1. クラウドセキュリティの概要
クラウドセキュリティとは何ですか?
クラウドセキュリティはサイバーセキュリティの分野であり、クラウドに保存されるデータ、システム、アプリケーション、リソースなどのクラウドインフラの保護に使用するツール、リソース、プロセス、ポリシーのすべてが含まれます。 また、クラウドセキュリティ対策は、オンプレミスシステムとクラウドベースのシステムが混在するハイブリッド環境の要素にも適用できます。
クラウドセキュリティプログラムによって、クラウドインフラ内にあるすべての資産を評価できます。したがって、すべての脆弱性、弱点、設定ミス、その他のセキュリティの問題の検出、緩和、修正を行い、クラウドインフラの安全を維持することができます。
クラウドセキュリティは、クラウドコンピューティングセキュリティとも呼ばれます。 クラウドセキュリティの目標は、クラウドにあるすべてのデータを保護し、規制、法律、コンプライアンスその他の基準を満たせるようにすることです。
クラウドセキュリティを使用すると、クラウドのシステムにアクセスするユーザーの制限と制御、クラウド環境のその他のセキュリティルールや構成ルールの管理が可能になります。
クラウドセキュリティに対する責任は、選択したインフラによって異なりますが、一般的には企業とクラウドセキュリティソリューションプロバイダーの双方が協力してクラウド環境を保護する必要があります。
クラウドセキュリティの仕組み
クラウドセキュリティは、さまざまな制御、プロセス、ポリシーを適用することによって機能し、クラウド環境を保護して、その環境にあるすべてのシステム、データ、アプリケーションへの不正アクセスを阻止します。
効果的なサイバーセキュリティを実現するには、サーバーレスコンピューティング、コンテナ、マイクロサービスを含む、クラウドインフラ全体を可視化して、すべてのクラウド資産を継続的に監視して分析できるクラウドセキュリティソリューションを導入する必要があります。
クラウドセキュリティのアプローチは、企業固有の特性とニーズに特に関連する数多くの要因に基づいてパーソナライズできます。 以下に、クラウドセキュリティを導入する際に選択できる戦略をいくつか紹介します。
- ネットワーク監視と次世代ファイヤーウォールにより、クラウド環境を出入りするデータの流れを制御する。 目標は、外部ネットワークの不正なユーザーによるデータへのアクセスを阻止する防護壁を構築することです。
- 継続的な資産の検出、評価、脅威インテリジェンスにより、脆弱性、弱点、その他のセキュリティの問題を明らかにする 目標は、脆弱性の検出によって、脆弱性の優先順位付けと修正の計画の策定を可能にすることです。
- ID およびアクセス管理により、許可されたユーザーのみがクラウドのデータにアクセスできるようにする
- 暗号化により、移動中や保存中のデータをエンコードする
- セグメンテーションにより、特定のデータセットやシステムを分離して攻撃の成功時に攻撃者がアクセスできる領域を狭める
- ペネトレーションテストにより、クラウド環境への不正アクセスが可能かどうかを判断し、問題を修正して侵害を防ぐ
- すべてのアクティビティのログを記録してレポートを作成する
- データ損失防止機能により、不審なデータアクティビティの検出時にアクセスを禁止する
- 設定の見直しと強化を行う
- アンチウイルスプログラムにより、マルウェア感染と拡散を防ぐ
クラウドセキュリティと従来の IT サイバーセキュリティの相違点
クラウドセキュリティと従来の IT サイバーセキュリティには、データ、システム、アプリケーションの保護など、いくつかの共通な目標がありますが、この 2 つの手法には多くの相違点があります。
従来の IT セキュリティ対策は、クラウド環境内では適切に機能せず、企業をリスクにさらす可能性がある盲点が残ります。 その理由は、 なぜなら、セキュリティ境界が存在し、より簡単に保護できることの多い従来の IT 環境 (制御された環境内にあるサーバーやコンピューターなど) とは異なり、クラウドは動的であり、頻繁に変化するからです。 一般的に、動的なクラウド内よりも、制御されたオンプレミス環境内でアクセスポイントを保護する方が簡単です。
また、クラウドの相互接続も増えつつあるため、クラウドに起因するセキュリティの問題がオンプレミス環境に広がったり、その逆が発生したりする可能性があります。 さらに、適切に保護されていない場合、共有クラウドやパブリッククラウドのスペースに起因するセキュリティの問題が、気付かないうちにシステムやデータに侵入することも考えられます。 悪意あるユーザーが共有スペース内のコンポーネントにアクセスした場合、企業のセキュリティリスクとなることもあるのです。
クラウドセキュリティには、手ごろな価格、柔軟なスケーラビリティ、優れたアクセス性など、多くのメリットがあります。しかし、このようなメリットが同時にセキュリティの問題の要因となることもあります。 クラウドは、脆弱な ID およびアクセス管理から、デフォルトパスワードの使用、侵害によるラテラルムーブメント、アプリケーションコードの弱点、脆弱性、その他のセキュリティの問題に至るまで、さまざまな問題に起因するリスクにさらされています。
また、攻撃者は、多くのクラウド環境で膨大な量のデータがホストされていることを知っているため、そうした環境をまず攻撃の標的とします。
クラウドセキュリティと従来の情報セキュリティには、リスクに関してだけでなく、メリットの面でも多くの相違点があります。
いくつかの例をご紹介します。
- クラウドセキュリティは、短時間で簡単に導入できます。 SaaS (サービスとしてのソフトウェア) モデルを使用する場合、クラウドインフラを保護するためにハードウェアやその他のアプライアンスを追加で購入する必要はありません。 これとは逆に、オンサイト IT の場合は、ハードウェアやソフトウェアの評価、購入、納品待ち、セットアップ、設定、トレーニングなどの、コストと時間がかかるプロセスが多くの場合必要になります。
- クラウドセキュリティソリューションは、複雑なオンプレミスソリューションよりもコスト面で優れています。後者では多くの場合、ソリューションの購入価格のほかに保守料金やアップグレード料金など追加コストが必要となり、IT チームとセキュリティチームは、実装と管理のために多くの時間とリソースを費やすことになります。 一方、クラウドセキュリティのサブスクリプションモデルを使用すると、これらのコストを大幅に削減できます。また、企業の規模に合わせた調整も簡単に行えます。
- 従来の IT サイバーセキュリティは、社内リソースに過大な負担をかけます。しかも、重要な役割を担当できるスキルを持った担当者が不足している現在では、状況はさらに複雑になっています。 クラウドセキュリティでは、パブリッククラウド、プライベートクラウド、ハイブリッドクラウドのうちのどのモデルを使用するかに応じて、セキュリティの責任を自社の IT チームとクラウドプロバイダーとの間で共有するか、または外部プロバイダーに管理を委託することができます。
- クラウドセキュリティソリューションは、クラウドインフラとオンプレミスの環境を包括的に可視化できるという点で卓越しています。 従来の IT サイバーセキュリティは、オンサイトとネットワークの監視に限定されています。
クラウドセキュリティはなぜ重要なのですか?
クラウドコンピューティングソリューションを導入する企業が増えるにつれ、クラウドセキュリティはますます重要になっています。 なぜなら、オンプレミスのインフラに採用されている従来のセキュリティ対策の多くが、急速に変化するクラウド環境に必要な包括的なインサイトを提供していないからです。
大量のデータが保存されているクラウド環境はサイバー攻撃者に狙われやすいため、セキュリティの脅威は常に進化し続けます。 そのため、パブリック、プライベート、ハイブリッドのいずれかのクラウドモデルを使用している場合は、クラウドセキュリティが必要になります。
以下に、クラウドセキュリティが重要である理由をいくつか紹介します。
- セキュリティの脅威は増大し、絶えず変化している
- 統合されたセキュリティ対策の一元的な管理を簡単に行える
- クラウドセキュリティは、サーバーレスコンピューティング、コンテナ、マイクロサービスなどの短期的な資産や一時的な資産に対する可視性を含め、従来の IT セキュリティでは得られないインサイトを提供できる
- クラウドセキュリティは、企業の進化や変化に合わせた拡張や変更が可能である
- クラウドセキュリティは、コストを削減し、すでに多忙な IT スタッフの負担を軽減するのに役立つ
- よく使われるセキュリティ対策の多くを自動化して、時間のかかるタスク、反復的なタスク、手動のタスクをなくすことができる
- データの安全を確保し、さまざまな許可済みのユーザーとデバイスによって場所を問わずにアクセスできる
- リモートサイトなどからのアクセスにセキュリティスタックが必要となることが多い従来の IT とは異なり、クラウドにアクセスするすべてのユーザーに対して、場所を問わずに同じレベルのセキュリティとエクスペリエンスを提供できる
パブリッククラウドとプライベートクラウドの相違点
パブリッククラウドとプライベートクラウドは、類似している点もありますが、異なるものです。 主な違いは、パブリッククラウドがインターネットを介して複数の企業によって共有されるのに対し、プライベートクラウドは単一企業の専用クラウドで、プライベートネットワークを介して共有されるという点です。
企業によっては、パブリッククラウドサービスとプライベートクラウドサービスの両方を備えたハイブリッドクラウドモデルの導入を選択しています。このモデルでは多くの場合、業務上最も重要なデータとアプリケーションがプライベートクラウドに置かれ、残りがパブリッククラウドに置かれます。
以下に、パブリッククラウドとプライベートクラウドのその他の違いをいくつか紹介します。
- プライベートクラウドは 1 つの企業専用で安全が確保されているが、それに直接付随する保守コストが発生する場合が多い
- パブリッククラウドは共有されているため、通常は追加の保守コストが発生しない
- パブリッククラウドモデルにはさまざまな価格オプションがあり、費用面での柔軟性が高い
- プライベートクラウドは企業固有のニーズに合わせてカスタマイズできるため、コンプライアンスや規制義務に関連して追加のメリットを得られる
- パブリッククラウドは、ソフトウェア開発、アプリケーションの使用、通信サービスに適しており、プライベートクラウドは、個人を特定できる情報 (PII) や保護対象保健情報 (PHI) などの機密データにより適していることが多い
- プライベートクラウドには、カスタマイズしたセキュリティソリューションを導入できるため、コンプライアンスにより適切に対応できる可能性が高いが、セキュリティの選択肢が少なくなる場合がある
ハイブリッドクラウドとは
ハイブリッドクラウドコンピューティングは、企業がソリューションをオフプレミスに導入する際に柔軟性を提供します。 ハイブリッドクラウドモデルには、パブリッククラウドとプライベートクラウドを組み合わせたものもあれば、オンプレミスのリソースを含むものもあります。
企業がハイブリッドクラウドモデルを選択する理由はさまざまです。 これに関しては、規制要件やコンプライアンス要件が決定要因になることが多く、データによっては、パブリッククラウドではなくプライベートクラウドで実行できる特定のセキュリティプロトコルが必要とされる場合もあります。 その他のデータやアプリケーションにはセキュリティの面で柔軟性が高いものもあり、そういったものはパブリッククラウドに適しています。 このような場合、ハイブリッドクラウドソリューションは、リスクを軽減できる有効な選択肢です。 最も機密性の高いデータは制御された環境に置き、それほど厳重なセキュリティ対策を必要としないワークロードにはパブリッククラウドを使用する、といったことが可能です。
以下に、ハイブリッドクラウドを選択することで得られる多くのメリットの中からいくつか紹介します。
- 必要なセキュリティの制御を維持して確実に規制を遵守できる
- すべてのデータをプライベートクラウドに置くよりもコスト効率が向上する可能性がある
- 企業の変化や進化に対応可能な、柔軟でスケーラブルな選択肢
- すべてを一度に移動することなく、クラウドへの移行を計画的かつ段階的に進めることができる。
パブリッククラウドの安全性
パブリッククラウドは安全です。 ただし、必要なセキュリティの種類に依存します。特にコンプライアンスや規制基準については、プライベートクラウドと比較して、パブリッククラウド環境では対応が難しい場合があります。 すべての企業やあらゆるタイプのデータにパブリッククラウドが適しているわけではありませんが、それでもオンサイトホスティングよりは安全です。
オンプレミス環境の場合と同様に、安全を 100% 保証できる環境は存在しません。 リスクは必ずあります。 しかし、ほとんどのパブリッククラウドプロバイダーは、自社のセキュリティ対策を継続的に改善しており、データをリスクにさらすエクスプロイトから知識を得ています。
パブリッククラウドプロバイダーとの関係を構築する際には、SLA (サービスレベル契約) などの契約を締結することになりますが、誰がどのセキュリティコンポーネントに責任を持つのかを示す必要があります。 また、双方が想定している内容を明確に理解していることを確認し、その関係が継続している間、また双方の間で契約または類似した更新が交わされた際には、定期的なフォローアップを実施するようにします。 自社の規制要件に準拠しているパブリッククラウドプロバイダーを利用しているのであれば、コンプライアンス監査に関するドキュメントを確認するよう要請します。
クラウドとオンプレミスの安全性の比較
ある調査では、約 90% の企業が、何らかのパブリッククラウドインフラを利用していると回答しています。 また、約 40% が、パブリッククラウドは、自社のオンプレミス環境で提供できるセキュリティよりも安全だと考えており、さらに 35% の企業が、パブリッククラウドはオンプレミスよりもやや安全だと回答しています。
その確実性と信頼性から、業務上最も重要なアプリケーションをクラウドに移行している企業は増加しています。10 社中 9 社が SaaS (サービスとしてのソフトウェア) を導入しています。 また、76% の企業が IaaS (サービスとしてのインフラ) を利用しており、70% が PaaS (サービスとしてのプラットフォーム) を利用していると回答しています。
クラウドセキュリティとサイバーセキュリティライフサイクルの整合
クラウドセキュリティプログラムをサイバーセキュリティのライフサイクルと整合させることにより、多くのメリットがもたらされます。
Ponemon Institute の調査「The Economic Value of Prevention in the Cybersecurity Lifecycle」(サイバーセキュリティのライフサイクルにおける予防の経済的価値) によると、攻撃による環境への侵入を阻止して被害を未然に防いだ場合、コスト、リソース、損害、時間、評判のすべてを保護できたことになります。
予防は、サイバーセキュリティのライフサイクルの中でも最も難しいコンポーネントの 1 つですが、必要不可欠です。 たとえば、ゼロデイ攻撃を防ぐと、企業は 100 万ドル近く (平均 775,000 ドル) を節約できます。 また、約 20% の企業が、保護されていないクラウドプラットフォームはセキュリティの懸念事項の上位に位置すると回答しています。
NIST のサイバーセキュリティフレームワークでは、サイバーセキュリティのライフサイクルの核となる 5 つの機能として、「特定」、「保護」、「検出」、「対応」、「復旧」を定めています。 それぞれの機能は、クラウドセキュリティのプロセスの構築と改善に使用できるアクティビティに機能を整合させる、カテゴリとサブカテゴリから構成されています。
以下に、各機能とその内容について詳しく説明します。
- 特定する: 資産管理、ビジネス環境、ガバナンス、リスク評価、リスク管理戦略、サプライチェーンリスク管理
- 保護する: アイデンティティ管理とアクセス制御、意識向上とトレーニング、データセキュリティ、情報保護プロセスと手順、保守と保護技術
- 検出する: 異常とイベント、セキュリティの継続的な監視と検出プロセス
- 対応する: 対応計画、コミュニケーション、分析、軽減、改善
- 復旧する: 復旧計画、改善、コミュニケーション
では、クラウドセキュリティのアプローチにライフサイクルのコンポーネントを効果的に適用するためには何をすればよいのでしょうか。 確認、 予測、 対応、の 3 つです。
Tenable のサイバーエクスポージャー管理プラットフォームには、クラウドベースのセキュリティ向けに数多くのソリューションとリソースが搭載されており、エクスポージャーを含めたクラウド資産の可視性を高められるため、サイバーリスクの優先順位付けを行って、クラウド環境内のセキュリティの問題の修正計画を策定できるようになります。 このプラットフォームは、すべてを把握し、重大なリスクを予測してそれらに対応できる、Tenable 独自のアプローチに根差しています。