orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

「情報セキュリティ10大脅威 2020」とクラウド利用の増大

f:id:orangeitems:20201104170619j:plain

 

毎年話題になる「情報セキュリティ10大脅威 2020」ですが、いろいろ今年は状況が激変していてつい見忘れていました。

 

www.ipa.go.jp

 

f:id:orangeitems:20201104164529p:plain

 

なかなか気づきのあるランキング変動です。

特にクラウドの利用が増大しているからこそのランクインと思われる項目が散見されるのでコメントしておきます。

 

サプライチェーンの弱点を悪用した攻撃

サプライチェーンと言われてもピンと来ない人が未だに多いと思うのですが、これは結構実感しています。例えばクラウドを利用していて、標準で何らかのソフトウェアが知らないうちに入っていたとします。このソフトウェアが裏で自動アップデートするのですが、トラブルを含んでいて、ある日障害が起こるようになってしまいました。

利用者としてはこのソフトウェア自体を使っている意識が無かったので大慌て。そもそも自分で管理すらできません。

こういう、主体的に管理できない問題を抱えるのがサプライチェーン攻撃の特徴だと思います。

 

予期せぬIT基盤の障害に伴う業務停止

これ、今年多かったですよね。グローバルに展開しているクラウドがある日、全世界やリージョン単位で利用できなくなる現象。

だいたいツイッターを検索して、同じ症状に出会っている人を確認しつつ、公式発表を待つという流れですが、直撃を喰らうと仕事全体が止まってしまう。

どんどんクラウドに仕事が寄って行っているし、テレワークの流れにも追随しているので、今後この問題が下がることは無いだろうと思っています。

今年はクラウドの運用側も大変だったっぽく、グローバルで運用するにも技術者が国をなかなか跨げないので、サービス追加や変更もスケジュールを守るのが厳しかったようです。また、新機能を追加するにしても、発表イベントが延期されたり中止されたりしたのでなかなか予定通りにいかず。仕事の仕方も様変わりしている中でよくもクラウド側は運用を継続してくれているなと思います。

来年はもっと、世の中が良くなるとクラウド側も安定するだろうと思いますが。

 

不注意による情報漏えい(規則は遵守)

クラウドはインターネットに接していますから、ちょっと油断すると不用意に情報を晒すことになりがちです。

ですから運用設計は非常に大事、なのですが、クラウドサービスもWEBで全てが運用できるだけに変更も気軽にでき、その結果、運用時に後から穴を開けてしまうことも起こりがちです。

結局は、オンプレであろうとクラウドであろうと、運用のために必要な技術やノウハウは共通で、かつインターネットに接している分クラウドは穴が大きくなりがちと思っておけば良いと思います。

これだけデジタル化が進んでいる中で、「不注意」というジャンルが上がってくるのは興味深いです。結局は、人の品質が重要なのはどこまで行っても変わりません。

 

サービス妨害攻撃によるサービスの停止

クラウドサービスはインターネットを通じてサービスを公開しているので、どうしても攻撃の標的になりがち、です。

それに対してクラウドサービス側も相当な防御策を練っていて、何ペタバイトだかの攻撃を退けた、みたいなニュースをよく読みます。

逆に、クラウドサービス上にサービスを置かないと、その規模の攻撃をはねのけることってできなくなっているんじゃないかと思います。

CDNなどにDDoS攻撃対策が装備されているものもありますが、何となく、普通の事業者が制御できるものでもなくなってきたな、と。

 

 

ちなみに、2011年に公開された同様の調査について振り返っておきます。

 

f:id:orangeitems:20201104170233p:plain

「2011年版 10大脅威 進化する攻撃...その対策で十分ですか?」を公開:IPA 独立行政法人 情報処理推進機構

 

9年前は、「クラウド・コンピューティングのセキュリティ」なんて超あいまいな書かれ方をしていたんですね。

一方で、攻撃の手法は実は大して変わっていないこともわかります。

高度化・大規模化している、という理解です。

特に、デジタル化がクラウドを中心に進んでいることで、社会影響が増大していることの裏返しなんでしょうね。