クラウドが提供するWebアプリケーションの多くは、利用者認証が完了すると一定期間はCookieを使って正規の利用者かどうかを確認する。これにより、Webアプリケーションにアクセスするたびに認証しなくても済むようにする。
Pass-the-Cookie攻撃はこの利便性を逆手にとり、認証後の利用者がやりとりするCookieを盗んでサーバーに送ることで正規の利用者になりすます。
とはいえCISAが確認した多要素認証破りは1例だけのようだ。「多要素認証は無意味」というわけではなく、「多要素認証を使用していても破られる危険性がある」と考えるべきだ。多要素認証の使用は必須だろう。
実際CISAも、「多要素認証をすべての利用者に例外なく適用すること」を対策の1つとして挙げている。
そのほか
- 条件付きアクセスを実装する
- ログを監視して異常な活動がないか確認する
- メールの転送ルールを定期的に確認するか、転送を制限する
- 社員の私用機器を業務に使わせない
- セキュリティー教育を実施する
「クラウドは安全」という誤解
クラウドを狙ったサイバー攻撃の被害が頻発している原因の1つは利用企業のセキュリティー意識の低さだと、ジョン・ペスカトーレ氏は指摘する。ペスカトーレ氏はセキュリティー組織、米サンズインスティチュートのディレクターを務めるセキュリティーの専門家だ。
サンズインスティチュートの公式メルマガの中でペスカトーレ氏は「クラウドだからという理由だけで、安全な管理や認証、運用が実現できるわけではない」と述べ、オンプレミスと同様に適切な運用管理が不可欠だとしている。
サンズインスティチュートの創立者であり、セキュリティー業界の大御所の1人であるアラン・パーラー氏は興味深いエピソードを紹介した。
あるクラウドベンダーは「クラウドだから安全」という誤解を解くための社員を1人雇っているという。利用者に適切な設定や運用をしてもらうためだ。
その人の仕事のほとんどは、利用者に「(適切に設定・運用しなければ)クラウドは量販店で購入したサーバーやパソコンと同じくらい安全性が低い」と説明することだという。
ある会合でその人は、会社では非公式に「CAO」と呼ばれていると語った。一般的にCAOはChief Administrative Officer(最高総務責任者)やChief Analytics Officer(最高分析責任者)などの略称だが、その人のCAOはChief Apology Officer(最高謝罪責任者)の略だというのだ。
オンプレミスと同様に、クラウドを安全に利用するには熟練した専門家が必要だ。だが、クラウドベンダーは専門家がいなくても安全に利用できるようなツール類を用意しているので活用してほしいとパーラー氏は結んでいる。
