Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

クラウドのセキュリティ : 責任共有モデルについて情報セキュリティリーダーが知っておきたい 3 項目 (日本語)

クラウドのセキュリティと一口に言っても、サービスプロバイダーによって対象が異なり、企業のセキュリティ組織の担当範囲によっても異なります。これからクラウドの導入をしようという企業も、何年もの導入実績のある企業も、時間をかけて対象範囲を明確にしておく必要があります。

2020 年も残り少なくなりました。振り返れば、春には新型コロナウィルス感染拡大を受けて、世界中の企業が余儀なく緊急処置を取りました。当時、一時的と考えられていた変化は、もう元には戻せないという認識が強まり、経営者は対応に迫られています。企業によっては、クラウドサービスの活用を倍増する戦略的な変更が必要な場合もあり、そのクラウドサービスにはサービスとしてのインフラ (IaaS)、プラットフォーム (PaaS)、ソフトウェア (SaaS) などが含まれます。

クラウドに移行することは今日の環境において有利なことは明らかです。従業員に業務の遂行に必要な、極めて重要なツールやデータにリモートでアクセスさせて、事業活動を維持することは必要不可欠です。今年、Tenable が Forrester Consulting に委託した世界的な規模の調査によると、企業のおよそ 2/3 (64%) が、従業員のリモートまたは自宅勤務を実行しています。調査の対象となった 416 人のセキュリティ責任者は、複雑な取り合わせのテクノロジーとサービスを管理していることも明らかになりました[パブリッククラウド (41%)、プライベートクラウド (45%)、ハイブリッド型 (39%)]。 リモートで完全に業務がこなせるチームを維持しなければならない状況が続く中、2021 年以降、クラウドのポートフォリオを追加する企業が増えることが予想されます。 

クラウドのセキュリティと一口に言っても、サービスプロバイダーによって対象が異なり、企業のセキュリティ組織の担当範囲によっても異なります。これからクラウドの導入をしようという企業も、何年もの導入実績のある企業も、時間をかけてその両方を明確にしておく必要があります。情報技術では一般的なことではありますが、クラウドテクノロジーの特徴によって詳細が大きく変わります。下に、責任共有モデルの内容を、3 つの主なクラウドアーキテクチャー層別に簡潔にまとめてみました。情報は CSA のガイダンスに基づいています。

  • IaaS : この層では、CSP の責任範囲は、仮想化セキュリティとインフラのセキュリティになります。データ、アプリケーション、ミドルウェア、ホストの各セキュリティは、顧客側の責任になります。簡単にまとめると、ユーザーにはゲスト OS とそこに含まれるものすべての責任があります。
  • PaaS : この層では、CSP の責任範囲は多少幅広くなり、セキュリティ構成、管理、運営監視、インフラの緊急対応が含まれます。さらに、仮想ネットワーク、プラットフォーム層 (OS とデータベース)、アプリケーションシステムのセキュリティも含まれます。 ユーザーには、データとアプリケーションセキュリティの責任があります。
  • SaaS : この層では、CSP の責任範囲は、アプリケーションとそれを支えるコンポーネントのセキュリティになります。ユーザーには、データセキュリティとエンドポイントのデバイス保護の責任があります。

下の図は、Microsoft の場合の典型的な責任共有モデルの例を表しています。

クラウドセキュリティと責任共有モデル

出展 : https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility

一見、簡単に見える責任共有モデルですが、各層において詳細が微妙に異なる点が多くあることに注意する必要があります。例えば、IaaS デプロイメントの場合、脆弱管理が特に困難で時間を要することがあります。まず、セキュリティチームに、VPC と EC2 にあるすべての資産のインベントリのイメージパイプラインを提供しなければんりません。スキャナーやエージェントの構成とインストールが必要で、さらに最新のアップデートを常時反映できるように継続的に管理する必要もあります。その結果、新しい脆弱性の検知には数週間の遅延が生じる可能性があります。これだけでもかなりの障壁になりますが、その上、不明のクラウドのアカウントや、動的に変化し続けるクラウド環境から派生する無数の盲点も考慮する必要があります。

もう1つの懸念は、ストレージのインフラのセキュリティが CSP の責任範囲であることで、なぜなら、これにはユーザーも大きく影響されるからです。対象が S3 のバケットであれ、EC2 のインスタンスであれ、不適切な構成は漏洩の最大の原因です。

また、責任共有の詳細は、Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Microsoft Azure など、CSP によって異なります。 CSA (Cloud Security Alliance) がガイドラインを発行していますが、CIS (Center for Internet Security) も責任共有モデルにおける企業のセキュリティ部門の役割を説明したリソースを公開しています。

クラウドでの責任共有 : サイバーセキュリティ責任者が知っておきたい3項目

IDG 発行の 2020 Cloud Computing Study (2020 年クラウドコンピューティング調査)によると、調査の対象になった 551 人のIT 部門の意思決定者 (ITDM) の大多数 (81%) がすでにクラウドでのコンピューターインフラまたはアプリケーションを使用しており、そのほかの 12% は今後 12 か月間内にクラウドベースのアプリケーションの導入を計画しています。そのような方には、共有モデルについて次の 3 項目に留意されるようお勧めします。

  1. 文書や図表では同等の責任分担のように見えても、アタックサーフェスの防御 (?) にかかわる責任と実装の責任は、大幅にユーザーに依存しています。クラウドのデプロイメントの 1 つひとつに必要な投資を過小評価しないことが重要。セキュリティ担当者のトレーニングにかかる経費も含めてください。

  2. 監査項目と規格項目 (コントロールファミリー) によっては、クラウドプロバイダーのコントロールを受け継いだ形でクラウドに移行したほうが適合しやすい場合があります。受け継ぐことのできるコントロール項目には、パッチ管理、構成管理などがあり、経費節減に大きな効果が期待できることもあります。情報セキュリティチームが戦略を主導するのは当然ですが、社内の他の主要部門との連携 (特にガバナンス、リスクとコンプライアンス (GRC)、法務部門) も重要です。 社内の監査チームも特に重要な役割を果たせる場合があります。2018 年の Deloitte のレポートには、「企業の情報セキュリティ部門はクラウドの監視機能を構築できるが、[社内の監査チーム] は コントロール環境 の有効性の評価を支援、実行して、IT 部門が置き去りになることを防ぐことができる」と記されています。
  3. 万が一、漏洩や侵害が起きた場合、クラウドプロバイダが全体責任を負うと仮定しないこと。たとえ、CSP に落ち度があったと証明されても、その被害は企業のお客様、エンドユーザーに波及し、集団訴訟などで企業が告発される可能性があります。 多くの国の法律では、法的責任はデータ所有者の責であり、 すなわち、CSP ではなく、クラウドサービスを使用している企業の責となります。一口で言うならば、無頓着では済まされないということです。責任共有モデルにおける役割に前向きに対応すれば、データを安全に保てるだけでなく、万一訴訟が起きた際に会社を保護することもできます。

Forrester は、2021 年には「クラウドコンピューティングが企業の『新しい、不安定な常態』への適応を後押しする。今こそ、今年の始めに大急ぎで導入したクラウドソリューションを十分に評価し、今までのたサービスを再評価し、共有責任モデルで課せられたセキュリティに関する義務をすべて全うしていることを検証することが必要だ」と予測し、注意を喚起しています。

もっと詳しく:

関連記事

役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Web App Scanning を試す

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加