セキュリティ現場で「クラウドが嫌われる」のはなぜか？：疲弊するセキュリティ担当者

　新型コロナウイルス感染症（COVID-19）のパンデミック（感染症の世界的な流行）の影響でクラウドサービスへの投資が進んだ。それによって、攻撃の侵入口や経路になり得る「攻撃対象領域」（アタックサーフェス）が広がっている。それと同時に、セキュリティ担当者が分析するセキュリティアラートや設定すべきルール、使用するセキュリティツールなどが増え続けている。

　セキュリティ担当者の負担を増やしている原因は、攻撃対象領域の拡大だけではない。クラウドサービスのログ機能も問題だ。

　ログの管理に必要な機能を備えていないクラウドサービスが珍しくない。そのため、組織のITインフラは可視性が担保されず、セキュリティ担当者の仕事が困難となり、侵害発生の可能性を高める要因となっている。

　組織の安全性を維持するには、クラウドサービスの可視性を向上させる必要がある。

ログ機能の不備を放置するリスク

　ログの不備は組織のセキュリティリスクを招く。例えば、セキュリティベンダーVectra AIの調査チームがクラウドサービス群「Microsoft Azure」において発見した新しいエクスプロイト（脆弱＜ぜいじゃく＞性を悪用するプログラム）では、ログインジェクション（ログを利用して不正な命令を実行する攻撃手法）で管理者を攻撃し、管理者権限を入手できることが分かった。

　管理者権限が攻撃者に奪われれば、例えば組織の重要なデータがランサムウェア（身代金要求型マルウェア）によって暗号化される可能性がある。その結果、金銭を要求されたり、顧客の信頼を失ったりするだろう。

　ログの不備がもたらす問題は、脆弱性だけではない。セキュリティ担当者の負担が増大し、組織の侵害リスクが高まる。例えば、次のようなログ機能の不備がインシデントを引き起こす。

クラウドサービスベンダーがすべき対策

　クラウドサービスのログに関する課題は簡単には解決できない。これがオンプレミスの場合なら、ログが不十分だと分かれば、別のベンダーに変更して精度と有効性の改善を試みることもできるだろう。だが、クラウドサービスの場合はそうはいかない。どのようなログをどのように提供するかは、AWS（Amazon Web Services）やMicrosoftなどのクラウドサービスベンダーの方針次第だからだ。ログの質を向上させ、顧客ベースのセキュリティを強化することは、クラウドサービスベンダーの仕事だ。

　クラウドサービスベンダーがすべき対策ははっきりしている。まず、全てのイベントをログに記録されるようにすることだ。ユーザーが効率的にログを分析できるように、複数のログをまとめたレコードを迅速に配信することも同様に重要だ。

　これらの対策を実施すれば、ログの全体的な使いやすさと有効性が高まり、ユーザーがトラブルシューティングを効率的に実施し、より良いインサイト（洞察）を得られるようになる。

AIの活用で負のスパイラルを抑止

　クラウドサービスベンダーがログの機能を改善して有効性を高める必要があるのに対し、組織側もリスクを軽減する対策を実施する必要がある。攻撃対象領域の拡大といった外的要因を組織が制御することは難しいが、セキュリティチームの負担が増加し続ける状況を抑制することはできる。

　例えば、AI（人工知能）技術を活用して、誤検知を減らしたり、重要度が高いものを優先的に報告したりといった形でセキュリティアラートの品質を改善することができる。

　セキュリティアラートの品質が改善されるほど、セキュリティチームは攻撃を正確に特定して優先順位を付けることができるようになり、脅威への防御能力やインシデント時の復旧能力が高まる。それはクラウドサービスの導入がますます進む世界において非常に重要なことだ。