クラウドセキュリティ(クラウドコンピューティングセキュリティとも呼ばれる)には、物理的なデータセンター、ネットワーク、コンピューティング環境を保護するために使用されるものと同じセキュリティコントロール、テクノロジー、プラクティス、手順が多数含まれていますが、これらはクラウドデータを保護するためのサービスとして展開されます。
クラウドセキュリティの特徴は、注意義務が共有されるという点です。クラウド資産を保護する責任の一部はクラウドプロバイダーにあり、一部は顧客にあります。アマゾン ウェブ サービス(AWS)、Google Cloud、Microsoft Azureを含むほとんどのクラウドサービスプロバイダーは、機密データの責任者とその所在をまとめた責任共有モデルを何らかの形で導入しています。Amazonによると、プロバイダーはクラウドサービスを実行するインフラである「クラウドのセキュリティ」に対して責任を持ち、顧客は「クラウドにおけるセキュリティ」、つまり実行されるデプロイ、仮想サーバー、アプリケーションに対して責任を持ちます。
クラウド運用では、顧客からある程度の可視性と管理性が奪われるため、クラウドセキュリティを実現するのは従来のデータセキュリティよりも難しいと多くの人が考えています。ある意味ではこれは真実なのですが、いくつかの点では、クラウドのセキュリティはオンプレミスのセキュリティよりも管理しやすいといえます。クラウドプロバイダーが運用の安全性の一端を担うほか、クラウドセキュリティシステムによって、1つの場所、つまりダッシュボードからクラウド資産を管理できるようになるからです。さらに、クラウドは物理的セキュリティとネットワークセキュリティの負担も軽減します。つまり、クラウドセキュリティは、正しく導入すればそれほど難しいものではないのです。
この記事では、クラウドの導入に関する最も一般的なセキュリティリスクと脅威を詳細に分析し、安全なクラウド環境を構築する方法と、セキュリティに関する最大の懸念に対する対策として、実用的なセキュリティソリューションを実装する方法について説明します。
クラウドセキュリティとは:目次
「クラウドセキュリティ」とは何を意味するのでしょうか。
クラウドセキュリティとは、単に仮想サーバーやクラウドに保存されたデータが攻撃や侵害を受けるのを防ぐことだけではありません。これには、データコンプライアンス、データ保護、機密性、地域性に関する概念も含まれています。クラウドセキュリティ(SaaSセキュリティ)には、セキュリティツールに加えて、これらのセキュリティ運用を効率化するための自動化も含まれています。また、クラウドセキュリティという言葉は、パブリック、プライベート、ハイブリッドなど、あらゆる種類のクラウドサービスの管理を説明する場合に使われることも覚えておいてください。
クラウドセキュリティで考慮すべき主な事項
クラウドセキュリティは、ある面では従来のITやデータセンターのセキュリティと変わりませんが、別の面では新たな課題や作業方法をもたらします。クラウドセキュリティの運用を考える上で、クラウドセキュリティの最大のリスクとなるのは以下のような点です。
- クラウド運用は、データセンターと同程度、あるいはそれ以上に攻撃を受けていることを理解する。クラウドベースのシステムは、プロバイダーが資産を監視しているため安全性が高いと思い込んでしまいがちです。しかし実際には、セキュリティに対して、プロバイダーが責任を負うのは仮想サーバーのオペレーティングシステムまでです。適切に適用されていないパッチ、ファイアウォールの設定ミス、データベースやアプリケーションの悪用などはすべて、依然として利用者が対処しなければならないリスクです。サイバー攻撃者は、業務がオンプレミスで行われているかクラウドで行われているかにかかわらず、企業のリソースを悪用する方法を探すでしょう。
- 共有リソースはリスクを高める。データセンターでは、ネットワークを分割して、財務部門やコードリポジトリなどのセキュリティ対策を容易に強化できます。しかし、プライベートクラウドのインフラとパブリッククラウドのインフラを両方備えたクラウド環境では、サーバーが仮想化され、アプリケーションとデータがすべて共有環境に保存されるため、より複雑になります。ある仮想サーバーはデータにアクセスできないようにしておいて、一方で別の仮想サーバーにはデータへのアクセスを許可するのは容易ではありません。さらに、コンテナ化されたアプリケーションがこのプロセスをさらに複雑にします。
- クラウドコンピューティングの動的な性質が、混沌としたセキュリティ環境を生み出している。一般に、クラウドサーバーは起動後にすぐさま停止し、多くの場合、数時間稼働したあとに消えてしまいます。このように一貫性のない環境を保護することは容易ではありません。重要なプラクティスとして、セキュリティ運用とチェックポイントを導入プロセスに慎重に組み込んで、すべてのワークロードを本番環境に移行する前に保護する必要があります。
- マルチクラウド環境はさらに複雑になる。約93%の企業がマルチクラウド環境で運用しています。これは、複数のサービスプロバイダーにワークロードを分散していることを意味します。データがクラウド間を移動する際のセキュリティの問題には、どのように対策をすればよいのでしょうか。複数のサービスでログイン資格情報を同じように管理するにはどうすればよいのでしょうか。このような異種混在環境の管理は、特に従来のデータセンターでトレーニングを受けたセキュリティ担当者にとっては極めて複雑なものになる可能性があります。
クラウドコンピューティングにおいてセキュリティが重要な理由
ますます多くのワークロードとデータが従来のコンピューティング環境からクラウドへと移行し続ける中、セキュリティの重要性はさらに高まっています。クラウドセキュリティが特に重要なのは、サイバー攻撃者がクラウドに特化した攻撃を行う戦略へとシフトし、クラウドベース資産の保護に伴う混乱やトレーニング不足に付け込んでいるためです。
いくつかの有名な攻撃は、クラウドサービスプロバイダーを直接標的とすることに成功しました。2012年には、クラウドストレージプロバイダーであるDropbox社にハッカーが侵入してシステムに不正にアクセスしました。しかし、同社(およびその顧客)は4年後まで攻撃を受けたことに気付きませんでした。その結果、同社はすべてのユーザーのアカウントをリセットせざるを得なくなり、ユーザーの多くは、自分の資格情報が5年近くも流出していた可能性があることに当然ながらショックを受けていました。この種のサイバー攻撃は増え続けており、すべての企業がクラウドベース資産のセキュリティに細心の注意を払うことが不可欠である理由を浮き彫りにしています。
クラウドの保護は難しいのか
クラウドの保護は、オンプレミスのネットワークやサーバーと比べて本質的に難しいわけではありません。しかし、クラウドはシステムの仕組みが異なるため、管理者は特別な注意を払ってクラウドセキュリティを適切に管理する必要があります。クラウドの保護を難しくしている最大のリスクには、以下のようなものがあります。
- クラウドプロバイダーごとにセキュリティオプションが異なる。AWSのセキュリティ設定はAzureとは異なります。そのため、必要なユーザートレーニングが2倍になり、問題が発生する可能性が高くなります。マルチクラウド環境やハイブリッドクラウド環境がますます複雑になる中、クラウド運用の保護もさらに難しくなっています。
- クラウドではデータやサービスの場所がわかりにくい。クラウドのセールスポイントの1つは、ユーザーがオンプレミスでの物理的なメンテナンスを心配しなくてすむことです。一方、欠点として、クラウドを利用している顧客のほとんどは、自社のデータの正確な所在地、その場所が動いているかどうか、データが複数の場所に保存されているかどうか、あるいは自社のデータが他の顧客のデータとどのように分離されているかを正確に把握していません。このような可視性の欠如は、企業が直面している攻撃対象を真に理解することを困難にし、罰金が科される可能性のある法的要件やコンプライアンス要件に対する課題を生み出しています。
- クラウドの機能は常に変化している。クラウドコンピューティングシステムのメリットの1つは、常に新しいサービスや機能を利用できることです。(Amazon AWSはかつて、1四半期だけで497の新機能をリリースしました。)これは、イノベーションにとってはすばらしいことですが、リスクに対応しようとするセキュリティチームにとっては問題であり、類似するオフライン機能のない新機能を扱う場合は特に深刻です。
- クラウド運用の民主化がリスクを高める。多くの組織は、必要に応じてエンドユーザーがIT部門を介さずにクラウドサービスを利用できるようにしています。これは、ビジネス全体の速度を向上させるという点では優れていますが、ユーザーのアカウントやユーザーが送信するデータが適切に保護されていない場合、セキュリティリスクの増大にもつながります。この問題は、ユーザーがパブリッククラウドサービスを利用している場合に特に当てはまります。このことから、クラウドシステムにおけるSIEM (セキュリティ情報/イベント管理)システムの利用はますます普及しています。SIEMでは、一元化されたダッシュボードからセキュリティ運用を包括的に把握でき、複雑なセキュリティ環境の管理を簡素化する上で非常に有効です。
- クラウドプロバイダーは、データ損失に対する責任を厳密に限定している。責任共有という概念が何を対象とするかは、明らかに変化し続けています。クラウドプロバイダーはプラットフォームのセキュリティサービスを提供していますが、(特にユーザーがインフラを誤って設定した場合、)攻撃に関連する損害賠償責任は必ず限定されています。
クラウドセキュリティの最大の脅威とは
クラウドベースでシステムを運用する際の最大の脅威には、以下のようなものがあります。
- 組織の外部でのデータ侵害。財務データ、顧客関連データ、知的財産データなどのデータが漏洩するリスクは長年の課題であり、クラウドコンピューティング環境の拡大によってさらに悪化しています。これらの攻撃を受ける原因として、プロバイダーがネットワークを適切に保護していないか、顧客がオペレーティングシステムやアプリケーションに適切にパッチを適用していないために、組織がDDoSやその他のマルウェアなどの攻撃に組織の外部でさらされることが考えられます。
- 設定ミス。クラウドセキュリティは当然ながら複雑であり、特に企業が新しいサービスプロバイダーを利用したり、クラウドのユーザー層を拡大したりする際には、設定を誤るリスクが高くなります。
- 不十分な認証管理。クラウドリソースへのアクセス制御は内部ネットワークでの制御よりも複雑なため、設定を誤る可能性が増します。
- フィッシングによるアカウントの乗っ取り。クラウドアプリケーションでは、ユーザー名やパスワードを盗むことを目的としたフィッシング攻撃によってデータが盗まれるリスクが著しく高まります。
- 保護されていないAPI。クラウドリソースへのアクセスに利用されるAPIがセキュリティで保護されていない場合、そのようなAPIが、アクセスを試みるサイバー攻撃者にとっての一般的な侵入経路としてますます悪用されています。
クラウドコンピューティングにおいてセキュリティが重要な理由
以下のベストプラクティスは、企業がセキュリティ体制を強化し、強固なクラウドセキュリティフレームワークを構築するための第一歩となります。
- リスクを定量化する。組織が使用しているクラウドリソース、クラウドに保存されているデータや知的財産、およびそれらすべてが保存されている場所を文書化します。また、クラウドに保存されているすべての顧客データや機密データにデータの暗号化を適用します。
- クラウドリソースへのアクセス制御を評価する。誰がどのデータやサービスにアクセスできるのか、そして本当にそれが必要なのかを評価します。内部脅威は、攻撃の検知がより困難なクラウドリソースにおいても、依然として大きなリスクです。クラウドアクセスセキュリティブローカーの利用に加えて、クラウドデータやVPNのための強力なIDおよびアクセス管理ソリューションを導入することで、強力なゲートウェイを提供できます。
- 責任共有モデルを理解する。プロバイダーのサービス利用規約をよく読み、セキュリティに関する責任の所在を把握します。規約がわかりにくい場合はプロバイダーに確認し、自社の責任についておおまかに解釈できるようにしておきます。
- 請負業者が自社のセキュリティ手順に従っていることを確認する。自社のクラウドベースリソースへのアクセスを第三者に許可している場合、その第三者はセキュリティポリシーに関するトレーニングを受け、社内のスタッフと同様に扱われる必要があります。
- クラウドベースのセキュリティ監視を実施する。クラウドシステムにおけるSIEM (セキュリティ情報/イベント管理)システムの利用はますます普及しています。SIEMでは、一元化されたダッシュボードからセキュリティ運用を包括的に把握でき、複雑なセキュリティ環境の管理を簡素化する上で非常に有効です。
- 変化を見逃さない。新しいクラウドサービスが自社に与える影響を十分に理解し、その情報をスタッフに伝えます。場合によっては、継続的なトレーニングが必要なこともあります。
クラウドを保護するための3つの推奨事項
クラウドセキュリティは広範囲に及ぶ分野ですが、ここでは、システムの安全性を最大限に高めるための3つの推奨事項をご紹介します。
- 不要なクラウドサービスをなくす。使用しているすべてのクラウドサービスを監査したら、使用していないものや不要になったものを取り除きます。元従業員のアカウントなどの使われていないサービスは、特に大きなリスクとなります。
- 移動中および保管中のすべてのデータを暗号化する。データを暗号化しておけば、システムに侵入され、ファイルにアクセスされても、攻撃者は情報にアクセスできません。保管中のデータと移動中のデータがどちらも暗号化されるようにします。これらの機能を設定する方法については、クラウドプロバイダーに直接確認してください。
- パスワードのセキュリティを強化し、2要素認証を使用する。脆弱なパスワードは、クラウド上のシステムを含め、攻撃者がシステムにアクセスする主要な手段です。そのため、パスワードの最小セキュリティ要件を確実に満たす必要があります。また、プロバイダーが提供する2要素認証などの拡張認証プロセスも活用してください。
一般的なクラウドセキュリティソリューション
クラウドネイティブ型のSIEMシステムは、特にマルチクラウド環境において、クラウドサービスを保護する最も効果的な方法です。クラウドSIEMを利用すると、1つのダッシュボードで複数のクラウド環境のワークロードを監視でき、運用環境全体を可視化できます。また、SIEMのダッシュボードでは、統合された一つの場所からセキュリティアラートを常に監視して、生成されたセキュリティイベントを集積し、一元管理することも可能です。セキュリティエンジニアがより多くの情報に基づいた意思決定を行えるよう、より多くのコンテキストが提供されます。インシデントが発生した際にも、SIEMがもたらす情報によって調査プロセスが簡素化されます。
クラウドセキュリティエンジニアとは
クラウドセキュリティエンジニアは、企業のクラウドベース資産のセキュリティを担当する要員です。セキュリティを考慮しながらクラウドサービスを設定し、認証や暗号化などのサービスも設定して、パッチのインストールを行うなど、クラウドシステムの運用全体を保護します。クラウドセキュリティエンジニアの仕事には、ユーザーアカウントとパスワードの監査、クラウド資産への侵入テストやシミュレートした攻撃の実施、クラウドシステムにデプロイされたコードの監査、インシデントレポートの分析や攻撃の振る舞いのパターンの調査などがあり、クラウドセキュリティのさまざまな側面について組織に専門知識を提供します。
クラウドセキュリティを導入する方法
クラウドセキュリティのベストプラクティス戦略を策定したら、通常はクラウドベースのSIEMツールなどのソフトウェアを使用してセキュリティのベースラインレベルを設定し、監視計画を作成することから導入を始めます。SIEMはさまざまなクラウドシステムだけでなく、従来のオンプレミスシステムも監視します。
次のステップでは、SIEMを使ってクラウド環境全体を可視化し、組織のセキュリティリスクの全体像を把握して、企業に基本的なレベルの保護をもたらすセキュリティルールとプロトコルを確立します。
また、各クラウドサービスプロバイダーが提供するセキュリティツールや設定オプションを十分に理解し、セキュリティ担当者が迅速に対応できるようにトレーニングを実施することも重要です。
クラウドセキュリティとクラウドセキュリティエンジニアリングの将来
企業がより多くの業務をクラウドへと移行するにつれ、クラウド資産への攻撃はますます広がり、被害も拡大しています。また、IoT製品などのエッジデバイスへのワークロードの移行、(最近ではMicrosoft社とOracle社の提携に見られるような)プロバイダー間の提携によるクラウドベースのリソースの統合および共有、サーバーレスアプリケーションアーキテクチャの増加に伴うコードセキュリティの一層の複雑化など、企業はコンピューティングのトレンドがもたらすさまざまな課題にも対処しなければなりません。加えて、規制の厳格化により、顧客のプライバシーにも一層の配慮が必要となり、すべての組織がクラウドセキュリティへの取り組みを強化する必要に迫られています。
サイバーセキュリティについて考えるとき、クラウドセキュリティはオンプレミスのセキュリティよりも優先されるようになってきました。マルウェアなどの攻撃は、価値の高いクラウドベースの資産を標的にすることが増えていますが、クラウドセキュリティの戦略や戦術がよく理解されていないために、これらの資産は十分に保護されていないことが少なくありません。幸いなことに、クラウドセキュリティへの意識は高まっています。理由は、クラウドサービスに対する注目度の高い攻撃が数多く発生していることや、クラウドの普及とそのセキュリティの必要性を組織が認識するようになってきたためでしょう。
