クラウドから機密情報が漏えい? 3割の企業が危ない
AWSやGCPを利用している企業の3割が危険なクラウドの使い方をしていることが分かった。「外部からアクセス可能で、重大な脆弱性があり、高い権限を備えている」三重のリスクを抱えているという。
クラウドサービスを利用する企業は機密情報を漏えいしやすい形でクラウドに保存していることがある。
これを裏付けたのが、脆弱(ぜいじゃく)性管理ソリューションを提供するTenableが公表した報告書だ(注1)。
2024年10月から2025年3月にかけて同社がスキャンを実施した結果、外部からアクセス可能な状態の「クラウドストレージバケット」の約10%に機密データが保存されていたという。企業はその大半を機密情報または制限付き情報と認識していた。クラウドストレージバケットとは、データを保存するためのコンテナであり、クラウドサービスプロバイダーが提供するオブジェクトストレージサービスで利用する。
依然としてリスクを抱える「有害なクラウドの三重苦」
2025年6月18日(現地時間、以下同)に公開された同報告書では、Amazon Web Services(AWS)を利用する企業の8割以上が、重要な本人確認サービスを有効にしていることも判明した。
Tenableの報告書はクラウドストレージの利用者が直面している深刻なリスクと、今後期待できるセキュリティ改善の傾向の両方を明らかにした。
「外部からアクセス可能で、重大な脆弱性があり、高い権限を備えている」という三重のリスクを抱えたクラウドインスタンスを持つ組織の割合は29%だった。
報告書によると、AWSの全バケットのうち16.7%に機密データが含まれていたという。これは「Google Cloud Platform」(GCP)の6.5%や「Microsoft Azure」の3.2%と比較して高い割合だ。Tenableによると、ユーザーがAWSのセキュリティ対策を信用しているためか、もしくは、AWSがクラウドサービスプロバイダーとして長年にわたって使用されてきたことが理由だという。
Tenableはクラウドバケットの設定ミスが機密データの漏えいを引き起こす可能性も指摘した。調査では、AWSを使用するユーザーの「Elastic Container Service」(ECS)のタスク定義の54%、また「Google CloudRun」の環境変数の52%に機密情報が含まれていることが判明した。さらに、AWSのユーザーの4分の1以上がユーザーデータ内に機密情報を保存していたことも明らかになった。
AWSのElastic Container Serviceとは
アプリケーションとアプリケーションが動作するために必要な全ての依存関係(ライブラリや設定ファイルなど)をパッケージ化したものをコンテナと呼ぶ。
AWSはコンテナ化されたアプリケ−ションを起動したり、停止したり、負荷に応じてコンテナ数を増減させたり、監視したりする機能を備えている。Elastic Container Service(ECS)はこのようなコンテナのデプロイや管理、スケーリングなどを手軽に実行できるようにするためのフルマネージドのコンテナオーケストレーションサービスだ。
ECSのタスク定義が問題になる理由
タスク定義にはECSがコンテナを実行する際に必要な全ての情報を記入する。開発やテストの段階では、とりあえず動かしたい場合がある。その際にタスク定義内の環境変数にデータベースの認証情報やAPIキー、各種の秘密鍵、トークンなどを書き込んでしまうことがある。もしAWSのアクセス管理の設定が不適切だったり、不適切なポリシーを付与していたりすると、ECSのタスク定義、つまり機密情報を盗み取られてしまう可能性がある。(キーマンズネット編集部)
AWSのEC2のインスタンス全体をみると、ユーザーデータ内に機密情報を含むものの割合は3.5%だった。Tenableは、この状況を特に深刻な問題だと指摘した。攻撃者がこれらの機密情報にアクセスすれば、連鎖的な攻撃につながる恐れがあると警告している。
なお、過去の同社の調査と比較すると、幾つかの指標で改善が見られた。AWSまたはGCP上にこのようなバケットを1つ以上保有する組織の割合は、2024年1月から同年6月にかけての調査では38%だったが、今回29%に改善した。5つ保有する組織は同じく27%から13%に、10個保有する組織は15%から7%にそれぞれ減少した。それでもなお、Tenableは「これらの結果から、有害なクラウドの三重苦が依然として企業にとって差し迫った課題であることが分かる」と警告している。
出典:Cloud storage buckets leaking secret data despite security improvements(Cybersecurity Dive)
注1:Tenable Cloud Security Risk Report 2025(Tenable)
© Industry Dive. All rights reserved.
関連記事
現場が語る「EDRアラート疲れ」の実情 セキュリティ運用で一番の悩みは?
あらゆる企業がサイバー攻撃の標的となり得る現在、特に対応を緩めてはいけないのが「VPN」「エンドポイント」「クラウド」の3領域だ。このうち、エンドポイントを対象とする「EDR」とクラウドのセキュリティについての調査結果を紹介する。
たったそれだけ? クラウドセキュリティのお寒い実態
広く普及したクラウドサービスには弱点がある。セキュリティ対策だ。サービス事業者に任せきりにできる部分はあるものの、ユーザー側の防御が不可欠だ。調査の結果、最低限の対策ができていない企業が残っていることが分かった。
攻撃を受ける自社のクラウド 防御策に弱点あり
クラウドが攻撃されると自社が大きなダメージを受ける。どの程度の企業が攻撃を受け、どの時点で認識しているのだろうか。社内体制や従業員教育についても回答を得た。