ブログ記事
クラウド セキュリティ入門:脅威、対策、ベストプラクティス
クラウドとは、コンピューティング リソースをインターネット経由で提供することです。あらゆる種類のITツールとアプリケーションを利用でき、ユーザーはサーバー、ストレージ、データベース、ネットワーク、アプリケーションにアクセスできます。
クラウドで用いるリソースは、組織が所有して利用することもできますが、より一般的なのはサービスとして提供される形態です。サービスとして利用する場合、クラウドはITインフラ、アプリケーション、サービスをオンデマンドで利用できるようにすることで支出を削減し、柔軟性が生まれます。
クラウド セキュリティとはクラウドコンピューティングの基盤で、クラウドベースのサービスを不正アクセスから守り、データの保護を行う包括的なセキュリティ対策です。プライベート クラウド、パブリック クラウド、ハイブリッド クラウドのいずれにも、データのプライバシー確保とコンプライアンス要件への対応を実現するために、クラウド セキュリティがアーキテクチャとインフラに不可欠な要素として備わっています。
クラウド セキュリティには以下のような多くのメリットがあります。
クラウド セキュリティと責任共有モデル
クラウドのセキュリティでは、クラウドの形態に関わらず、責任共有モデルです。クラウド セキュリティの責任は3つに分類されます。
クラウド セキュリティは責任共有ですが、クラウドプロバイダーが常に責任を負う領域があります。クラウドプロバイダーは、物理サーバー、ネットワーク、ストレージ、その他の基盤となるインフラのセキュリティの責任を持って保護し、アクセス制御やパッチ適用、設定管理の作業を行います。
クラウド セキュリティで利用者側が常に責任を負う領域があります。具体的には、ユーザーと特権アクセス権限の管理、クラウドのアカウントデータの保護、そしてコンプライアンス要件を遵守するためのセキュリティ対策を講じることです。
クラウド セキュリティは、サービスモデルによって責任の範囲が異なります。
クラウド セキュリティに関する課題
APIの脆弱性サイバー犯罪は多くの場合、APIの脆弱性を悪用してリソースやコードに不正アクセスを試みます。例えば、大量のリクエストを送りつけてシステムをダウンさせるDoS攻撃や不正なプログラムをAPI を通じてサーバーに送り込み、システムを乗っ取るコード インジェクション攻撃を行います。
コンプライアンスとガバナンスクレジット業界のセキュリティ基準、PCI DSS (Payment Card Industry Data Security Standard)や医療情報に関するプライバシー保護・セキュリティ確保について定めたアメリカの法律、HIPAA (Health Insurance Portability and Accountability Act)、カリフォルニア州プライバシー権法、CPRA (California Privacy Rights Act)、EU一般データ保護規則、GDPR (General Data Protection Regulation) など、各種規制や法令に求められるセキュリティ要件の大半を満たすようにサービスを提供していますが、ワークロードやデータ処理がこうした法律に準拠するように図ることは利用者の責任になり、クラウド プロバイダーがすべてに対応しているわけではありません。多くの組織がクラウド プロバイダーがセキュリティを全面的に担ってくれると誤解しているため、 規制順守に必要なプロセスや統制を実装していません。
動的なワークロードクラウド環境では、クラウドリソースのプロビジョニングとデプロビジョニングが動的に行われるため、従来のセキュリティ ツールでは、急速に変化するワークロードをサポートするために必要な種類の保護ポリシーを適切に提供することができません。
攻撃対象領域の拡大マイクロサービスを採用すると、公開されるワークロードが大幅に増加し、攻撃対象領域も拡大します。
可視性と追跡性の欠如クラウド プロバイダーがインフラ層を完全に制御する場合、利用者はそのインフラレイヤーに触れることができないため、クラウドリソースを把握することが出来ず、インフラレイヤーを可視化することが出来ないため、クラウド環境全体を俯瞰してセキュリティ対策を講じるのがの難しくなります。
過剰な権限付与クラウド ユーザーのロールは、デフォルトでは非常に緩く設定されており、必要以上のアクセス権限が付与されていることが多いです。
クラウドサービスの設定ミスユーザーや管理者がセキュリティ設定を正しく適用しないと、クラウドの設定ミスが生じます。こうした設定ミスが生じると、外部に機密情報が流出する恐れや脆弱な認証情報の設定により重大なセキュリティ インシデントが発生します。
ゼロデイ脆弱性クラウド セキュリティ対策としては、大手クラウドプロバイダーであってもゼロデイ脆弱性による攻撃を完全に防ぐことはできません。
クラウド セキュリティとゼロ トラスト
クラウド セキュリティにおけるゼロトラストの基本原則は他のどの導入形態と同様です。すなわち、ネットワークの内外に関係なく、誰も信頼すべきではないというセキュリティの考え方のことです。クラウド セキュリティへのゼロトラストのアプリケーションには、以下のようなものがあります。
クラウド セキュリティにおけるゼロトラストの導入には、以下のようなメリットがあります。
クラウドのセキュリティにゼロトラストを導入する際の主な手順を以下に示します。
クラウド セキュリティにおけるベストプラクティス
クラウド セキュリティツールと制御機能を導入する際には、以下のベストプラクティスを考慮することが重要です。
クラウド セキュリティに対応するソリューション
クラウドが持つ分散的かつ動的な性質により、以下のような広範なセキュリティツールとセュリティ対策を活用することが重要です。
変更管理とソフトウェアのアップデート仮想サーバーのプロビジョニング、設定の逸脱に対する監査、問題の修正を行う際には、ガバナンス管理とコンプライアンスで定めているルールとテンプレートを適用します。
クラウド型WAF(ウェブアプリケーションファイアウォール)受信トラフィックとリクエストがサーバーに到達してビジネス リソースにアクセスする前に監視します。
コンプライアンス評価コンプライアンスのルールと要件をレビューして更新します。
クラウドデータに対する制御
データの暗号化極秘情報や機密情報をマスキングすることで、情報漏洩が発生した場合でもこれらの情報を保護します。
端末によるクラウドデータとアプリケーションへのアクセス制御:承認されていないの個人端末がクラウドデータにアクセスしようとした場合など、ルールに基づいてアクセスをブロックします。
データ保護の強化すべてのトランスポート層では暗号化を使用してファイルの共有と通信のセキュリティを確保し、リスク管理に関連するコンプライアンス要件を継続的に満たします。設定ミスがあるリソースの検知、孤立リソースの終了など、適切なデータ ガバナンスを向上させます。
粒度が高く、ポリシーベースのアイデンティティ アクセス管理(IAM)と認証ITリソースやAPIへの特権アクセス権限を付与します。
アイデンティティ(ID)管理とアクセス制御最小権限の原則を適用し、どのユーザーやユーザーグループがどのリソースやデータにアクセスできるかを定義します。
マイクロ セグメンテーション専用の広域ネットワーク(WAN)のリンクを使用して、仮想端末、仮想ネットワークとそのゲートウェイ、パブリック インターネット プロトコル(IP)アドレスへのアクセスをカスタマイズし、それぞれのワークロードを個々のワークロードのレベルまでマイクロセグメント化し、サブネットのゲートウェイで詳細なセキュリティ ポリシーを適用します。
次世代ファイアウォールアプリケーション対応のフィルタリングを使用して、ウェブ アプリケーションのサーバーとの間のトラフィックを詳細に検査して制御し、トラフィックの動作が変更になるごとにルールを自動的に更新することで、高度な脅威を阻止します。
マルウェア対策ファイルスキャン、アプリケーションのホワイトリスト化、機械学習(ML)ベースのマルウェア検知、ネットワークトラフィック分析を用いて、クラウドサービスへのマルウェア侵入を阻止します。
特権アクセス権限の制御特権アカウントがデータやアプリケーションにアクセスするすべての形態を特定し、公開を制限する制御の実装と管理を行います。
リスク管理クラウド環境やプロバイダーによってもたらされるリスク要因を特定して対処します。
脅威インテリジェンスすべてのトラフィックをスキャンして、集約したログデータと社内データ(資産管理システムや構成管理システムなど)、脆弱性スキャナ、社外データ(公開脅威インテリジェンス フィード、地理的位置情報のデータベースなど)、人工知能ベースの異常検知アルゴリズムを相互に参照することで、既知および未知の脅威をリアルタイムで検知して修正します。
クラウド上のデータとアプリケーションのユーザー アクセス制御(CASB:Cloud Access Security Broker)クラウド上のデータとアプリケーションには、認証済みユーザーのみがアクセスできるようにします。
UBA(User Behavior Analytics、ユーザー行動分析)侵害されたアカウントや内部関係者による脅威の検知など、悪意のある活動を特定します。
クラウドデータの可視性 API 接続を使用して以下を確認します。
クラウド セキュリティの品質維持における内部責任の確立
企業は、クラウドのセキュリティを最優先事項にする必要があります。クラウド サービスプロバイダーはシステムとデータの保護には長けていますが、クラウド セキュリティ全体の責任は組織にあります。外部委託したソリューションの監視と監査、社内におけるクラウド導入の管理、またはハイブリッド環境に関係なく、企業はクラウド セキュリティのあらゆる側面について理解を深める必要があります。
クラウド セキュリティに適した安全な処理とポリシーの策定に時間をかけることは、システムの保護とコンプライアンス要件への遵守を満たすという安心感を得る上では不可欠なことです。クラウド セキュリティは、サイバー犯罪者に対して最も効果的な防御となり、不正アクセス、情報漏洩、その他際限のない脅威から保護することができます。
FAQ
よくある質問
クラウドのセキュリティ課題は何ですか?
不適切なアクセス権限設定が、不正アクセスや情報漏洩の原因となることがあります。また、従業員が使用するSaaSアプリケーションの数の増加に伴いシャドーITが発生し、データが流出するリスクを抱える可能性があります。
ゼロデイ脆弱性とは何ですか?
ゼロデイ脆弱性とは、システムやデバイスに存在し、防御手段や修正パッチが開発されていない脆弱性のことです。「ゼロデイ」は有効な対策を講じるための時間が「0日」であることに由来しています。