Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

クラウドセキュリティの原則

1. クラウドセキュリティの概要


クラウドセキュリティとは何ですか?

クラウドセキュリティはサイバーセキュリティの分野であり、クラウドに保存されるデータ、システム、アプリケーション、リソースなどのクラウドインフラの保護に使用するツール、リソース、プロセス、ポリシーのすべてが含まれます。 また、クラウドセキュリティ対策は、オンプレミスシステムとクラウドベースのシステムが混在するハイブリッド環境の要素にも適用できます。

クラウドセキュリティプログラムによって、クラウドインフラ内にあるすべての資産を評価できます。したがって、すべての脆弱性、弱点、設定ミス、その他のセキュリティの問題の検出、緩和、修正を行い、クラウドインフラの安全を維持することができます。

クラウドセキュリティは、クラウドコンピューティングセキュリティとも呼ばれます。 クラウドセキュリティの目標は、クラウドにあるすべてのデータを保護し、規制、法律、コンプライアンスその他の基準を満たせるようにすることです。

クラウドセキュリティを使用すると、クラウドのシステムにアクセスするユーザーの制限と制御、クラウド環境のその他のセキュリティルールや構成ルールの管理が可能になります。

クラウドセキュリティに対する責任は、選択したインフラによって異なりますが、一般的には企業とクラウドセキュリティソリューションプロバイダーの双方が協力してクラウド環境を保護する必要があります。

クラウドセキュリティの仕組み

クラウドセキュリティは、さまざまな制御、プロセス、ポリシーを適用することによって機能し、クラウド環境を保護して、その環境にあるすべてのシステム、データ、アプリケーションへの不正アクセスを阻止します。

効果的なサイバーセキュリティを実現するには、サーバーレスコンピューティング、コンテナ、マイクロサービスを含む、クラウドインフラ全体を可視化して、すべてのクラウド資産を継続的に監視して分析できるクラウドセキュリティソリューションを導入する必要があります。

クラウドセキュリティのアプローチは、企業固有の特性とニーズに特に関連する数多くの要因に基づいてパーソナライズできます。 以下に、クラウドセキュリティを導入する際に選択できる戦略をいくつか紹介します。

  • ネットワーク監視と次世代ファイヤーウォールにより、クラウド環境を出入りするデータの流れを制御する。 目標は、外部ネットワークの不正なユーザーによるデータへのアクセスを阻止する防護壁を構築することです。
  • 継続的な資産の検出、評価、脅威インテリジェンスにより、脆弱性、弱点、その他のセキュリティの問題を明らかにする 目標は、脆弱性の検出によって、脆弱性の優先順位付けと修正の計画の策定を可能にすることです。
  • ID およびアクセス管理により、許可されたユーザーのみがクラウドのデータにアクセスできるようにする
  • 暗号化により、移動中や保存中のデータをエンコードする
  • セグメンテーションにより、特定のデータセットやシステムを分離して攻撃の成功時に攻撃者がアクセスできる領域を狭める
  • ペネトレーションテストにより、クラウド環境への不正アクセスが可能かどうかを判断し、問題を修正して侵害を防ぐ
  • すべてのアクティビティのログを記録してレポートを作成する
  • データ損失防止機能により、不審なデータアクティビティの検出時にアクセスを禁止する
  • 設定の見直しと強化を行う
  • アンチウイルスプログラムにより、マルウェア感染と拡散を防ぐ

クラウドセキュリティと従来の IT サイバーセキュリティの相違点

クラウドセキュリティと従来の IT サイバーセキュリティには、データ、システム、アプリケーションの保護など、いくつかの共通な目標がありますが、この 2 つの手法には多くの相違点があります。

従来の IT セキュリティ対策は、クラウド環境内では適切に機能せず、企業をリスクにさらす可能性がある盲点が残ります。 その理由は、 なぜなら、セキュリティ境界が存在し、より簡単に保護できることの多い従来の IT 環境 (制御された環境内にあるサーバーやコンピューターなど) とは異なり、クラウドは動的であり、頻繁に変化するからです。 一般的に、動的なクラウド内よりも、制御されたオンプレミス環境内でアクセスポイントを保護する方が簡単です。

また、クラウドの相互接続も増えつつあるため、クラウドに起因するセキュリティの問題がオンプレミス環境に広がったり、その逆が発生したりする可能性があります。 さらに、適切に保護されていない場合、共有クラウドやパブリッククラウドのスペースに起因するセキュリティの問題が、気付かないうちにシステムやデータに侵入することも考えられます。 悪意あるユーザーが共有スペース内のコンポーネントにアクセスした場合、企業のセキュリティリスクとなることもあるのです。

クラウドセキュリティには、手ごろな価格、柔軟なスケーラビリティ、優れたアクセス性など、多くのメリットがあります。しかし、このようなメリットが同時にセキュリティの問題の要因となることもあります。 クラウドは、脆弱な ID およびアクセス管理から、デフォルトパスワードの使用、侵害によるラテラルムーブメント、アプリケーションコードの弱点、脆弱性、その他のセキュリティの問題に至るまで、さまざまな問題に起因するリスクにさらされています。

また、攻撃者は、多くのクラウド環境で膨大な量のデータがホストされていることを知っているため、そうした環境をまず攻撃の標的とします。

クラウドセキュリティと従来の情報セキュリティには、リスクに関してだけでなく、メリットの面でも多くの相違点があります。

いくつかの例をご紹介します。

  • クラウドセキュリティは、短時間で簡単に導入できます。 SaaS (サービスとしてのソフトウェア) モデルを使用する場合、クラウドインフラを保護するためにハードウェアやその他のアプライアンスを追加で購入する必要はありません。 これとは逆に、オンサイト IT の場合は、ハードウェアやソフトウェアの評価、購入、納品待ち、セットアップ、設定、トレーニングなどの、コストと時間がかかるプロセスが多くの場合必要になります。
  • クラウドセキュリティソリューションは、複雑なオンプレミスソリューションよりもコスト面で優れています。後者では多くの場合、ソリューションの購入価格のほかに保守料金やアップグレード料金など追加コストが必要となり、IT チームとセキュリティチームは、実装と管理のために多くの時間とリソースを費やすことになります。 一方、クラウドセキュリティのサブスクリプションモデルを使用すると、これらのコストを大幅に削減できます。また、企業の規模に合わせた調整も簡単に行えます。
  • 従来の IT サイバーセキュリティは、社内リソースに過大な負担をかけます。しかも、重要な役割を担当できるスキルを持った担当者が不足している現在では、状況はさらに複雑になっています。 クラウドセキュリティでは、パブリッククラウド、プライベートクラウド、ハイブリッドクラウドのうちのどのモデルを使用するかに応じて、セキュリティの責任を自社の IT チームとクラウドプロバイダーとの間で共有するか、または外部プロバイダーに管理を委託することができます。
  • クラウドセキュリティソリューションは、クラウドインフラとオンプレミスの環境を包括的に可視化できるという点で卓越しています。 従来の IT サイバーセキュリティは、オンサイトとネットワークの監視に限定されています。

クラウドセキュリティはなぜ重要なのですか?

クラウドコンピューティングソリューションを導入する企業が増えるにつれ、クラウドセキュリティはますます重要になっています。 なぜなら、オンプレミスのインフラに採用されている従来のセキュリティ対策の多くが、急速に変化するクラウド環境に必要な包括的なインサイトを提供していないからです。

大量のデータが保存されているクラウド環境はサイバー攻撃者に狙われやすいため、セキュリティの脅威は常に進化し続けます。 そのため、パブリック、プライベート、ハイブリッドのいずれかのクラウドモデルを使用している場合は、クラウドセキュリティが必要になります。

以下に、クラウドセキュリティが重要である理由をいくつか紹介します。

  • セキュリティの脅威は増大し、絶えず変化している
  • 統合されたセキュリティ対策の一元的な管理を簡単に行える
  • クラウドセキュリティは、サーバーレスコンピューティング、コンテナ、マイクロサービスなどの短期的な資産や一時的な資産に対する可視性を含め、従来の IT セキュリティでは得られないインサイトを提供できる
  • クラウドセキュリティは、企業の進化や変化に合わせた拡張や変更が可能である
  • クラウドセキュリティは、コストを削減し、すでに多忙な IT スタッフの負担を軽減するのに役立つ
  • よく使われるセキュリティ対策の多くを自動化して、時間のかかるタスク、反復的なタスク、手動のタスクをなくすことができる
  • データの安全を確保し、さまざまな許可済みのユーザーとデバイスによって場所を問わずにアクセスできる
  • リモートサイトなどからのアクセスにセキュリティスタックが必要となることが多い従来の IT とは異なり、クラウドにアクセスするすべてのユーザーに対して、場所を問わずに同じレベルのセキュリティとエクスペリエンスを提供できる

パブリッククラウドとプライベートクラウドの相違点

パブリッククラウドとプライベートクラウドは、類似している点もありますが、異なるものです。 主な違いは、パブリッククラウドがインターネットを介して複数の企業によって共有されるのに対し、プライベートクラウドは単一企業の専用クラウドで、プライベートネットワークを介して共有されるという点です。

企業によっては、パブリッククラウドサービスとプライベートクラウドサービスの両方を備えたハイブリッドクラウドモデルの導入を選択しています。このモデルでは多くの場合、業務上最も重要なデータとアプリケーションがプライベートクラウドに置かれ、残りがパブリッククラウドに置かれます。

以下に、パブリッククラウドとプライベートクラウドのその他の違いをいくつか紹介します。

  • プライベートクラウドは 1 つの企業専用で安全が確保されているが、それに直接付随する保守コストが発生する場合が多い
  • パブリッククラウドは共有されているため、通常は追加の保守コストが発生しない
  • パブリッククラウドモデルにはさまざまな価格オプションがあり、費用面での柔軟性が高い
  • プライベートクラウドは企業固有のニーズに合わせてカスタマイズできるため、コンプライアンスや規制義務に関連して追加のメリットを得られる
  • パブリッククラウドは、ソフトウェア開発、アプリケーションの使用、通信サービスに適しており、プライベートクラウドは、個人を特定できる情報 (PII) や保護対象保健情報 (PHI) などの機密データにより適していることが多い
  • プライベートクラウドには、カスタマイズしたセキュリティソリューションを導入できるため、コンプライアンスにより適切に対応できる可能性が高いが、セキュリティの選択肢が少なくなる場合がある

ハイブリッドクラウドとは

ハイブリッドクラウドコンピューティングは、企業がソリューションをオフプレミスに導入する際に柔軟性を提供します。 ハイブリッドクラウドモデルには、パブリッククラウドとプライベートクラウドを組み合わせたものもあれば、オンプレミスのリソースを含むものもあります。

企業がハイブリッドクラウドモデルを選択する理由はさまざまです。 これに関しては、規制要件やコンプライアンス要件が決定要因になることが多く、データによっては、パブリッククラウドではなくプライベートクラウドで実行できる特定のセキュリティプロトコルが必要とされる場合もあります。 その他のデータやアプリケーションにはセキュリティの面で柔軟性が高いものもあり、そういったものはパブリッククラウドに適しています。 このような場合、ハイブリッドクラウドソリューションは、リスクを軽減できる有効な選択肢です。 最も機密性の高いデータは制御された環境に置き、それほど厳重なセキュリティ対策を必要としないワークロードにはパブリッククラウドを使用する、といったことが可能です。

以下に、ハイブリッドクラウドを選択することで得られる多くのメリットの中からいくつか紹介します。

  • 必要なセキュリティの制御を維持して確実に規制を遵守できる
  • すべてのデータをプライベートクラウドに置くよりもコスト効率が向上する可能性がある
  • 企業の変化や進化に対応可能な、柔軟でスケーラブルな選択肢
  • すべてを一度に移動することなく、クラウドへの移行を計画的かつ段階的に進めることができる。

パブリッククラウドの安全性

パブリッククラウドは安全です。 ただし、必要なセキュリティの種類に依存します。特にコンプライアンスや規制基準については、プライベートクラウドと比較して、パブリッククラウド環境では対応が難しい場合があります。 すべての企業やあらゆるタイプのデータにパブリッククラウドが適しているわけではありませんが、それでもオンサイトホスティングよりは安全です。

オンプレミス環境の場合と同様に、安全を 100% 保証できる環境は存在しません。 リスクは必ずあります。 しかし、ほとんどのパブリッククラウドプロバイダーは、自社のセキュリティ対策を継続的に改善しており、データをリスクにさらすエクスプロイトから知識を得ています。

パブリッククラウドプロバイダーとの関係を構築する際には、SLA (サービスレベル契約) などの契約を締結することになりますが、誰がどのセキュリティコンポーネントに責任を持つのかを示す必要があります。 また、双方が想定している内容を明確に理解していることを確認し、その関係が継続している間、また双方の間で契約または類似した更新が交わされた際には、定期的なフォローアップを実施するようにします。 自社の規制要件に準拠しているパブリッククラウドプロバイダーを利用しているのであれば、コンプライアンス監査に関するドキュメントを確認するよう要請します。

クラウドとオンプレミスの安全性の比較

ある調査では、約 90% の企業が、何らかのパブリッククラウドインフラを利用していると回答しています。 また、約 40% が、パブリッククラウドは、自社のオンプレミス環境で提供できるセキュリティよりも安全だと考えており、さらに 35% の企業が、パブリッククラウドはオンプレミスよりもやや安全だと回答しています。

その確実性と信頼性から、業務上最も重要なアプリケーションをクラウドに移行している企業は増加しています。10 社中 9 社が SaaS (サービスとしてのソフトウェア) を導入しています。 また、76% の企業が IaaS (サービスとしてのインフラ) を利用しており、70% が PaaS (サービスとしてのプラットフォーム) を利用していると回答しています。

クラウドセキュリティとサイバーセキュリティライフサイクルの整合

クラウドセキュリティプログラムをサイバーセキュリティのライフサイクルと整合させることにより、多くのメリットがもたらされます。

Ponemon Institute の調査「The Economic Value of Prevention in the Cybersecurity Lifecycle」(サイバーセキュリティのライフサイクルにおける予防の経済的価値) によると、攻撃による環境への侵入を阻止して被害を未然に防いだ場合、コスト、リソース、損害、時間、評判のすべてを保護できたことになります。

予防は、サイバーセキュリティのライフサイクルの中でも最も難しいコンポーネントの 1 つですが、必要不可欠です。 たとえば、ゼロデイ攻撃を防ぐと、企業は 100 万ドル近く (平均 775,000 ドル) を節約できます。 また、約 20% の企業が、保護されていないクラウドプラットフォームはセキュリティの懸念事項の上位に位置すると回答しています。

NIST のサイバーセキュリティフレームワークでは、サイバーセキュリティのライフサイクルの核となる 5 つの機能として、「特定」、「保護」、「検出」、「対応」、「復旧」を定めています。 それぞれの機能は、クラウドセキュリティのプロセスの構築と改善に使用できるアクティビティに機能を整合させる、カテゴリとサブカテゴリから構成されています。

以下に、各機能とその内容について詳しく説明します。

  • 特定する: 資産管理、ビジネス環境、ガバナンス、リスク評価、リスク管理戦略、サプライチェーンリスク管理
  • 保護する: アイデンティティ管理とアクセス制御、意識向上とトレーニング、データセキュリティ、情報保護プロセスと手順、保守と保護技術
  • 検出する: 異常とイベント、セキュリティの継続的な監視と検出プロセス
  • 対応する: 対応計画、コミュニケーション、分析、軽減、改善
  • 復旧する: 復旧計画、改善、コミュニケーション

では、クラウドセキュリティのアプローチにライフサイクルのコンポーネントを効果的に適用するためには何をすればよいのでしょうか。 確認、 予測、 対応、の 3 つです。

Tenable のサイバーエクスポージャー管理プラットフォームには、クラウドベースのセキュリティ向けに数多くのソリューションとリソースが搭載されており、エクスポージャーを含めたクラウド資産の可視性を高められるため、サイバーリスクの優先順位付けを行って、クラウド環境内のセキュリティの問題の修正計画を策定できるようになります。 このプラットフォームは、すべてを把握し、重大なリスクを予測してそれらに対応できる、Tenable 独自のアプローチに根差しています。

2. クラウド攻撃と関連リスク


クラウドコンピューティングに存在するセキュリティ上のリスクと課題

クラウドコンピューティングは、企業に高い柔軟性とスケーラビリティをもたらしますが、セキュリティリスクも多く存在します。 オンプレミスからデータやワークロードを移行する際には、必ずある程度の制御が失われます。

たとえば、Amazon Web Services (AWS) では、AWS がクラウドの物理的なセキュリティに責任を持ち、ユーザーはデータとワークロードに責任を持つという、責任共有モデルを採用しています。

また、多くのクラウドプロバイダーはデータやサービスを自社のシステムに集約しているため、ほとんどの場合、攻撃者は少ない労力で多くのデータにアクセスできます。 つまり、クラウド環境に移行することによって、ハッカーの標的としての価値が高まるおそれがあるのです。

その他の潜在的なリスクとしては、クラウド環境の盲点、法的要件やコンプライアンス義務を満たさないこと、クラウドプロバイダーが停止したり、クラウドへの接続が失われたりした場合にサービスを利用できなくなること、クラウドプロバイダーの従業員によるデータへの不正アクセス、クラウドに保存されているデータが失われる可能性などが挙げられます。

以下に、クラウドコンピューティング環境に関連する一般的なセキュリティリスクと課題をいくつか紹介します。

  • 可視性の欠如:従来の IT サイバーセキュリティ対策をクラウド環境に適用する企業は、可視性の欠如に悩まされるかもしれません。可視性の欠如は盲点を生み、サイバーリスクを増大させます。
  • 整合性の欠如: 資産または環境ごとにアプローチが異なっていたり、ビジネス目標とサイバーセキュリティ目標の整合の必要性に対する理解が不足していたりすると、企業やプロセス全体で足並みが揃わず、クラウドリスクに対して脆弱になる可能性があります。
  • アタックサーフェスの拡大: クラウドリソースによって採用されているセキュリティ責任共有モデルを十分に理解しないまま、SaaS や PaaS などのクラウドソリューションを導入している企業が増えています。 誰が何に責任を持つのか、そして最初に対処すべきリスクとその対処方法を十分に理解していなければ、クラウド環境にリスクが生じます。
  • 環境の複雑性: クラウド環境は、パブリッククラウド、プライベートクラウド、コミュニティクラウド、ハイブリッドクラウドソリューションのいずれの場合も複雑です。 クラウドは、さまざまなサービスやアプリケーションのシームレスな統合と運用を必要とする企業にとって最適な選択肢ではあるものの、クラウドの複雑性に対応するためには、クラウドに特化したセキュリティ対策が必要です。
  • 攻撃者の関心の高まり: ほとんどのハッカーは、攻撃によってできる限りの大金を奪うという共通の目標を持っています。 共有のパブリッククラウドには、オンプレミスサーバーよりも多くのデータや重要なシステムが格納されていることが多いため、攻撃者はクラウド環境への攻撃にますます注力しています。
  • ラテラルムーブメント攻撃の機会の増加: 従来の IT セキュリティは、データや資産の周囲に境界線を作ることで機能します。 ネットワークを適切に保護できれば、攻撃の機会を減らすことができます。 しかし、パブリッククラウド内には共有コンポーネントが存在するため、共有スペースで弱点や脆弱性を悪用されると、利用企業のリスクが増大する可能性があります。
  • DevOps と DevSecOps のリスク: クラウドのメリットの 1 つは、企業が DevOps や DevSecOps のワークロードを自動化して迅速に稼働させられることです。しかし、開発ライフサイクルの初期段階で適切なセキュリティ制御を実装できなければ、本番環境に移行した後にセキュリティリスクが増大する可能性があります。
  • 責任の所在についての混乱: クラウド環境ではセキュリティの責任共有モデルが構築されるため、誰がどのセキュリティの役割の責任を持つのか混乱が生じることがあります。 これは、コンプライアンスと規制基準に関して特に重大な問題となります。企業は、コンプライアンスに関する責任をサードパーティーのパートナーに負わせることはできません。
  • アクセス制御に関する課題: データやアプリケーションをオフサイトに移行する際には必ず、データへのユーザーアクセスに関連するリスクが増大します。 クラウド環境では、ハッキングリスクの他に、クラウドサービスプロバイダー (CSP) の従業員が企業の情報に不正アクセスするリスクも考えられます。

クラウド攻撃とは何ですか?

クラウド攻撃とは、攻撃者がクラウド環境内に存在する脆弱性またはその他のセキュリティ上の弱点を悪用する試みです。

攻撃者がクラウド環境の悪用を試みる方法は数多くあります。 たとえば、マルウェアを挿入してクラウドに保存されている情報にアクセスする方法があります。 クラウド環境に侵入した攻撃者は、他のコンポーネントを経由して探索し、他のシステムに影響を与えることができます。

以下に、その他のクラウド攻撃と攻撃経路をいくつか紹介します。

  • サービス拒否 (DoS)
  • 総当たり攻撃 (ブルートフォース攻撃)
  • ラッピング攻撃
  • サービスハイジャック
  • 未暗号化あるいは脆弱な暗号化
  • 中間者攻撃
  • APT 攻撃 (持続的標的型攻撃)
  • 悪意ある内部関係者による脅威
  • 悪意あるスクリプト
  • フィッシング、マルウェア、ランサムウェア
  • 不正アクセスや認証情報の窃取
  • 設定ミス
  • マルウェアの挿入

クラウドセキュリティの責任者

クラウドセキュリティの責任者は、導入するモデルによって異なりますが、一般的に、すべてのクラウドサービスプロバイダー (CSP) は、安全なクラウド環境を顧客に提供しようと努めます。 しかし、すべてのクラウド環境において、クラウド資産へのユーザーアクセスの管理とデータの保護は顧客となる企業側の責任です。

選択するサービスやモデルに応じて、クラウドセキュリティに対する責任共有が生じることを予期しておく必要があります。 たとえば、CSP を介して IaaS を利用している場合、CSP 側には施設、ハードウェア、ソフトウェア、インフラ、アクセスを保護する責任があり、企業側にはデータとアプリケーションを保護するとともに、ユーザーアクセスと使用するオペレーティングシステムを制御する責任があります。 PaaS を利用している場合は、企業にはデータ、システム、アプリケーションの保護とユーザーアクセスの制御の責任があります。 SaaS モデルを利用している場合は、ユーザーアクセスの制御とデータの保護について責任が生じます。

3. クラウドセキュリティのレイヤーとツール


クラウドコンピューティングのレイヤーとは

クラウドコンピューティングにはいくつかのレイヤーがあります。これは、クラウドセキュリティを複雑にする一因となっています。 これらのレイヤーを理解して、保護するための適切な制御を選択することによって、クラウド環境の安全を維持できます。 以下に、これらのレイヤーの一部を簡単に説明します。

  • ポリシーと手順: ポリシーと手順は、クラウドセキュリティプログラムの核となる要素です。 Center for Internet Security (CIS) などのクラウドセキュリティコンプライアンスフレームワークは、ポリシーの確立と制御の構築に役立ちます。
  • 物理的セキュリティ: これには、キーや多要素認証などのセキュリティ対策をはじめとする、施設への不正アクセスを防ぐ物理的なアクセス制御が含まれます。
  • ネットワークセキュリティ: ネットワークセキュリティのアプローチには、「境界のセキュリティ」と「内部のセキュリティ」の 2 つのレベルがあります。 境界のセキュリティでは、すべてのネットワークトラフィックが必ず特定の監視ポイントを通過して環境に入るようにします。一方、内部のセキュリティは、クラウド環境で送受信されるデータに重点を置きます。
  • アプリケーションセキュリティ: SaaS を利用する場合であっても、データを保護し、不正アクセスを阻止する責任は企業側にあります。 ファイヤーウォール、暗号化、その他の侵入検出方法などの制御手段を使用してアプリケーションレベルでアプリケーションとデータを保護することによって、この責任を達成できます。
  • 仮想化: アクセス制御やクラウド攻撃経路の継続的な監視など、ライフサイクル全体を通じてこのレイヤーを保護する必要があります。
  • オーケストレーション: このレイヤーは、ワークフローとプロセスを自動化するレイヤーで、通常は、クラウド内に存在する、あるいはクラウドを経由する異種システム間の効果的かつ安全な相互作用を確保します。

Agentless Assessment とは

クラウドインスタンスの脆弱性のスキャンは、従来のインフラのスキャンと同じではありません。 自動スケーリングによるインスタンスは、現れてはすぐに消え、地域を超えて点在しています。 セキュリティとコンプライアンスを維持するには、クラウド環境の脆弱性、コンプライアンス違反の設定、ドリフトをほぼリアルタイムでスキャンできる態勢にすることが不可欠です。

Tenable Cloud Security Agentless Assessment を使用すると、セキュリティチームは、すべてのクラウド資産をすばやく簡単に検出して評価できます。 データは、ログに変更イベントが記録されるとトリガーされるライブスキャンによって絶えず更新されます。 業界をリードする Tenable Research チームが新しい脆弱性を追加した際、Tenable Cloud Security Live Results を使用すると、セキュリティチームは新しいスキャンを実行せずに、現在の資産インベントリに脆弱性が存在するかどうかを確認できます。Agentless Assessment は、Tenable やクラウドベンダーのエージェントを必要としないため、リソースに影響が及ぶことがなく、プロビジョニングにエージェントを組み込む必要もありません。

コンテナとは

コンテナは仮想マシンに似ています。 コンテナは、クラウド内でアプリケーションとそのライブラリや依存関係をパッケージ化して実行できる分離環境の作成に使用できます。 言い換えれば、コンテナとは、アプリケーションを実行するために必要なものをすべて備えた自己完結型のパッケージです。

コンテナは軽量で簡単に導入できます。 開発者がソフトウェアのデプロイメントを迅速化するのに役立ちます。 また、コンテナを使用すると、専用の環境内でアプリケーションをサイロ化して他のアプリケーションから分離できます。 依存関係やリソースに関する問題が発生しないことから、コンテナは開発者にとって素晴らしい作業環境となります。

コンテナの平均寿命は約 2.5 日間ですが、さらに短くなってきています。 コンテナは一時的なものなので、継続的な監視ではなく定期的なスキャンなどの従来の IT サイバーセキュリティのプロセスを実施している場合、見逃され、クラウド環境内にエクスポージャーを残してしまう可能性があります。

コンテナは、オペレーティングシステムレベルで仮想化を行ってアプリケーションを分離するため、依存関係の競合やリソースの問題は、そうなるように設定されていない限りは発生しません。

コンテナのセキュリティとは

コンテナのセキュリティには、コンテナが意図したとおりに安全に動作できるようにするために使用するプロセス、ツール、ポリシー、リソースのすべてが含まれます。 コンテナのセキュリティの実現により、マルウェア、設定、脆弱性、その他のセキュリティの問題の有無の可視化を含め、コンテナイメージにシームレスかつ安全にアクセスできるようになります。

通常のコンテナの寿命は短いため、定期的なスキャンなどの従来の IT セキュリティプロセスでは検出できないことも多く、アタックサーフェスに盲点が残ります。 また、コンテナは、認証スキャンの欠如、本番環境での脆弱性の修正の問題、IP アドレスの欠如など、セキュリティに関する他の課題ももたらします。

効果的なコンテナのセキュリティは以下のことを実現します。

  • 導入前のアプリケーションの脆弱性の検出と修正
  • コンテナセキュリティの詳細の完全な把握
  • 30 秒以内で完了するセキュリティテストによる DevOps の強化
  • 開発担当者はコードが高品質であることが確信できる
  • 開発担当者は導入前にセキュリティの問題を検出して修正できる
  • 時間とコストの削減による生産性の向上

クラウドの暗号化とは

クラウドの暗号化とは、データをクラウドに送受信する前にエンコードするためのプロセスです。 また、クラウドの暗号化を使用して、クラウドに格納されている保存データを暗号化することも可能です。

クラウドの暗号化は、権限のないユーザーが復号化キーなしでデータにアクセスすることを防止できる有効なセキュリティ対策です。 エンドポイントを保護するので、クラウドを出入りするデータの安全を確保します。

パブリッククラウドやコミュニティクラウドを利用している場合は、クラウドの暗号化を使用して、共有スペース内の他のテナントがデータにアクセスできないようにすることもできます。

多くのコンプライアンスや規制要件には、データセキュリティのための一定レベルのクラウド暗号化が含まれています (HIPAAPCI DSS など)。これは、データの流出や盗難を防止し、攻撃者によるデータの改ざんと破損の可能性を最小化するうえで役立ちます。

大手のほとんどの CSP では、セキュリティのレイヤーとしてクラウドの暗号化を提供しています。しかし、独自の暗号化プロトコルを追加してセキュリティをさらに強化することも可能です。

クラウドセキュリティゲートウェイとは

クラウドセキュリティゲートウェイは、クラウドアプリケーションとユーザーの間に存在するクラウドホスティングのソリューションです。

クラウドセキュリティゲートウェイを構築して、クラウドアプリケーションと企業の間でポリシーを適用できます。これにより、セキュリティチームは、クラウドの使用状況、実施しているクラウドセキュリティ対策、その対策とオンプレミスの制御との整合について把握できるようになります。 クラウドセキュリティゲートウェイは、クラウドアクセスセキュリティブローカー (CASB) とも呼ばれます。

クラウドセキュリティゲートウェイを使用してトラフィックをフィルタリングすることにより、マルウェアなどの侵害がシステムを経由して他の資産に感染するのを阻止できます。

クラウドセキュリティゲートウェイでは、すべてのポリシーが適用されます。また、フィルタリングから適用までのすべてをクラウド内で行えるため、このセキュリティレイヤーにオンプレミスのアプライアンスを追加する必要はありません。

クラウドにおけるID およびアクセス管理 (IAM)

セキュリティ責任共有モデルでは、データの保護、データやクラウド環境に対するアクセス制御は、企業側の数多くある責任の一部として含まれています。

クラウドの ID およびアクセス管理 (IAM) はオンプレミスの IAM と似ていますが、クラウド環境に関連する制御に特化している点が異なります。 クラウドの IAM を使用すると、クラウドセキュリティのポリシーを一元的に可視化して、クラウドにアクセスできるユーザー、ユーザーのアクセス範囲、アクセスの停止方法を必要に応じて制御できるようになります。

クラウドの IAM では、役割とアクセシビリティを確立して管理することが何より重要です。 適切なユーザーに、役割を果たすために必要な情報にのみアクセスできる適切な権限を付与する必要があります。

クラウドセキュリティソリューションを選択する場合は、プラットフォーム内で IAM の確認と管理を行える機能を提供しているプロバイダーを見つける必要があります。 さらに、リソースタイプや IP アドレス、デバイスのセキュリティ情報など、アクセス制御の詳細を細部まで確認できるかどうかも重要です。 また、新規ユーザー役割の作成、役割の変更、すべてのユーザーアクションの追跡、ユーザーアクションについてのレポートの確認も可能でなければなりません。

4.クラウドセキュリティソリューション


クラウドセキュリティソリューションの選定

長らくの間、新しいソフトウェアやセキュリティソリューションの導入プロセスは、長期間にわたる上、退屈なものでした。また、その過程で適切な調査を実行して計画を策定しなかった場合、実装を妨げ、導入率や使用率を低下させる多くの障害が生じる可能性があります。 しかし、クラウドセキュリティソリューションを選択した場合は、そこまでフラストレーションを感じることはありません。

事前の準備と計画があれば、自社にとって最適なクラウドセキュリティソリューションを迅速に選択できるようになります。

以下に、そのためのヒントをいくつか紹介します。

  • 目標を設定する: ソリューションに何を求めるのか、 また、ソリューションの目標は企業の目標や目的とどのように整合するのか?
  • 「必須要件」を把握する:企業の目標を達成するために、ソリューションによって何を実現しなければならないのか?
  • 製品の機能を徹底的に調べる: ソリューションは、どのようにしてセキュリティを向上させ、リスクを軽減するのか?
  • コンプライアンスやその他の規制要件を理解する: ソリューションは、要件の遵守状況とセキュリティギャップのある箇所を可視化し、弱点を特定し、修正の計画の優先順位付けに役立つか?
  • スケーラビリティについて確認と調査を行う: ソリューションは、企業に合わせて拡張が可能であり、また、どのようにして時とともに変化する企業のニーズに応じて、正確でタイムリーなリスクデータを継続的に提供するのか?

さらに、最適なクラウドセキュリティソリューションベンダーの最終候補を選定する際に考慮すべきその他の項目を紹介します。

  • ソリューションは、マルウェア検出、ウェブアプリケーションスキャン、脆弱性スキャン、構成監査などの評価をどのように行うのか?
  • ベンダーは、ライセンスをどのように管理しているか (ライセンス料にはすべてが含まれているのか、必要になるモジュールに基づいて追加料金が必要になるのか)?
  • ソリューションの資産スキャン機能はどのようなもので、 どのような資産をスキャンできるのか?
  • ソリューションは、脆弱性に優先順位を付けることができるか?
  • ソリューションは、アタックサーフェスを包括的に可視化する、わかりやすいダッシュボードを備えているか?
  • ソリューションは、カスタマイズ可能なさまざまなレポート機能を提供しているか?
  • ソリューションでは、認証情報をどのように管理するのか?
  • ソリューションは、脆弱性の優先順位付けにおいて、主に CVSS に頼っているのか、それとも企業にとって実際のリスクになる脆弱性についての詳細情報を得られる追加のツールを備えているのか?
  • ベンダーの脆弱性カバレッジはどのようなものなのか? 新たな脆弱性を検出し、新たな情報に応じてカバレッジを適切に更新することができるか?
  • ベンダーは、製品の更新やアップグレードをどのように行っているのか (自動化されているか、 頻度はどのくらいか)?
  • ソリューションは、AWS、Azure、GCP などの特定のクラウドホスト環境でどのように機能するのか?
  • ベンダーは、製品購入前にテスト期間または製品トライアルで製品を試すことを許可しているか?
  • ベンダーは、クラウドセキュリティの目標を達成するためにどのようなサポートを提供しているのか?

5.クラウドセキュリティのプロセス


クラウドセキュリティプログラムの実装

クラウドセキュリティプログラムを実装する際、5 つの手順を実行してリスクベースの脆弱性管理を導入できます。このアプローチは、サイバーセキュリティのライフサイクルと直接結びついています。

ステップ 1: 検出

  • AWS、Azure、GCP などのクラウドサービスプロバイダーに対応するクラウドコネクタを使用して、一時的に存在する資産を完全に可視化します。 クラウドコネクタを使用すると、クラウド環境内に短期間しか存在しない資産をすべて確実に検出できます。
  • ソフトウェア開発ライフサイクルの早い段階で資産を検出し、導入前に脆弱性やその他のセキュリティの問題を検出します。
  • クラウドインフラ全体をスキャンして、すべての資産の包括的なインベントリを構築し、クラウドインスタンスの終了から 24 時間後に資産のライセンスを自動的に再割り当てします。

ステップ 2: 管理

  • クラウドセキュリティのベストプラクティスを使用して、クラウド環境を評価します。
  • クラウドスタック全体の脆弱性を明らかにします。
  • アクティブスキャナー、パッシブ監視ツール、エージェント、画像評価など、複数の種類のセンサーを使用して完全な可視性を確保します。

ステップ 3: 優先順位づけ

  • 脆弱性の優先順位付けに関する情報を DevOps チームと直接共有します。
  • 脆弱性と設定ミスに関する情報を SIEM (セキュリティ情報イベント管理) に自動送信します。

ステップ 4: 修正

  • シフトレフトにより、本番環境に到達する前に脆弱性を修正します。
  • 導入前に、保護されたマシンとコンテナのイメージを作成します。
  • リスクベースの脆弱性管理を CI/CD システムに統合します。
  • バグ追跡ツールや修正ツールを使用して、脆弱性の割り当てと追跡を行います。

ステップ5: 測定

  • クラウドセキュリティプログラムに関する情報を、技術チームと主要なステークホルダーと共有し、理解しやすい表現を使います。
  • 高度な分析とリスクベースのエクスポージャー評価からサイバーリスクを計算してその情報を共有します。
  • サイバーリスクを自社の他部門や競合他社と比較します。

クラウドセキュリティの実装や、Tenable がお手伝いできることについてはクラウドセキュリティ態勢管理ソリューションのページをご覧ください。

クラウドセキュリティのベストプラクティス

パブリッククラウド、プライベートクラウド、ハイブリッドクラウド、コミュニティクラウドのいずれのソリューションを利用している場合でも、クラウドセキュリティを自社のサイバーセキュリティプログラムに組み込む必要があります。 拡大と相互接続が進む今日のアタックサーフェスでは、1 つのアタックサーフェスが侵害されると、瞬く間に他のアタックサーフェスにも被害が拡大するおそれがあります。

加えて、オンプレミス環境で使用しているプロセスのような従来の脆弱性管理は、クラウドでは適切に (あるいはまったく) 機能しません。 クラウド資産は動的であり、環境内に存在する期間は、数分間、数時間、あるいは数日間です。 定期的な資産スキャンによる脆弱性管理を行っている場合は、このような存続期間の短い資産を見落とす可能性があります。

さらに、採用するサービスやモデルに応じて、クラウドプロバイダーと企業の間でセキュリティの責任が共有されることも、クラウドセキュリティの複雑化の要因となります。

次に、対策を開始するにあたって、 今すぐ取り入れて実践できるクラウドセキュリティのベストプラクティスの 5 つのヒントを紹介します。

  1. クラウドコネクタを活用して、すべてのクラウドコンピューティング資産を継続的に可視化する
  2. 複数のセンサーを導入して、より詳細な評価を行う
  3. ベストプラクティスを使用して、クラウドインフラを構築する
  4. 最初に修正すべき危機的な影響のある脆弱性を予測する
  5. プロセス改善を推進し、サイバーリスクについて伝達する

クラウドのベストプラクティスの詳細については、 こちらのウェビナー (「ハイブリッドクラウドセキュリティの 5 つの必須項目」) をご覧ください。

関連製品

DX 時代のアタックサーフェスを今すぐ保護しましょう

Tenable Vulnerability Management をお試しください

クラウドセキュリティのリソース

クラウドセキュリティの管理: SANS ウェビナー

SANS ホワイトペーパー: クラウドセキュリティ管理ガイド

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Web App Scanning を試す

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加