こんにちは!
今日もCNDの勉強をしていきます。
前回はモバイルの攻撃について書いていきました。
良かったら下記読んでみてください~
本日は「クラウド固有の攻撃」についてまとめていきます!
クラウドの脅威
現在主流となっているクラウドというものですが、これらにも脅威が存在してます!
それが下記となってます。
・データの漏洩・損失
・アカウントハイジャックからの不正利用や悪用
・管理用インターフェースの悪用
・認証攻撃
・VMレベルでの攻撃
これら以外にも設定ミスやシステムやハードウェア障害による脅威はあります!
しっかりとした対策が必要ですね。。
OWASPがあげる10個のクラウドセキュリティリスク
R1 説明責任とデータ所有権
ビジネスサービスをホストするためにパブリッククラウドを利用すると、データを回復させる際に深刻なリスクを引き起こす可能性があります
R2 ユーザのIDフェデレーション
異なるクラウドプロバイダに対しての資格情報管理が複雑になります
R3 規制コンプライアンス
透明性や様々な国の規制性を意識する必要があります
R4 事業継続性と耐性
クラウドプロバイダがビジネス継続を不適切にした場合に、多大なリスクや金銭的損害が発生する可能性があります
R5 ユーザのプライバシーとデータの二次利用
SNSのデフォルトの共有機能がユーザのプライバシーを危険にさらす可能性があります
R6 サービスとデータの統合
セキュリティ保護がされていないデータは盗聴や傍受の攻撃対象となります
R7 マルチテナントと物理セキュリティ
論理的な分離が不十分だとテナント内のセキュリティが十分に働かない可能性があります
R8 インシデント分析とフォレンジック支援
クラウド内のログがバラバラで保存されている場合、調査の際に苦労が発生します
R9 インフラセキュリティ
インフラの構成を誤ると、脆弱なアプリケーションやサービスのスキャンが可能になり攻撃を受ける可能性があります
R10 ステージング環境の露出
不正アクセス情報開示や情報改変のリスクが存在します
まとめ
本日はここまでです。
クラウドはとても便利である分、設定をしっかり行わないと大変なことになります!ということを学ぶことができましたね!
ここまで読んでいただきありがとうございました。
