クラウド ゼロトラスト

ゼロトラスト クラウドとは、ユーザーやデバイスがアクセスを試みるたびに検証を行うクラウドセキュリティのアプローチです。

クラウド ゼロトラストの仕組みでは、要求が定義されたセキュリティポリシーに適合しないか、システムがその要求を検証または認証できない場合、その要求を拒否することになります。

クラウドのゼロトラストでは、ユーザーのアイデンティティ、デバイスの態勢、リソースの感度、行動を組み合わせて継続的にアクセスを検証します。 これこそが、ボーダーレスで変動し続けるクラウドネイティブな世界における基本です。

クラウド環境においては、ワークロードはリージョン、クラウドアカウント、プラットフォームを越えて通信し、開発者は従来の管理対象外でサービスを立ち上げることもあります。 また、アイデンティティに、想定された範囲を大きく超える権限が付与されることもよくあります。

このような環境では、強力なセグメンテーションとリアルタイムの検証なしには、攻撃者は自由に動き回ることができてしまうのです。 ゼロトラスト戦略は、柔軟なマルチクラウドインフラにおいても、制御の回復を可能にします。

従来型のセキュリティモデルは、ひとたびネットワーク内部への侵入を許可すれば、以降はその主体を信頼するという前提に立っています。

しかしクラウド環境に境界は存在しません。分散化されたサービス、一時的なワークロード、そして大規模に稼働するアイデンティティが複雑に絡み合っています。

例えば、過剰な権限を持つサービスアカウントが 1 つあるだけで、機密ストレージ・管理 API・クロスクラウドリソースにまでアクセスできてしまっても、自社のシステムではそれを見逃してしまう可能性があります。

ゼロトラストはこの考え方を根本から覆します。暗黙の信頼を排除し、あらゆるアクションをリアルタイムで評価します。 具体的には、アイデンティティのクレーム検証、デバイスのセキュリティ状態の確認、権限スコープの分析、そして行動ベースラインの監視を継続的に実施します。 そのうえで、適切な条件が満たされた場合にのみ、必要なアクセスを動的に許可します。

アイデンティティ管理はクラウドにおけるゼロトラストの基盤です。

アクセスを許可する前に、すべてのサービス、ユーザーアカウント、マシンアカウントを検証する必要があります。 しかし、AWS IAM、Azure Active Directory、GCP のサービスアカウント、そしてサードパーティ製ツールが絡むと、これは簡単なことではありません。

ここで重要な役割を果たすのが、クラウドインフラ権限管理 (CIEM) です。CIEMは、すべてのアイデンティティとその権限をマッピングし、未使用または過剰な権限を識別し、さらに、暗号化権限とストレージ権限を併せ持つアイドル状態のロールのような危険な権限の組み合わせを特定します。

正確な権限データがあってこそ、最小権限の原則を徹底し、実際の運用状況に即した動的なアクセスルールを構築することが可能になります。

セグメンテーションはラテラルムーブメントを制限します。 ゼロトラストクラウドモデルでは、これは「どのリソースが、どのような条件下で通信を許可されるか」を制限することを意味します。

Kubernetes のネットワークポリシー、VPC (仮想プライベートクラウド)、アイデンティティ認識型プロキシといったツールは、いずれも境界の定義に役立ちます。

ただし、静的なファイアウォールだけがセグメンテーションではありません。重要なのは「コンテキスト」です。つまり、そのワークロードがどのようなデータを扱っているか、誰または何がアクセスしているか、そしてその動作が想定されたパターンと一致しているかどうかという情報が欠かせません。

動的なセグメンテーションにより、リスクの高いリソースを隔離し、高リスクのイベント時のアクセスを制限し、侵害の影響範囲を縮小することができます。

ゼロトラストは決して静的なものではありません。 アクセスの判断は、地理的位置、時間帯、ワークロードの挙動、現在のリスク状況といった変化するコンテキストに応じて適応させる必要があります。

ここで重要な役割を果たすのが、ジャストインタイム (JIT) アクセスです。

永続的な権限を付与するのではなく、ユーザーやサービスは、スコープと期間を明確に定義した一時的なアクセスをリクエストします。 さらに、行動分析やクラウド検出・対応 (CDR) を活用することで、異常を自動的に検知し、アクセスを取り消し、あるいはレビューを上位にエスカレーションすることも可能です。

強力なクラウドセキュリティソリューションは、アイデンティティ管理、ワークロードコンテキスト、ポリシー適用を 1 つのプラットフォームに統合することで、ゼロトラストをサポートします。

それらには以下が含まれていますか?

• CIEM による継続的権限分析
• ワークロードとデータアクセスのランタイムモニタリング
• インフラのコード化と CI/CD によるガードレール施行のためのポリシーのコード化
• アイデンティティ、サービス、データがどのようにつながっているかを示すサイバーエクスポージャーグラフ
• アイデンティティや構成のドリフトに対する自動修正

これらのツールはお互いに連携してアクセスを検証し、危険なパスをブロックし、コンプライアンス遵守を維持します。

NIST 800-207、FedRAMP、ISO/IEC 27001 などのフレームワークはゼロトラスト原則を推奨していますが、クラウド環境での適用には高い複雑性が伴います。

動的でアイデンティティ管理中心のモデルを採用すれば、チームの作業速度を落とすような厳格な制御を構築する必要もなく、これらの要件を満たすことができます。監査ログの改善、アクセス制御の厳格化、およびレビュー時の予期せぬ事態の減少といった効果が期待できます。

同時に、開発チームと運用チームは、固定されたロールや IP レンジではなく行動に基づいてセキュリティポリシーが調整されることを理解しつつ、迅速に活動できる自由度を獲得します。

クラウドコンピューティングにおけるゼロトラストとは何を意味しますか?

クラウドコンピューティングにおけるゼロトラストとは、自社のクラウド環境内のいかなるものも自動的には信頼しないという考え方です。 従来の境界型セキュリティとは異なり、ネットワークの内部に既に存在する場合であっても、ユーザー、デバイス、アプリケーションのいずれもが本質的に信頼できるとは見なさず、毎回、すべてを必ず検証します。クラウド上のリソースやデータへのアクセス要求はすべて厳格に検証され、リアルタイムのコンテキストに基づいて認証と認可を行った上で、初めてアクセスを許可します。

なぜゼロトラストが最新のクラウドセキュリティに不可欠なのですか?

分散型のクラウド環境には従来のようなネットワーク境界が存在しないため、ゼロトラストは現代のクラウドセキュリティにおいて必須のアプローチです。 クラウドネイティブなアーキテクチャ、マルチクラウド環境、動的なワークロードでは、資産やデータの所在が固定されません。ゼロトラストのフレームワークを採用すれば、場所を問わずすべてのユーザーとワークロードに対して厳格なアクセス制御と継続的なアイデンティティ検証を適用することで、機密データの保護とラテラルムーブメント (横方向の移動) の防止を実現できます。

ゼロトラストはクラウドのデータ保護をどのように強化できるのですか?

ゼロトラストは、認可されたユーザーとデバイスのアクセスを制御することにより、クラウドデータ保護を強力に支援します。最小権限の原則に基づくきめ細かなアクセス制御を適用するため、ユーザーやシステムは、特定のタスクに必要な権限のみを、限られた時間だけ付与されます。 アイデンティティ、デバイスの姿勢、データの状態、データの機密性を継続的に検証することで、クラウド環境におけるアタックサーフェスを大幅に縮小し、不正なデータアクセスや情報漏洩のリスクを低減できます。

マルチクラウドやハイブリッドクラウド環境にゼロトラストを適用できますか?

はい。ゼロトラストは、マルチクラウドやハイブリッドクラウド環境に最適です。 「アイデンティティ管理中心」かつ「リソース中心」のアプローチにより、異なるクラウドプロバイダーやオンプレミスインフラにわたって一貫したセキュリティポリシーを適用できます。ゼロトラストは、アクセス制御と継続的な検証を一元化することで、複雑なハイブリッドクラウド環境において、個別のツールやサイロ化された可視性に起因するセキュリティギャップを解消するのに役立ちます。

ゼロトラストに関する各種リソースをご参照いただき、ネットワークやシステムにおけるあらゆるインタラクションの段階で、信頼を検証する方法について詳しくご確認ください。