米政府機関に中国ハッカーの不正アクセス　クラウドのセキュリティリスクにも警鐘

クラウドの便利さとセキュリティのトレードオフ

　MicrosoftとCISAの報告後、すぐに事件を報じたWiredは、クラウドが抱えるセキュリティ問題にスポットを当てた。

　「クラウドに移行することで、IT担当者はデータの保護から解放される。しかし、たったひとつの鍵が盗まれると、ハッカーは何十もの組織のクラウドデータにアクセスできるようになる。そう考えると、クラウド移行にはリスクがあるように見える」とする。

　元NSAハッカーで現在、応用ネットワークセキュリティ研究所で指導するJake Williams氏は「Microsoftのような大企業で、これほど多くの顧客が影響を受けた、あるいは受ける可能性があるというのは前代未聞だ」とコメントしている。

　また、Williams氏は、もしハッカーが（なんらかの方法で）署名キーを盗み出し、消費者アカウント全体でトークンを偽造し、企業アカウントでも偽造していたとすると、影響はもっと広範囲になる可能性があるとも指摘する。

　Wiredは、今回の事件はクラウドに移行での“現実的なトレードオフ”を示唆するものだと分析、「一元化されたシステムには相応の脆弱性がある」と注意を喚起する。

　Microsoftは事件後、Azureのログデータへのアクセスについて料金体系を見直し、追加料金なしに広範なセキュリティログにアクセスできるようにすると発表した。SiliconANGLEは、Google Cloud、Amazon Web Servicesなどもログデータのアクセス提供に取り組んでいることを挙げながら「良い知らせだ」とした。

　Wizはレポートで、クラウドサービスプロバイダーに対し、「署名鍵の保護について、より高レベルのセキュリティと透明性を約束すべき」としている。