見逃せない！パブリッククラウドの思わぬ落とし穴

急増するクラウドサービス

クラウドサービスを導入する企業は年々、増加している。総務省の令和5年通信利用動向調査によると、「クラウドシステムの利用状況」は増加傾向にあり、2023年8月時点では77.8％の企業で利用されていることが明らかになった。

中でも「日本のパブリッククラウドサービス市場は、高い成長率を遂げ、日本のPaaS（Platform as a Service）市場、IaaS（Infrastructure as a Service）市場では、大手クラウドサービス（AWS（Amazon）、Azure（Microsoft）、GCP（Google））の利用率の高さが際立っている」（総務省の「令和6年（2024年）度版情報通信白書」）という。

クラウドサービスのセキュリティに詳しいCloudbaseのソフトウェアエンジニア、宮川竜太朗氏は次にように語る。

「AWS、Microsoft Azure、Google Cloudをはじめとした日本のパブリッククラウドの国内市場規模は2兆円を超え、今も急速に拡大を続けています。日本の大企業においても9割以上が何かしらの形で全社的にクラウドを導入しています」

2021年には1.7兆円だったパブリッククラウドの市場規模が2026年には5.1兆円に拡大していくと見られている。

「パブリッククラウドプロバイダーは、巨額の投資を行い、最新のセキュリティ技術を導入しています。24時間365日の監視を行い、脅威を早期に検知し、迅速に対応することができる。だからオンプレミスに比べてパブリッククラウドのセキュリティは堅牢なのです」（宮川氏）

パブリッククラウドはプロバイダーと利用者の責任共有モデル

ここで気になるのはセキュリティ面でのオンプレミスとパブリッククラウドの違いだ。

オンプレミスは、利用者（企業側）が全てのセキュリティ対策を自ら設定、管理、運用する仕組みだ。

一方でパブリッククラウドは、「責任共有モデル」が主流となっている。これは、パブリッククラウドサービスプロバイダー（PCSP）とクラウドサービスの利用者がそれぞれの責任を持ってセキュリティを確保するモデルだ。

PCSPはサービスを提供するために必要なデータセンターや物理的なハードウェア、仮想化を実現するための仕組みといったインフラストラクチャを保護することが求められ、一方で利用者はインフラストラクチャ上のオペレーティングシステム、アプリケーション、データの管理などが求められる。

PCSPサイドから見てみると、データセンターは高いセキュリティ基準を満たしている。これには物理的なセキュリティ、ネットワークセキュリティ、データ暗号化などが含まれている。

さらに、冗長性と可用性を高めるための設計がなされ、データは複数の地域に分散したデータセンターで管理されている。1つのデータセンターがダウンした場合でも、データやサービスの継続が可能だ。

クラウドプロバイダーは継続的にシステムの更新とパッチ適用を行い、最新のセキュリティリスクに対応している。これにより、システムは常に最新の状態で運用されるため、セキュリティ上の脆弱性が最小限に抑えられている。

ランサムウェアはシステムに侵入すると、サーバーに長期間滞在しながら脆弱性を探しながら感染を拡大していくが、クラウドネイティブ（クラウド環境を「前提」として設計され、クラウドの特性を最大限に活かしていくためのアプリケーション開発手法）を推進する大手のパブリッククラウドでは、定期的にサーバー内の新陳代謝が行われ、脆弱性をなくし、マルウェアも駆除される。

「サイバー攻撃によってパブリッククラウドから直接、情報が漏えいするとは、なかなか考えにくい。自社でセキュリティにあまり投資できてない会社は、パブリッククラウドを使った方が安全なのではないかと思います」（宮川氏）

バブリッククラウドの弱点は利用者サイド

しかしパブリッククラウドといえど万全ではない。それは利用者サイドの問題だ。

「ハッカーがMicrosoft Azure やAWSなどパブリッククラウドのデータベースに直接攻撃を仕掛けるということは考えにくい。しかし利用している人が、データを呼び出している過程で何かしらの瑕疵があれば話は別です。簡単に言うと『公開してはいけないものを公開した状態で置いていて、攻撃者に見つかって、流出してしまった』というパターンがほとんどです。そこを防ごうと思ったら、クラウドのやり方をしっかり理解し、そのようなミスが起こらないようにしていくということが大前提です」（宮川氏）

例えばAmazonS3「Amazon Simple Storage Service」というAWSストレージサービスがある。データをオブジェクト単位で取り扱うオブジェクトストレージで、容量制限がないことやデータアクセスに関する利便性の高さが評価され、急激にシェアを伸ばしているものだ。

「S3は本来であればサーバーから写真などのデータをやり取りしたときの保管をするために使っているのですが、設定によってはストレージを全世界に公開することができます。ここに免許証などを保管し、誤って公開状態にしてしまうと、個人情報の漏洩が起こる恐れがあります。最短数クリックで情報にたどり着けることもあります。クラウドは、全世界に公開する設定が簡単にできてしまう。オンプレミスであれば、物理的なマシンを操作して設定画面を変更しなければ、そのようなことは起こりません」（宮川氏）

実際セキュリティインシデントも起こっている。2017年7月12日、米通信大手のVerizonのS3が設定ミスによりデータ漏洩が起こっている。誤ったアクセス権の設定により、S3バケット内のデータが不正にアクセスを受けて、外部に漏洩した。セキュリティ設定が適切に行われていればこうした問題は起こらなかったわけだ。

「わかりやすいクラウドの事故としては、間違って公開されていたというケースが結構多い。最近はさすがに減ってはきていますが、これまで何度もそうした事故がありました。少し前の話になりますが、設定ミスで情報がインターネットに公開され、Google検索で検出できるようになっていたケースがありました。例えばとあるイベントへ応募したときに入力した住所がExcelに記載され、そのファイルがそのままGoogle検索にヒットした、というようなケースです」（宮川氏）

トヨタコネクティッドは2023年5月、データの一部が公開状態になっていたことを明らかにした。

トヨタコネクティッドが管理する顧客約215万人分のデータが誤ってインターネット上で外部に10年近く、閲覧できる状態になっていたのだという。

対象となった情報は2012年から2023年にかけて契約した顧客の車両番号や位置情報などで、同社が設定を誤ったのが原因だという。

クラウド上でのデータ取り扱いの点検過程で判明した。同社は再発防止策としてクラウドの設定を監査するシステムを導入し、運用を監視する仕組みを取り入れている。

アクセス権限の流出が大きなリスクに

クラウドのアクセス権限の流出などがあれば、情報漏洩や不正アクセスの原因となる。

クラウドへのアクセス権限を持っていれば、普通にクリックするだけで、個人情報が含まれたファイルをインターネット上に公開することができるからだ。そうした情報はマルウェアやランサムウェアに狙われる。

三菱電機では2020年11月16日、従業員のクラウドアクセス用アカウント情報が窃取され、クラウドサービス上の企業機密データが大量に流出する事態が発生した。

攻撃者は三菱電機の中国子会社に不正アクセスし、従業員のアカウント情報を窃取。この情報を使って、グループ全体で利用しているMicrosoftのクラウドサービス「Office 365（現Microsoft365）」に不正ログインを行い、保存された国内取引先の金融機関の口座151件（取引先の名称や住所、電話番号、代表者、金融機関、口座番号、口座名義など）や国内取引先の個人情報964件を入手したものと見られる。

三菱電機グループではOffice 365を活用していたため、一度不正ログインが成功すれば、各社が保存していた機密データにアクセス可能な状態にあった。クラウドサービスのセキュリティ管理が不十分であったことが、この重大な事故につながった。

「パブリッククラウドの情報漏えいという場合、自社のミスが原因であるケースが多いと思います。ランサムウェアの侵入など個人端末が一番狙われやすかった。その行き先がクラウドなのか、オンプレミスなのかは関係ありません」（宮川氏）

中でもAWSリソースへのアクセス権限を管理するためのサービスであるIAM（アイアム「Identity and Access Management」（アイデンティティ管理とアクセス管理）の認証情報流出は不正アクセスの温床となってしまう。

「IAMはログイン情報のようなものです。ログイン情報を持っていたら、基本的にどこの誰でも操作ができてしまう強いアクセス権限なんですが、その認証情報が漏れてしまうと不正アクセスの温床になってしまいます。オンプレミスだと、データセンターの入館用のICカードが盗用されたようなケースを想像していただければいいと思いますが、そんなことは通常考えにくい。ところが、クラウドだと比較的起こりやすく、そのデータが漏れてしまうと、クラウドを簡単に操作できるので、ビットコインのマイニングのために、サーバーをたくさん立てられて、発掘されるなんてことが起こり得ますし、データを簡単に見られるので、そのまま情報を抜かれるリスクもあります」（宮川氏）

どのように対策を講じればいいのか

ではパブリッククラウドでのセキュリティはどのようなことを考えなければならないのだろうか。

第一に、PCSPとユーザーの責任の範囲を定めた「責任分解点」をしっかりと理解することが求められる。クラウドサービスは、ソフトウェアアプリケーションをインターネット経由で提供する「SaaS（Software as a Service）」、アプリケーションの開発、実行、管理に必要なプラットフォームを提供する「PaaS（Platform as a Service）」、ネットワーク、ストレージ、サーバーなどのインフラストラクチャを提供する「IaaS（Infrastructure as a Service）」の3つのサービスに分類される。

SaaSではPCSP側はアプリケーション、ミドルウェア、OS、仮想環境、ハードウェア、ネットワーク、施設・電源を管理し、ユーザー側が管理するのはデータのみ。PaaSはデータとアプリケーションをユーザー側が管理し、残りはPCSP側が管理することになる。IaaSならユーザーはデータ、アプリケーション以外にもミドルウェア、OSまで管理しなければならない。

つまりSaaSならユーザーはメールサービスや顧客管理ソフトのデータ管理だけをしていればいいだけだが、PaaSならバックアップやデータ暗号化、ファイヤーウォールなど事業者が提供するセキュリティを正しく理解して設定する必要が生まれる。

IaaSは仮想環境やハードウェアなどの管理・責任を事業者が担い、仮想環境上で作動しているOSを含めたすべてのソフトウェアの管理をユーザーが行わなければならないため、アプリケーションやOSの障害対応や、ミドルウェアへのパッチ対応や脆弱性対応なども企業側の責任となる。

ユーザー側はこうしたすみわけをしっかりと理解し、セキュリティ対応に臨まなければならない。

さらに専門家の活用も有効だという。

「クラウドサービスはAPI（Application Programming Interface）で管理できます。そのため、内部の構成などを全部サードパーティ製品で管理することもできます。オンプレミスは、構成図を手書きでチェックしたり、PowerPointで書いたものをチェックしたりするぐらいしかできません。そうしたやり方では、本当に正しく設定されているのかどうかを外部から管理するのが難しいのです」（宮川氏）

ところが、クラウドサービスはAPI（Application Programming Interface）を通してすべてのデータをチェックし、現在どういう構成になっているのか、変な設定ミスがないか、変な構成になってないか、ということを外からでもチェックすることができる。そのため何か起こった時には即座にチェックすることができる。

「『本来この後ろ側にあるべきデータベースが、なぜインターネットに繋がっているのか』『インターネット越しに攻撃者がデータベースにアクセスできる状態かどうか』ということを検知できるので、明らかにおかしい構成になっていれば一目見てわかるわけです」（宮川氏）

ノーコードやローコードが普及し、だれもがシステム開発の専門家でなくてもシステムに入って手軽にアプリケーションの構築などを行うことができる時代だ。そんな素人の操作が思わぬ脆弱性を生むこともあるのだという。

「ボタンを一つ押し間違えただけで、システムの設定が変わってしまうことはよくあることです。ただ専門家がしっかりとシステム全体をチェックしていれば、簡単に検索できますし、すぐに直すこともできます。しかしそうした脆弱性をそのままにしておくと、不正なアクセスの温床になりかねません。日ごろからそうしたシステムの脆弱性がうまれないようチェックすることが大事なのではないでしょうか」（宮川氏）