クラウドセキュリティとは?
クラウドセキュリティは、拡大し続ける攻撃対象領域から今日の企業を守ります。クラウドセキュリティには、複数のクラウドコンピューティング環境 (AWS、GCP、Azure、Kubernetes など) のデータ、ワークロード、アーキテクチャの変更を追跡し、内部および外部の脅威から保護することが含まれます。
クラウドセキュリティについて
クラウドセキュリティとは、クラウドコンピューティングプラットフォーム間で保存・共有される機密データを保護する目的で設計されたサイバーセキュリティの一形態です。クラウドセキュリティプラットフォームは、盗難、故意または過失による漏洩、削除からデータを保護します。
クラウドセキュリティの最終目標は、転送中および保存中のすべての企業データのセキュリティポスチャとプライバシーを確保することです。これは、すべてのネットワーク、ビジネスアプリケーション、コンテナ、ワークロード、その他のクラウドコンピューティング環境内のデータを保護することを意味します。
パブリッククラウドとプライベートクラウドの違いは?
クラウド環境は通常、パブリッククラウドとプライベートクラウドの 2 つに大別されます。プライベートクラウドは、企業のみ、または組織内の部門のみが使用する仮想環境です。一方、パブリッククラウドは、AWS、Azure、Kubernetes、GCP など、複数の組織で共有されるクラウド環境です。企業のクラウドユーザーの多くは、複数のクラウドサービスプロバイダーを行き来しています。
クラウドセキュリティの責任は誰にあるのか?
一般的に、クラウドコンピューティングサービスプロバイダーとユーザー組織の間には、責任共有モデルが存在します。確かに、AWS、Microsoft、Google などのクラウドコンピューティングサービスプロバイダーは、特定のデータプライバシー規制要件を満たさなければなりませんが、これらのプロバイダーはサイバーセキュリティ企業ではありません。クラウドコンピューティングサービスプロバイダーは、そのクラウド上でユーザー組織のデータが安全であることを保証するために、データ保護メカニズムを実装しなければなりません。
提供されるクラウドサービスのモデルによって、ユーザー組織が負う責任は異なります。たとえば、Dropbox、Salesforce、Microsoft 365 などの IaaS (サービスとしてのインフラストラクチャ) プロバイダーは、関連するサービスとストレージのセキュリティに責任を負います。これには、仮想化レイヤー、ディスク、ネットワークなどの基本的なクラウドインフラストラクチャコンポーネントが含まれます。プロバイダーはまた、クラウドホスティングインフラストラクチャを構成するデータセンターの物理的セキュリティにも責任を負います。
クラウドセキュリティに対するユーザー組織の責任がどこから始まりとどこで終わるのかを明確に理解し、強固なクラウドセキュリティ計画を策定することは、ユーザー組織の責任です。
従来型サイバーセキュリティとクラウドネイティブセキュリティの違いとは?
従来型のサイバーセキュリティとクラウドネイティブセキュリティの違いを理解するために、用語の定義から始めましょう。クラウドネイティブとは、アプリケーションやサービスがクラウドで生まれたものであり、後からクラウドに適合させたものではないことを意味します。クラウドネイティブアプリケーションの代表的な例が、コンテナ環境です。コンテナは、クラウド専用で実行されるために必要な要素をすべて備えたソフトウェアパッケージです。仮想化されたオペレーティングシステム上で動作し、どこからでもアクセスすることができます。たとえば、Google は、Gmail から YouTube、Google Workspace まで、すべてをコンテナで実行しています。このクラウドネイティブアプローチにより、開発チームは迅速に動き、効率的にソフトウェアをデプロイし、かつてない規模で運用できるようになります。
クラウドネイティブセキュリティソリューションは、インフラストラクチャの計画段階からクライアントへのデリバリプロセス、さらにはデリバリ後のソフトウェア保守に至るまで、セキュリティのベストプラクティスがアプリケーションに組み込まれていることを保証します。クラウドネイティブセキュリティは、ソフトウェア開発ライフサイクルのすべての段階でセキュリティを強化することで、環境、クラウドワークロード、アイデンティティに対する完全なマルチクラウドセキュリティカバレッジを実現します。
この点が重要なのは、今日多くの組織が、多用されている最新のクラウドネイティブなアプリケーションをサポートし、拡張するようには構築されていない、従来型のサイバーセキュリティプラクティス、ポリシー、ツールに依存しているためです。クラウドネイティブセキュリティソリューションは、現在だけでなく将来的にも、その進化に合わせてデータとインフラストラクチャを保護します。
一般的なクラウドセキュリティリスクとは?
今日のパブリッククラウドは、ほとんどのオンプレミスストレージオプションの能力を超えた進化を遂げています。その傾向は、データセキュリティに関して特に顕著です。大半のサイバーセキュリティ専門家は、クラウドに保存されたデータは、ローカルの物理サーバーに保存されたデータよりも一般的に安全であることに同意するでしょう。しかし、クラウドセキュリティソリューションを評価する際には、いくつかのリスクについて考慮する必要があります。クラウドにおける最も一般的な問題には、以下のようなものがあります。
- データの漏洩、紛失、盗難:従業員や社外の人間による、故意または過失による企業データの流出。
- パブリッククラウドまたはプライベートクラウドへの不正アクセス:パスワードの漏洩やアカウントの乗っ取りなどが考えられます。
- マルウェアまたはランサムウェアによる攻撃:標的を絞った攻撃は、悪質なソフトウェアは主にメールを使用して、データを流出させたり、データを人質に取ります。
- 企業のセキュリティポリシーやデータプライバシーに関する規制違反:共有責任とはいっても、自社のコンプライアンス状況を証明する責任は、全面的に企業側にあります。自社のデータセキュリティポリシーを関連するデータプライバシー規制と整合させることは、クラウド利用のリスクの軽減につながります。
クラウドセキュリティの仕組み
クラウドセキュリティを有効に機能させるためには、複数のクラウドレイヤーに対する脅威からの保護に取り組む必要があります。
- 仮想化レベル
- ネットワーキングレベル
- オペレーティングシステム (OS) レベル
- アプリケーションレベル
クラウドセキュリティに対するこのような多層的アプローチは、従来の企業ネットワークの境界はもはや存在しないという現実に基づいて構築されたものです。その代わりに、クラウドセキュリティは、拡大し続ける攻撃対象領域における潜在的リスクの各ポイントに対処します。
例:
- アプリケーションレベルでは、暗号化により、保存中のデータおよび転送中のデータの漏洩と公開のリスクを低減します。
- OS レベルでは、 クラウドのアイデンティティとアクセス管理 (IAM) が、クラウドに保存されているデータに対するユーザー認証情報とアクセスが悪用されないようにします。たとえば、シングルサインオン (SSO)、多要素認証、アクセスコントロールなどがあります。
- アプリケーションセキュリティレベルでは、 XDR (eXtended Detection and Response) テクノロジーにより、ビジネスメール詐欺、ソフトウェアの脆弱性などのセキュリティ脅威を常時監視、検出、緩和することができます。
- ネットワークレベルでは、 クラウドファイアウォール が悪意のある可能性のある Web トラフィックや、DDoS 攻撃やボットなどの脅威活動をフィルタリングします。
クラウドセキュリティポスチャ管理 (CSPM) とは?
クラウドセキュリティポスチャ管理 (CSPM) は、人気が高まっているクラウドセキュリティ製品の 1 カテゴリで、セキュリティを自動化し、クラウドコンプライアンスを保証します。CSPM は、重大なセキュリティリスクとなるクラウドの設定ミスを検出し、自動的に修正します。
組織がクラウドの利用を拡大し続け、コンテナのようなクラウドネイティブなワークロードを活用するのに伴い、セキュリティ責任の目に見えないギャップや設定ミスを標的にする攻撃手法に注意する必要があります。CSPM ツールは、このようなギャップを保護します。CSPM ツールは、組織のさまざまなクラウド構成とサービスに対するセキュリティのベストプラクティスの一覧を継続的に表示し、保守します。CSPM ツールは、セキュリティリスク、過剰な権限によるアクセス、または支出の異常を分析するように設計されています。
これらのベストプラクティスは、現在の構成ステータスと、確立されたセキュリティコントロールフレームワークまたは (マルチクラウドセキュリティの重要な側面である) 特定の規制基準とで相互参照され、マッピングされます。CSPM ツールは、コンテナ化された環境、ハイブリッドクラウド環境、およびマルチクラウド環境において、IaaS/SaaS/PaaS プラットフォームと連携する柔軟性を備えています。
クラウドワークロード保護の仕組み
クラウドワークロード保護 は、ホストとコンテナのワークロードを完全に可視化するセキュリティツールです。クラウドワークロードとは、アプリケーション、サービス、ケイパビリティ、またはクラウドベースのリソース (コンピューティングやメモリパワーなど) を使用する特定の作業量を指します。基本的に、すべてのクラウドデータベース、コンテナ、マイクロサービス、仮想マシンはクラウドワークロードです。クラウドワークロード保護プラットフォームは、マルウェア、エクスプロイト、および異常な動作が発生する前に、それを特定することができます。ハイブリッド、マルチクラウドのデータセンター環境におけるサーバーのワークロードを保護するように設計されています。
クラウドワークロード保護の中核を成すのは、アプリケーションのランタイム脅威の検出です。コンテナランタイムのセキュリティ脅威は、コンテナが実行されるとそのコンテナに影響を及ぼす可能性があります。クラウドワークロード保護は、すべての変更とリモートアクセスの試みを評価し、ほぼリアルタイムでランタイム攻撃を検出します。多くの場合、コンテナランタイムの脅威は、マルウェアを介してシステムに侵入したり、安全でない構成 (コンテナを特権モードで実行させる、など) によって、侵害されたコンテナイメージから発生します。
エンタープライズクラウドのアンチウイルス (ウイルス対策) とクラウドセキュリティ戦略
クラウドベースのデータは、依然としてマルウェア、ランサムウェア、スパイウェア、トロイの木馬、フィッシング攻撃の影響を受けやすくなっています。社内のユーザーが電子メールにアクセスする限り、エンタープライズレベルのウイルス対策が必要です。ビジネスメール詐欺 (BEC) は、クラウドアカウントの乗っ取りを実行するように設計されています。
エンタープライズクラウド向けのアンチウイルスは、攻撃が企業ネットワークに侵入する可能性を低減することから、マルウェアやランサムウェアの被害を軽減する上で不可欠です。管理者はクラウドベースのアンチウイルスソリューションを使用することで、あらゆるデバイスに保護機能を適用できます。
クラウドベースのアンチウイルスは、アンチウイルスのワークロードをエンドユーザーのマシンから、包括的なアンチウイルススイートが搭載されているクラウドベースのサーバーに移行します。アンチウイルスを各エンドユーザーデバイスに保存する代わりにクラウドにプッシュすることで、個々のコンピュータの動作が遅くなることはありません。クラウドベースのウイルス対策モデルのもう 1 つの主な利点は、管理の一元化です。管理者は、クラウドからライブデータと履歴データの両方にアクセスし、必要なデバイスから、(たとえそのデバイスが現在オフラインであっても) 重要な情報を迅速に入手することができます。たとえば、アクティブな調査において、管理者はエンドポイントからライブデータにアクセスし、何が起きているかをリアルタイムで確認できます。
クラウドセキュリティソリューションの機能
クラウドセキュリティソリューションに対するニーズは組織ごとに異なりますが、要件となるコア機能がいくつかあります。優れたクラウドセキュリティプラットフォームには、以下のような特長があります。
- 責任共有モデルへの準拠
- 保存中および転送中のデータの暗号化
- 不正アクセスからのユーザーアイデンティティの保護
- マルウェア、ランサムウェア、およびアプリケーションやデータに影響を及ぼしかねない悪意のある Web トラフィックのブロック
- マルチクラウド環境のサポート (AWS、Azure、GCP、Kubernetes)
- クラウドセキュリティポスチャの完全な可視化
- エンタープライズクラウドの全レベルの多層保護
- すべてのクラウドとデータセンターでのセキュリティポリシーの適用
- セキュリティの脆弱性となり得るあらゆる設定ミスを検出して修復
- クラウドの停止やサービスの中断時にデータ損失を防ぐフェイルオーバー計画を提供
- セキュリティポリシーと規制の遵守を確保
何よりも、クラウドセキュリティプラットフォームはクラウドネイティブ、つまりクラウド向けにゼロから構築されるべきです。
クラウドセキュリティ評価とは?
クラウドセキュリティポスチャを強化するための第一歩は、可視化です。 クラウドセキュリティ評価 は、組織のクラウドインフラストラクチャの現状を評価するのに役立ちます。クラウド環境が適切なレベルのセキュリティとガバナンスを備えているかどうかを確認し、クラウドセキュリティ戦略におけるギャップを把握する機会となります。
クラウドセキュリティプロバイダーはそれぞれ独自のアプローチを持っていますが、以下の項目はどのようなクラウドセキュリティ評価にも含まれます。
- ネットワークの可視化:詳細な資産インベントリで、パブリッククラウド環境全体を完全に可視化します。
- 監査対応レポート:主要なサイバーセキュリティ標準やデータプライバシー標準にマッピングされた、監査対応の規制遵守レポートおよびセキュリティベストプラクティスのレポート。
- 推奨事項:組織をリスクにさらしているセキュリティとコンプライアンスのギャップに対する改善策を記載した、優先順位付きのレポート。
クラウドセキュリティ評価は、脆弱なクラウドセキュリティ設定、一般的な設定ミス、アカウント権限の異常など、あらゆる脆弱性をプロアクティブに特定する方法です。
プライベートクラウド、パブリッククラウド、ハイブリッドクラウドを問わず、クラウドアーキテクチャ全体でユーザーとデータを保護するクラウドセキュリティソリューションがすべての組織に必要であることは間違いありません。
クラウドのデータ漏洩、損失、標的型攻撃は、組織全体に影響を及ぼしかねません。すべての攻撃を防ぐことはできないかもしれませんが、クラウドプロバイダーとの関係における責任共有モデルは、組織もあらゆる努力をしなければならないことを意味します。そのためには、強力なクラウドセキュリティ戦略を策定し、信頼できるクラウドインフラストラクチャプロバイダーと連携し、クラウドベースの脅威防止・検出ソリューションに投資する必要があります。
脅威を検出しながら可視化するクラウドセキュリティソリューションを選択することで、サイバーセキュリティ攻撃による被害を回避することができます。
ソフォスの専門チームは、クラウドセキュリティソリューションについて解説し、また、クラウドセキュリティ評価を支援します。
関連するセキュリティトピック: クラウドガバナンスとは?
