設定ミスってなぜ起こる？ クラウド時代に「ポスチャ―管理」が必要なワケ

大規模な情報流出インシデントにつながる、クラウド環境での設定ミス。そのようなインシデントが発生する背景とともに、設定ミスを回避するための「ポスチャ―管理」ソリューション（CSPM）の基本を解説する。

[酒井洋和，てんとまる社]

クラウド環境でセキュリティインシデントが増えている現実

　最小限のイニシャルコストですぐに環境が整備でき、拡張性にも優れるSaaS（Software as a Service）やPaaS（Platform as a Service）、IaaS（Infrastructure as a Service）などのクラウドサービス。常に最新のテクノロジーが利用できる点も大きな魅力で、オンプレミスの業務基盤をクラウドに移行する企業も増えている。

　クラウドサービスの中でも、オンプレミスからのクラウド移行の際に利用されているのがIaaSだ。仮想サーバやネットワークなどのインフラをインターネット経由で提供するサービスであり、OSまでをもサービスとして提供される。グローバルでは、「Amazon Web Service」（以下、AWS）や「Microsoft Azure」「Google Cloud Platform」（以下、GCP）などが有名で、日本でも富士通やNEC、IIJなど多くの企業がIaaSを提供しており、利用経験のあるサービスもあるだろう。

　クラウドサービスの利用が広がるなか、データ流出を中心としたインシデントが多発している。具体的な例では、WAF（Web Application Firewall）の設定ミスから「Amazon Elastic Compute Cloud」（Amazon EC2）が不正アクセスを受けた米金融大手のCapital Oneでは、2019年に1億人を超える規模の個人情報が漏えいした。日本においても、IaaSで運用していた小売大手のオンラインショップのデータが改ざんされ、画面で入力するさまざまな情報が外部へ流出した可能性が示唆されるなど、情報流出の事例は枚挙に暇がない。

　こうしたインシデントの多くは、外部からの攻撃による資格情報の掌握やIaaSに展開したソフトウェアの脆弱（ぜいじゃく）性を狙ったものだが、実は単純な設定ミスが原因で情報漏えいインシデントを引き起こしているケースが増えつつある。

なぜこうも設定ミスが起こりやすいのか？　3つの理由

　スモールスタートから大規模な環境移行まで、企業のクラウド利用は進む一方だが、なぜ設定不備などのミスが発生しやすいのか。それにはいくつか理由が挙げられる。