脆弱性管理とは?
トップクラウドセキュリティ リスク データ侵害、不十分なIAM、脆弱なクラウド構成が含まれます。
少佐 脅威 アカウントの乗っ取り、内部関係者の脅威、クラウドマルウェアなどが含まれます。
鍵 課題 クラウドセキュリティには、規制コンプライアンス、可視性の制限、セキュリティ専門家の不足、進化する攻撃対象領域が含まれます。
リスクの軽減 強力なIAM、安全なデータプラクティス、継続的な監視、コンプライアンスの取り組みが必要です。
Watch 12-minute demo
Watch the demo to learn how Wiz Cloud finds toxic combinations across misconfigurations, identities, data exposure, and vulnerabilities—without agents.
Watch now
クラウドコンピューティングのセキュリティ:リスク、脅威、課題
クラウド環境には、独自のリスク、脅威、課題が豊富に存在します。 この 3 つの微妙な違いを理解することは、リソースの割り当て、対応戦術、リスク管理、情報に基づいた意思決定に不可欠です。
クラウドセキュリティリスク 特定のクラウド環境における潜在的な脆弱性を指し、データ侵害、不正アクセス、コンプライアンス違反につながる可能性があります。
クラウドセキュリティ 脅威 は、クラウドの脆弱性を悪用することを目的とした、内部または外部の潜在的な悪意のある行為です。
クラウドセキュリティの課題 クラウド環境で効果的なセキュリティ対策を実装および管理する際に組織が直面する運用上の困難と複雑さを網羅しています。 例としては、複雑なクラウドアーキテクチャ、データのプライバシーとコンプライアンスの確保、クラウドサービスプロバイダー(CSP)とのセキュリティ責任の共有などがあります。
The Board-Ready CISO Report Deck [Template]
This editable template helps you communicate risk, impact, and priorities in language your board will understand—so you can gain buy-in and drive action.
クラウドセキュリティリスクトップ7
最も一般的なクラウドセキュリティの課題には、次のようなものがあります。
データ侵害
不適切な ID アクセス管理 (IAM)
安全でない API
不十分なクラウド構成管理
共有インフラストラクチャの脆弱性
シャドーIT
ヒューマンエラー
各リスクの仕組みについて、例や軽減戦略など、以下でご紹介します。
1. データ侵害
クラウド環境には通常、次のような大量の機密データが格納されます 個人を特定できる情報(PII) および個人の健康情報(PHI)。 データは脅威アクターにとって最も価値のあるターゲットであることが多いため、脆弱性を真剣に受け止めることが不可欠です。
データ侵害は、次のようなさまざまな理由で発生する可能性があります。
脆弱な認証プロトコル
権限の設定ミス
インサイダーの脅威
ソーシャルエンジニアリング攻撃
ランサムウェア
一般的なクラウド環境は、IaaS、SaaS、PaaS の各コンポーネントの組み合わせです。多くの企業は、パブリッククラウドとプライベートクラウドの両方を利用するハイブリッドモデルを採用しています。一部の企業は、オンプレミスのデータセンターを使用してクラウドインフラストラクチャを構成しています。
例
2018年、Uberは、Amazon Web Services(AWS)のストレージバケットの設定ミスにより機密情報が漏洩し、5,700万人以上の顧客とドライバーに影響を与える大規模なデータ侵害に見舞われました。
ハッカーは、バケットが不適切に設定され、暗号化または認証が欠落していることを確認しました。 これを悪用して、メールアドレス、名前、連絡先番号などの顧客の機密情報が入ったバケットにアクセスしました。 このセキュリティインシデントの後、Uberは法的措置と規制当局の監視に直面しました。
緩和戦略
データの保護 暗号化メカニズムを実装することにより、保存時および転送中。
多要素認証(MFA)などの手法を通じて強力な認証方法を適用し、不正アクセスを防止します。
アクセス制御と権限を定期的に監査して、潜在的な脆弱性を特定して修正します。
データ損失防止(DLP)ツールを活用して、機密情報の不正な転送を監視および防止します。
Take the Cloud Security Self-Assessment
Get a quick gauge of cloudsec posture to assess your security posture across 9 focus areas and see where you can do better.
Begin assessment
2. 不適切な ID アクセス管理 (IAM)
IAM、または 不適切な ID アクセス管理は、どのユーザーがどのリソースにアクセスできるかを制御するために使用される一連のポリシーです。 IAMのルールとポリシーが不適切に構成されていると、クラウドリソースへの不正アクセスが発生する可能性があるため、IDアクセス管理は重大なリスクをもたらす可能性があります。 クラウドセキュリティ.
過剰な権限、ロールベースのアクセス制御(RBAC)の欠如、脆弱な認証メカニズムは、セキュリティ侵害につながり、データとクラウドシステムの機密性と整合性を損なう可能性があります。
例
2017年、Equifaxは史上最大のセキュリティ侵害の被害に遭いました。 ハッカーは、EquifaxのWebアプリケーションで使用されるオープンソースソフトウェアモジュールの既知の脆弱性を特定し、悪用しました。 彼らは、約1億4,700万人の詳細を含む重要な顧客記録に不正にアクセスしました。
IAM制御の不規則性と不整合が侵害につながり、ハッカーが正当なユーザーとして行動し、Equifaxを検出されずにナビゲートすることを可能にしました'数か月にわたるシステムにより、深刻な財政的損失、規制当局による監視、およびEquifaxの損害が発生しました'の評判。
緩和戦略
包括的なIAMフレームワークを実装し、 最小特権の原則 ロールベースのアクセス制御を使用します。
権限を定期的に確認し、必要に応じて更新して、ユーザーの権限が組織での役割の変更を反映していることを確認します。
一元化されたID管理ソリューションを利用して、ユーザー認証と承認のプロセスを合理化します。
ユーザーのアクティビティログを継続的に監視して不審な動作がないか確認し、侵害されたアカウントのアクセスを取り消します。
The Ultimate Cloud Security Buyer's Guide
Everything you need to know when evaluating cloud security solutions.
3. 安全でない API
アプリケーション・プログラミング・インターフェース(API)は、クラウド・プロバイダーが提供するクラウド・サービスとの通信において重要な役割を果たします。 APIは、データの要求と交換のためのプロトコルと方法を定義し、アプリケーションがストレージ、コンピューティングパワー、データベースなどのさまざまなクラウドリソースにアクセスできるようにします。 安全でないAPI ハッカーに簡単に攻撃され、機密データが公開され、データ漏洩、アカウントの乗っ取り、サービスの中断につながる可能性があります。
例
2018年、政治コンサルティング会社のケンブリッジ・アナリティカが何百万人ものFacebookユーザーの個人データに本人の同意なしにアクセスしたことが明らかになり、Facebookは厳しい監視に直面しました。 この侵害の根本的な原因は、サードパーティの開発者がユーザーにアクセスすることを許す安全でないAPIでした' 必要以上のデータ。
Cambridge Analyticaは、この脆弱性を悪用して、2016年の米国大統領選挙中にターゲットを絞った政治広告の情報を収集しました。 これにより、Facebookはより厳格なAPI制御を実装し、将来の侵害を防ぐためにデータ保護対策を強化するようになりました。
緩和戦略
徹底的なセキュリティ評価、詳細な脆弱性スキャン、およびコードレビューを実施してから、サードパーティのAPIをソフトウェアに統合します。
OAuth キーや API キーなどの強力な承認および認証メカニズムを実装して、パブリックにアクセス可能な API を保護します。
定期的なスキャンを実行して、API アクティビティの不正なアクセス試行を監視します。
APIを介して暗号化された形式でデータを送信し、悪意のある傍受や改ざんを回避します。
4. 不十分なクラウド構成管理
クラウドインフラストラクチャの設定ミス また、サービスは脆弱性を生み出し、攻撃者がそれを悪用して不正アクセスを取得し、運用を中断させる可能性があります。 ファイアウォールルールやIAMポリシーなど、クラウドアプリケーションやサービスのセットアップや管理にエラーがあると、誤って機密データが公開されたり、不適切な権限が付与されたりする可能性があります。 攻撃者は、これらの設定ミスを利用して、セキュリティ制御を侵害し、システムを侵害し、サービスを中断します。
例
最大のクレジットカード発行会社の1つであるCapital Oneは、大規模なセキュリティ侵害に見舞われ、社会保障番号や財務記録など、1億人以上の個人情報が流出しました。
この侵害は、クラウド設定管理が不十分または不適切であったために発生しました: 元従業員が、クラウドインフラストラクチャ内の設定ミスのあるオープンソースのWebアプリケーションファイアウォール(WAF)を悪用し、AWSサーバーに保存されている機密性の高い顧客データに不正アクセスしました。
緩和戦略
の遵守 クラウドセキュリティのベストプラクティス サービスを安全に構成するためのガイドライン。
これらのリスクを軽減するには、Infrastructure as Code による自動化、構成の標準化、可視性の監視とログ記録、正式な変更管理プロセスなど、構成管理のプラクティスに従います。
自動化された構成管理ツールを使用して、クラウド環境全体で一貫したセキュリティ構成を実施します。
クラウド構成の定期的な監査を実施して、構成の誤りを迅速に検出して解決します。
ネットワークのセグメンテーションとアクセス制御を展開して、設定ミスの影響を軽減します。
5. 共有インフラストラクチャの脆弱性
パブリッククラウド環境には、複数のユーザーが同じ物理ハードウェアとリソースを同時に使用できる共有インフラストラクチャが含まれます。 この共有インフラストラクチャの脆弱性は、すべてのテナントをデータ漏洩やセキュリティ侵害にさらす可能性があり、強力な分離とセグメンテーションのメカニズムの重要性が浮き彫りになっています。
例
2018 年、設定変更により、Google App Engine、Cloud Storage、Cloud Datastore など、複数の Google Cloud Platform(GCP)サービスで連鎖的な障害が発生し、世界中の多数のユーザーとサービスに影響が及びました。 この障害により、Google に依存しているさまざまな組織の重要な業務が中断されました'のクラウドサービス。
このインシデントは、クラウドインフラストラクチャの相互接続性、つまり、1つの設定エラーが複数のユーザーやサービスに影響を与える可能性があることを浮き彫りにしました。 また、共有クラウドインフラストラクチャに関連するリスクを軽減するために、冗長性対策と監視システムを実装することの重要性も強調しました。
緩和戦略
仮想プライベートクラウド (VPC) などの分離メカニズムを実装する または、テナント間の攻撃を防ぐためのネットワークセグメンテーション。
ハイパーバイザーと基盤となるインフラストラクチャコンポーネントに定期的な更新とパッチ適用を実行して、セキュリティを強化します。
侵入検知および防止システム(IDPS)を使用して、共有クラウドインフラストラクチャ内の悪意のあるアクティビティを監視およびブロックします。
共有ストレージ内のすべてのデータを暗号化して、不正アクセスを防ぎます。
6. シャドーIT
シャドーITとは、企業の管理下にないデータを指します'の IT チームまたはセキュリティ チーム。 これは、開発者やチームが官僚的なプロセスを迂回して、その場でITリソースを委託するアジャイル環境の自然な副産物です。
例
2019 年、ある医療機関の従業員が、同僚とより効率的にドキュメントを共有するために、不正なファイル共有サービスの使用を開始しました。 残念ながら、このアプリケーションには適切なセキュリティ対策が欠けていたため、機密性の高い患者データが公開されました。 この事件は、患者が自分の個人情報に関連する異常な活動を報告した後に初めて発見されました。 その結果、組織は厳しい規制上の罰金と患者の信頼の喪失に直面しました。
緩和戦略
どのクラウド サービスとアプリケーションが承認されるかを概説するガイドラインを確立し、従業員にこれらの手順に従うように促します。
クラウドアクセスセキュリティブローカー(CASB)を活用します。 これらのツールは、組織内のクラウドサービスの使用を監視および管理することにより、シャドーITアクティビティの可視性と制御を提供します。
組織全体で使用されているクラウド アプリケーションとサービスを定期的に確認および評価して、不正使用を特定して対処します。
シャドーITに関連するリスクと、承認されたリソースを使用することの重要性についての認識を高め、コンプライアンスとサイバーセキュリティのマインドフルネスの文化を醸成します。
7. ヒューマンエラー
ヒューマンエラーは、 クラウドセキュリティ 障害。 これらのエラーは、多くの場合、統一されたクラウド戦略の欠如、不十分なトレーニング、不十分なクラウドセキュリティ対策に起因します。
例
2017 年には、AWS S3 バケット設定エラーにより、何百万人もの Verizon の顧客からの機密データが流出しました。 この設定ミスは、アクセス設定が誤ってパブリックに設定されていたため、人為的なミスが原因でした。 この失効により、権限のない第三者が顧客の名前、電話番号、アカウントの詳細にアクセスできるようになりました。
緩和戦略
クラウドセキュリティのベストプラクティスと、彼らがやり取りする特定のシステム構成について、すべての従業員を定期的に教育します。
統一された クラウドセキュリティ戦略 これにより、すべての部門が一貫したセキュリティプラクティスに整合していることを確認します。
クラウド環境でのアクションと変更の包括的なログを保持して、セキュリティインシデントを効果的に追跡および調査します。
ロールベースのアクセス制御 (RBAC) と最小特権の原則を実装すると、 リスクを最小限に抑える 不正なアクションの。
Advanced Cloud Security Best Practices [Cheat Sheet]
Real-world impact analysis, actionable steps, and hands-on code snippets for newcomers and experts alike.
クラウドセキュリティの脅威トップ4
クラウド環境は常に脅威にさらされており、セキュリティと運用に深刻なリスクが及ぶ可能性があります。 させる'では、クラウドセキュリティの脅威の上位4つを、次のような例と軽減戦略とともに検証しています。
アカウントの乗っ取り
サービス拒否攻撃
インサイダーの脅威
クラウドマルウェアインジェクション
1. アカウントの乗っ取り
この脅威は、多くの場合、フィッシング攻撃などの方法を使用して実行されます。 ソフトウェアの脆弱性の悪用、または脆弱なパスワードを利用する。 アカウントが侵害されると、ハッカーはデータを操作したり、不正な取引を実行したり、アカウントをさらなる攻撃に使用したりする可能性があります。
例
2019年、Capital Oneは大規模なデータ侵害を経験し、ハッカーは1億を超える顧客アカウントとクレジットカードアプリケーションにアクセスしました。 攻撃者は、設定に誤りのあるWebアプリケーションファイアウォールを悪用し、Capital Oneに保存されている機密データへのアクセスを可能にしました'のクラウド環境。 このインシデントは、アカウントの乗っ取りに関連するリスクと、それが顧客とビジネスの両方に与える可能性のある影響を浮き彫りにしました。
緩和戦略
多要素認証 (MFA) を実装して適用し、ユーザー アカウントにセキュリティのレイヤーを追加します。
アカウントのアクティビティを定期的に監視し、異常な動作や疑わしい動作がないか確認し、潜在的なセキュリティインシデントに迅速に対応します。
フィッシングのリスクについてユーザーを教育し、フィッシングの試みを認識して回避する方法についてのトレーニングを提供します。
最新のパスワードポリシーを利用し、定期的に更新される複雑で一意のパスワードを要求します。
2. サービス拒否 (DoS) 攻撃
サービス拒否(DoS)攻撃は、悪意のある攻撃者がクラウドサービスに大量のトラフィックを殺到させ、混乱を引き起こし、正当なユーザーがアクセスできなくなる深刻な脅威です。 この種の攻撃は、ネットワーク帯域幅やサーバーリソースを悪用し、長時間の停止や潜在的な経済的損失につながります。
例
2020年、Amazon Web Services(AWS)はDDoS(分散型サービス拒否)攻撃を受け、多くの顧客に影響を与えました。 攻撃者は、毎秒2.3テラビットを超える大量のトラフィックを解き放ち、記録された最大のDDoS攻撃の1つになりました。 この混乱はサービスの停止につながり、大規模なクラウドプロバイダーでさえ直面する可能性のある脆弱性を浮き彫りにしました。
緩和戦略
AWS Shield や Azure DDoS Protection などの DDoS 保護サービスを実装して、高度な脅威防御を提供します。
レート制限を利用して、ユーザーが特定の時間枠内にクラウドサービスに対して行うことができるリクエストの数を制御します。
ロードバランサーをデプロイして、トラフィックを複数のサーバーに均等に分散し、1つのサーバーに過負荷をかけるリスクを軽減します。
インシデント対応計画を策定および維持して、DoS 攻撃の影響に迅速に対処し、軽減します。
3. インサイダーの脅威
これらの脅威は、システムやデータへのアクセスを許可された組織内の個人が、このアクセスを悪意を持って悪用することに起因します。 それらは、現在または以前の従業員、請負業者、またはビジネスパートナーから提供される場合があります。 インサイダーによって引き起こされる損害は、組織について深い知識を持っていることが多いため、深刻なものになる可能性があります'の運用およびセキュリティ対策。
例
インサイダー脅威の最近の例は、2023 年 5 月に発生しました。 テスラでは、2人の元従業員が、従業員の個人情報や生産上の秘密を含む100GBの機密データを漏洩しました。 この侵害により、75,000人以上のデータが流出し、テスラに損害を与えました'の評判。 法的措置が取られましたが、この事件は、機密情報へのアクセスを許可された内部関係者によってもたらされる重大なリスクを浮き彫りにしています
緩和戦略:
最小特権に基づく厳格なアクセス制御を実装します。
不審なアクティビティを継続的に監視します。
権限を定期的に見直して更新し、不正アクセスを防止します。
ユーザー行動分析を活用して異常を検出します。
インサイダー脅威に迅速に対処するための包括的なインシデント対応計画を確立します。
4. クラウドマルウェアインジェクション
これは、攻撃者が悪意のあるコードをクラウドサービスに挿入し、それが他のシステムに広がることで発生します。 これにより、データの盗難、不正アクセス、リソースの乗っ取りにつながる可能性があります。 マルウェアインジェクションは、クラウドストレージ、アプリケーション、またはサービス構成の脆弱性を悪用することが多く、クラウドセキュリティに対する脅威となります。
例
2017年、暗号通貨マイニングマルウェアCoinhiveは、侵害されたクラウドサーバーを通じて多数のWebサイトに挿入されました。 攻撃者は、安全でない設定を悪用してマルウェアを注入し、訪問者を利用しました' 彼らの同意なしに暗号通貨をマイニングするためのコンピューティングリソース。 このインシデントは、適切なセキュリティ対策が講じられていない場合のクラウドインフラストラクチャの悪用の可能性を浮き彫りにしました。
緩和戦略
包括的なセキュリティ評価と脆弱性スキャンを実装して、クラウドインフラストラクチャの弱点を特定して修正します。
高度なマルウェア検出ツールとエンドポイント保護ソリューションを利用して、マルウェアの試みをリアルタイムで検出してブロックします。
厳格なソフトウェア開発ライフサイクル (SDLC) プラクティスと継続的な監視を採用して、デプロイ全体でコードの整合性を確保します。
既知の脆弱性を排除するために、すべてのソフトウェアとクラウドサービスに定期的な更新とパッチが適用されていることを確認してください。
Quickstart Template for Cloud Incident Response
A simple IR template for cloud security operations teams.
クラウドセキュリティの上位6つの課題
最も一般的なクラウドセキュリティの課題、例、軽減戦略には、次のようなものがあります。
複雑な規制コンプライアンス
可視性の欠如
クラウドセキュリティの専門家の不足
クラウドデータガバナンス
急速に進化するアタックサーフェスの管理
マルチクラウドセキュリティ
1. 複雑な規制コンプライアンス
コンプライアンスの達成 クラウドでは、組織が遵守しなければならないさまざまな規制要件により、複雑なタスクです。 これらの規制は、とりわけ、データプライバシー、財務情報、医療記録に関連する場合があります。 企業は、クラウドインフラストラクチャがこれらの基準に準拠していることを確認するという課題に直面しており、これは地理的な場所や業界によって異なる可能性があります。
例
2020年、ブリティッシュ・エアウェイズ(British Airways)は、GDPRの規制を遵守しなかったとして、2,000万ポンド(当初の1億8,300万ポンドから減額)という高額な罰金を科されました。 この航空会社は、400,000人以上の顧客の個人情報と財務情報を公開したデータ侵害に見舞われました。 この事件は、特に取り扱いに関して、規制遵守を確保することの重要性を浮き彫りにしました。 顧客データの保護.
緩和戦略
お客様の業界および運用地域に固有のすべての関連規制要件を理解し、遵守します。
自動化されたコンプライアンスツールを実装して、クラウド環境を継続的に監視および管理し、規制の遵守を確保します。
潜在的なコンプライアンス違反に迅速に対処および軽減するためのインシデント対応計画を策定および維持します。
2. 可視性の欠如
一般的なクラウド環境は、IaaS、SaaS、PaaS の各コンポーネントで構成され、多くの場合、ハイブリッド モデルでオンプレミスのデータセンターと組み合わされます。 サードパーティ アプリケーション、デジタル ID、機密データの急速な普及は、クラウドの無秩序な拡大につながり、組織はクラウド リソースに対する制御を失う可能性があります。
例
2017 年、Target はクラウドの無秩序な増加の問題により、大規模なセキュリティ侵害を経験しました。 攻撃者は Target の脆弱性を悪用しました'顧客のクレジットカード情報にアクセスするための無秩序に広がるIT環境。 包括的な可視性の欠如が Target のスピードを落としました'のインシデント対応により、侵害が持続し、金銭的および評判に損害を与える可能性があります。
緩和戦略
一元化された可視性ツールを実装して、マルチクラウド環境全体のすべてのリソースを監視します。
リアルタイム監視ソリューションを活用して、脆弱性を迅速に検出して対処します。
自動化されたアセット検出ツールをデプロイして、新しいクラウドアセットと依存関係を追跡します。
IDおよびアクセス管理(IAM)ソリューションを使用して、ユーザーの権限を効果的に制御および監視します。
3. クラウドセキュリティの専門家の不足
サイバーセキュリティの人材とスキルが不足していると、企業は過労になり、SaaS製品や外部のセキュリティリソースに過度に依存することが多く、クラウドネイティブ特有の課題に完全には対処できない可能性があります。 この人材不足は、企業がクラウド環境の複雑なサイバーセキュリティ要件を理解し、対処するのに苦労していることを意味し、さまざまなセキュリティインシデントに対して脆弱になっています。
例
2023年、T-Mobileは3,700万人以上の顧客の個人情報が侵害されるデータ侵害を経験しました。 この侵害は、サイバーセキュリティの専門家の世界的な不足に関連する深刻なリスクを浮き彫りにし、金銭的損失と評判の低下につながりました。
緩和戦略
継続的なトレーニングと開発プログラムに投資して、クラウドセキュリティのベストプラクティスとテクノロジーに関する既存のスタッフのスキルを向上させます。
シフトレフト イニシアチブを実装して、開発者がソフトウェア開発ライフサイクル (SDLC) の早い段階でセキュリティの課題に対処できるようにします。
マネージドセキュリティサービスとクラウドセキュリティの専門家を活用して、スキルギャップを埋め、包括的なセキュリティカバレッジを確保します。
人材不足を補うために、さまざまなセキュリティ対策を統合した一貫したクラウドセキュリティ戦略を採用します。
4. クラウドデータガバナンス
データは組織の 1 つです'の最も貴重なリソース。 膨大なクラウドデータの中には、PII、PHI、PCIなどの主要なデータがあり、強力なガバナンスと保護が必要です。 クラウドデータガバナンスの課題には、AWS、GCP、Azureのパブリックバケット全体の可視性、データエクスポージャーの検出、データフローとリネージの理解、ポリシーの実装、コンプライアンスの確保などがあります。
例
2019年、グローバルなエンタープライズソフトウェア企業であるSAPは、クラウド顧客の機密データが漏洩し、データガバナンスの失敗を経験しました。 この侵害は、クラウドサービス全体の可視性が不十分で、ポリシーの実装が不十分であることに起因していました。
緩和戦略
包括的なデータ分類とガバナンス ポリシーを実装して、関連する法的フレームワークを使用してデータを管理します。
データ可視化ツールを活用して、マルチクラウド環境全体のデータを体系的に監視および管理します。
自動検出メカニズムを確立して、データ漏洩インシデントを迅速に特定して対応します。
コンプライアンス要件に沿ったデータ所在地オプションを提供するクラウドサービスプロバイダーを選択します。
5. 急速に進化するアタックサーフェスの管理
クラウドコンピューティングの1つ'の最も注目すべき利点は、その経済的でシングルクリックのスケーラビリティです。 ただし、スケーラビリティのトレードオフは急速に拡大しています 攻撃対象領域. この拡大は、人間とサービスのID、仮想マシン、サーバーレス機能、アプライアンス、IaCサービス、データなど、クラウド資産の量が増え続けているためです。 これらの資産は、過剰な特権を持つ権利、機密情報の偶発的な公開、脆弱な資格情報、設定ミスなどのセキュリティ危機に陥りやすいです。
例
2020 年、Microsoft でサービスが正しく構成されていません'の Azure Blob Storage では、名前、メール アドレス、電話番号など、複数のエンティティのデータが公開されていました。 このインシデントは、さまざまなサービスやデータストアを綿密に監視する必要がある、急速に成長するクラウドエコシステムを保護するという課題を浮き彫りにしました。
緩和戦略
継続的な監視ツールと脆弱性スキャンツールを実装して、リスクをリアルタイムで特定して軽減します。
強力なパスワードポリシーを適用し、多要素認証(MFA)を使用してアクセスを保護します。
ゼロトラストアーキテクチャを採用して、潜在的な侵害の影響を制限するために、その発生元に関係なくすべてのアクセスリクエストを検証します。
すべてのクラウド資産の構成設定を定期的に監査および更新して、偶発的な露出を防ぎます。
6. マルチクラウドセキュリティ
マルチクラウド環境は、冗長性の強化、コストの最適化、パフォーマンスの向上のために広く採用されています。 しかし、複数のクラウドプラットフォームにまたがるセキュリティ管理の複雑さは、IAM管理、可視性、データ保護など、固有の課題を悪化させます。
例:
2019年、Capital Oneは1億人以上の顧客に影響を与えるデータ侵害を経験しました。 この侵害は、マルチクラウドの設定ミスによるもので、攻撃者がこの脆弱性を悪用することができました。 このインシデントは、不適切なIAMと設定ミスの複雑さとリスクを浮き彫りにしました。 マルチクラウド環境.
緩和戦略:
一元化されたIAMシステムを使用して、さまざまなクラウドプラットフォーム間のアクセス制御を管理します。
セキュリティ評価を頻繁に実施し、 コンプライアンス監査 設定ミスを特定して修正します。
すべてのクラウド環境で一貫したセキュリティポリシーと手順を開発し、実施します。
AIと機械学習を活用して、可視性を高め、マルチクラウド環境全体で異常なアクティビティを検出します。
Wizでクラウドサービスを効果的に保護
マルチクラウド環境を採用する企業は、従来のサイバーセキュリティ対策では軽減できない一連の固有のリスク、脅威、課題に直面する準備ができている必要があります。 それ'Wizがクラウドセキュリティの課題を克服するための独自のエージェントレスアプローチを開発した理由です。
我が クラウドセキュリティソリューション は、CSPM、KSPM、CWPP、IaCスキャン、CIEM、DSPMを統合することにより、クラウド環境全体のリスクを評価できる分析エンジンを搭載しています。
Wizは、隠れた脆弱性、有害な組み合わせ、攻撃経路、その他のマルチクラウドおよびハイブリッドクラウドのセキュリティ上の重要な課題を明らかにするのに役立ちます。 あなたはしません'セキュリティソリューションがアジャイル開発活動にブレーキをかけることを心配する必要はありません。 WizはCI/CDパイプラインに統合され、ハイオクタン価のクラウド環境に最適な高度な制御とワークフローを提供します。
デモを予約する 今Wizを見てください'のクラウドセキュリティアプローチの実践と、WizがIT環境を強化し、クラウドネイティブのセキュリティ課題を解決する方法を学びます。
Watch 12-min cloud security demo
See how Wiz brings agentless visibility & risk prioritization that proactively reduces the attack surface across your cloud environments.
Watch demo nowThe cloud should be an accelerator, not a hinderance
Learn why CISOs at the fastest growing companies choose Wiz to empower their security teams and accelerate their business.
