クラウドセキュリティとは?

クラウドセキュリティとは、プライベートクラウドとパブリッククラウドのどちらの場合も、クラウド環境を内部と外部のセキュリティ上の脅威から守るために講じる一連のステップのことです。

クラウドコンピューティングとは、データ、インフラストラクチャ、アプリケーションをインターネット上に保存する手法のことです。クラウドセキュリティとは、外部と内部両方の攻撃からクラウドを守る手段のことです。一般的に、連動して機能する一連のコントロール、手順、ポリシーでクラウド内のすべての資産を保護して管理します。こうしたプロトコルの導入により、規制に対するコンプライアンスを促し、管理オーバーヘッドを削減することもできます。

クラウドセキュリティは基本的には IT セキュリティですが、一元管理されます。対策と保護は同じですが、クラウドセキュリティはソフトウェア内でホストされます。クラウドコンピューティング用のソフトウェアは、拡張と移動が簡単にでき、動的であるため、環境とそれに関連するワークフローに合わせることができます。したがってデータ損失や破損のリスクが大幅に低減します。

ゼロトラストの概要とそのメリット

セキュリティのプロフェッショナルは、基本として、ネットワーク内外のあらゆるものを機械的に信頼するべきではありません。ゼロトラストポリシーでは、職務の実行に必要な可能な限り最小限のアクセス権とリソースのみをユーザーに付与するという、最小権限の原則を適用します。マイクロセグメンテーションも使用され、セキュリティゾーンを作成してワークロードを相互に区分することで、クラウドセキュリティを細分化します。

  • 内部プライベートクラウド:仮想環境を運用する内部スタッフが使用します。
  • パブリッククラウドプロバイダーのプライベートクラウド:サードパーティが提供する、顧客用の 1 つの環境を備えたコンピューティング環境です。
  • パブリッククラウド:Software-as-a-service (SaaS)、Infrastructure-as-a-service (IaaS)、Platform-as-a-service (PaaS)。
  • ハイブリッドクラウド:プライベートクラウドとパブリッククラウドのシステムが双方のプロバイダーによって共有され、コスト、オーバーヘッド、作業負荷に基づいて分割されます。

セキュリティの一元管理

クラウドコンピューティングがデータを一元管理するのと同じように、クラウドセキュリティはセキュリティ対策を一元管理します。トラフィック分析、ネットワークイベントの監視、Web フィルタリングを一元管理すると、ポリシーとソフトウェアの更新が少なくて済み、IT プロセスを簡素化できるうえ、多数のシステムの監視ではなく、技術的な作業に時間を多く使うことができます。

コストの用途変更

クラウドセキュリティには専用のハードウェアが必要なく、管理オーバーヘッドなどのコストを大幅に削減できます。IT チームはセキュリティの脅威が発生してから事後に対応していましたが、これは、常時監視を行って人間がほとんど介入しないクラウドセキュリティの事前対応的な対策よりも時間がかかる場合があります。

管理作業の軽減

クラウドセキュリティは人間の操作や介入が必要ありません。また、時間や他の貴重なリソースを消費する手動のセキュリティ設定や更新がありません。すべてのセキュリティ管理は、自動的に一元管理されます。

信頼性

クラウドコンピューティングの対策を適切に講じていると、問題がほとんど発生することなく、ユーザーはさまざまな場所から資産に安全にアクセスできます。

次に示すように、脆弱性が発生する過程、場所、理由は、いくつかあります。

攻撃対象領域の増加

クラウド環境がハッカーの攻撃対象になることが増えています。ハッカーは防御の弱い脆弱なポイントを狙い、そこからデータにアクセスし、プロセスを中断します。一般的な攻撃には、マルウェア、ゼロデイ攻撃、アカウント乗っ取りなどがあります。

可視性とコントロールの欠如

クラウドプロバイダーがすべてをコントロールし、顧客にインフラストラクチャを開示していない場合は、クラウドのお客様が自社の資産を評価したり、環境を可視化したりすることは困難です。

作業負荷が常に変動

従来のセキュリティツールは一般的に、動的なクラウド環境でポリシーを適用できないため、使いにくい場合があります。このような問題は、クラウド資産が迅速に、そして動的に変更されることに起因しています。

DevOps、DevSecOps、自動化

DevOps と DevSecOps は、文化として徐々に受け入れられつつあります。どちらのシステムも自動化されており、開発プロセスの各ステップに沿って、セキュリティコントロールとプロトコルを組み込みます。つまり製品の開発後にセキュリティ変更があると、このサイクルが崩れ、商品化までの期間が延びてしまうということです。

DevOps とは?

権限とキーのきめ細かな管理

構成が不適切なキーが存在すると、セッションにセキュリティリスクが発生します。デフォルトでは、クラウドプログラムはアカウントに多くの権限を付与するため、最小権限の原則に反します。

複雑な環境

企業はハイブリッドなマルチクラウド環境を好む傾向があります。こういった手法は、パブリックやプライベートなど、あらゆる種類のクラウドモデルを横断して機能するツールや、展開や設定が必ずしも簡単ではないツールを必要としがちです。

クラウドのコンプライアンスとガバナンス

企業には、自社のプロセスが HIPAA、FDPR、PCI 3.2、NIST 800-53 などの認定プログラムに沿っていることを確認する責任があります。ただし、クラウド環境の可視性が低くてこれに対応できないこともあります。通常、監査や継続的なコンプライアンスの確保には専用のツールが必要です。

パブリッククラウドは一般的に安全ですが、プライベートクラウドと同じ隔離の要素はなく、マルチテナンシーを採用しています。マルチテナンシーとは、企業がサーバースペースを賃貸できるシステムには、他のテナントのサーバースペースもあることを意味します。ホストしている企業は通常、セキュリティ対策を監督し、各企業のプライバシーを適切に確保します。

ただしマルチテナンシーの要素自体が脅威となる可能性があります。別のテナントが不都合な状況に陥って、不注意に行動した場合、分散型サービス拒否 (DDoS) 攻撃などの攻撃が広まるおそれがあります。

暗号化とセキュリティは、さまざまなニーズに従って、さまざまなレベルのさまざまな作業負荷に適用されます。ハイブリッドクラウドはリスクを緩和する能力が高く、2 つのクラウド環境を組み合わせているため、多様化に対応でき、要件に応じて作業負荷を特定の場所に配置するように選択できます。たとえば、機密性の高い作業負荷とデータをプライベートクラウドに保存し、標準的な作業負荷をパブリッククラウドに保存します。攻撃対象領域の拡大やデータ移行などの課題もありますが、ハイブリッドクラウドを利用した多様化は、セキュリティリスク緩和の優れた方法です。

複雑なインフラストラクチャ間のきめ細かなポリシーベース IAM と認証コントロール
個人の ID とアクセス管理レベルで作業をするのではなく、グループとロール内で作業することを推奨します。グループとロールの方がビジネス要件とルールを簡単に更新でき、最小権限の原則が各グループやロールに理想的な形で適用されます。優れた ID およびアクセス管理の対策には、強力なパスワードポリシーと許可のタイムアウトが定められています。

論理的に分離されたネットワークとマイクロセグメントにわたるゼロトラストのクラウドネットワークセキュリティ管理
クラウドのネットワーク内でリソースを論理的に分離します。サブネットレベルでセキュリティポリシーを設定するために、サブネットを使用してリソースをマイクロセグメント化します。静的なユーザー定義設定と専用 WAN を使用して、ユーザーのアクセス権をカスタマイズします。

仮想サーバー保護ポリシーと、変更管理やソフトウェア更新などのプロセスの適用
クラウドのベンダーは常に、仮想サーバーを設定するときにコンプライアンスルールを適用します。

次世代 Web アプリケーションファイアウォールによるすべてのアプリケーション (特にクラウドネイティブ分散アプリ) の保護
サーバーのきめ細かな検査とトラフィックコントロール、WAF ルールの自動更新、作業負荷を実行するマイクロサービス。

強化されたデータ保護
すべての伝送層における暗号化、継続的なリスク管理、セキュアな通信、データストレージの健全性の維持。

脅威インテリジェンスによって既知や未知の脅威をリアルタイムに検出して修復
クラウドのベンダーは、集約したログデータを内部データや外部データと相互参照して、さまざまなネイティブログストリームにコンテキストを追加します。AI 異常検出システムによって脅威をとらえてフォレンジック分析を行い、脅威のレベルを判定することもできます。リアルタイムアラートが脅威の状況を視覚化し、迅速な対処を可能にします。

  • SaaS:お客様は自社のデータとユーザーアクセスを保護する必要があります。
  • PaaS:お客様は自社のデータ、ユーザーアクセス、アプリケーションを保護します。
  • IaaS:お客様は自社のデータ、ユーザーアクセス、オペレーションシステム、仮想ネットワークトラフィック、アプリケーションを保護します。

信頼されているソフトウェアを使用する

既知の信頼されている提供元のソフトウェアのみを使用します。クラウドに何が展開されているか、それがどこの製品か、悪意のあるコードが存在する可能性があるかどうかを知っておくことが重要です。

コンプライアンスを理解する

個人情報や財務情報などのデータの使用方法は、法律によって厳しく規制されています。該当する規制を確認し、クラウド環境でコンプライアンスを維持できるかどうかを理解しておきます。

ライフサイクルを管理する

ライフサイクルを管理することで、インスタンスの放置を回避できます。古くなったインスタンスはセキュリティのパッチが適用されないため、セキュリティリスクがあります。

ポータビリティを考慮に入れる

作業負荷を別のクラウドに移行する予定がなくても、移行する機能は常に備えておく必要があります。

継続的に監視する

ワークスペースを絶えず監視することは、セキュリティ侵害の防止に役立ちます。

適切な人材を選択する

信頼がおけて、適性のある人をスタッフにするべきです。スタッフ全員が複雑なクラウドセキュリティを理解しておくことが不可欠です。サードパーティのプロバイダーへの移行を選択する場合は、そのチームの対応状況と知識を確認しておきます。

SecOps を始めましょう

脅威をより迅速に特定し、優先順位を付けて対応します。