密データが削除される可能性を引き起こします。 クラウドのツールやデータに対する可視性がないため)組織のセキュリティ制御の有効性を検証する能力に影響を与える可能性があります。 インシデント対応計画を実施し(クラウドベースの資産を完全にコントロールできないため)、データ、サービス、ユーザーを分析し、セキュリティに固有の異常な使用パターンを認識する。
安全でないインターフェイスと API
Application Programming Interfaces (API) は、顧客がクラウド体験をカスタマイズする際に役立ちます。 しかし、API 単体では、クラウドのセキュリティに対する脅威となる可能性があります。 API は、ビジネス ニーズに合わせてクラウド サービスの機能をカスタマイズする機能を企業に提供するだけでなく、データの認識、アクセス、およびデータの効果的な暗号化も提供します。 API は開発者にとってさまざまな目的を果たすことができますが、多くの悪用可能なセキュリティ リスクを残し、インフラストラクチャが脅威にさらされやすくなる可能性もあります。
セキュリティ コンプライアンス
異なる業界標準に準拠することは、クラウド セキュリティ専門家の大半にとって頭の痛い問題です。 組織は、個人的な健康情報のための HIPAA、学生の機密登録のための FERPA、または他のいくつかの政府や業界の規制のうちの 1 つなどのコンプライアンスに従わなければなりません。
システムの脆弱性
クラウド インフラストラクチャは、複雑なネットワークと複数のサード パーティ製プラットフォームによって、常にシステムの脆弱性をはらんでいます。 上記のリスクの多くは、専用のデータ保護サービスを使用することで防ぐことができます。 しかし、クラウドデータセキュリティソリューションは、データを損失やサイバーセキュリティの脅威から保護し、企業が関連するリスクなしにクラウドを活用することを可能にします。 また、ハッカーの一歩先を行くために、ハッカーが使用するセキュリティの手口を知っておくことも極めて重要です。
以下は、ハッカーがよく使うハッキング戦術です。
Distributed-Denial-of-Service Attacks
クラウド コンピューティングが人気を集めていた頃、分散サービス妨害(DDoS)攻撃は想像を絶するものがありました。 クラウド・サービスにより、DDoS 攻撃を開始することは非常に難しくなりました。
マルウェア インジェクション
マルウェア インジェクションは通常、クラウド サーバーで SaaS として動作するクラウド サービスに埋め込まれた特定のコードを使って実行されます。 さらに、このマルウェアがクラウドサーバーに注入または追加されると、クラウドはそれと連動して動作を開始します。 このような脆弱性を利用し、攻撃者は機密情報の盗聴や侵害、データの窃取を行うことができます。 さらに、マルウェアのインジェクション攻撃は、クラウドシステムにおける重要なセキュリティ上の懸念事項となっています。
アカウントの乗っ取り
クラウドコンピューティングの成長により、ハッキングはより横行しています。 攻撃者は、従業員のログイン ID 情報を使用して、クラウドに保存されている機密データにリモートでアクセスすることができます。 また、攻撃者は、乗っ取った認証情報によって、データを改ざんしたり、操作したりすることがあります。
フィッシングとソーシャル・エンジニアリング攻撃
クラウド・コンピューティングはオープンな性質を持っているため、フィッシングやソーシャル・エンジニアリング攻撃に弱くなっています。 ログイン情報やその他の機密情報が入手可能になると、悪意のあるユーザーは、どこからでもシステムにアクセスできるため、簡単にシステムにログインできるようになります。
クラウド ネイティブ チャットボットのセキュリティ ガイドラインについてはこちら
従業員は、こうした攻撃を避けるためにフィッシングやソーシャル エンジニアリングに注意する必要があります。