クラウドセキュリティ(クラウドコンピューティングセキュリティとも呼ばれる)には、物理的なデータセンター、ネットワーク、コンピューティング環境を保護するために使用されるものと同じセキュリティコントロール、テクノロジー、プラクティス、手順が多数含まれていますが、これらはクラウドデータを保護するためのサービスとして展開されます。
クラウドセキュリティの特徴は、注意義務が共有されるという点です。クラウド資産を保護する責任の一部はクラウドプロバイダーにあり、一部は顧客にあります。アマゾン ウェブ サービス(AWS)、Google Cloud、Microsoft Azureを含むほとんどのクラウドサービスプロバイダーは、機密データの責任者とその所在をまとめた責任共有モデルを何らかの形で導入しています。Amazonによると、プロバイダーはクラウドサービスを実行するインフラである「クラウドのセキュリティ」に対して責任を持ち、顧客は「クラウドにおけるセキュリティ」、つまり実行されるデプロイ、仮想サーバー、アプリケーションに対して責任を持ちます。
クラウド運用では、顧客からある程度の可視性と管理性が奪われるため、クラウドセキュリティを実現するのは従来のデータセキュリティよりも難しいと多くの人が考えています。ある意味ではこれは真実なのですが、いくつかの点では、クラウドのセキュリティはオンプレミスのセキュリティよりも管理しやすいといえます。クラウドプロバイダーが運用の安全性の一端を担うほか、クラウドセキュリティシステムによって、1つの場所、つまりダッシュボードからクラウド資産を管理できるようになるからです。さらに、クラウドは物理的セキュリティとネットワークセキュリティの負担も軽減します。つまり、クラウドセキュリティは、正しく導入すればそれほど難しいものではないのです。
この記事では、クラウドの導入に関する最も一般的なセキュリティリスクと脅威を詳細に分析し、安全なクラウド環境を構築する方法と、セキュリティに関する最大の懸念に対する対策として、実用的なセキュリティソリューションを実装する方法について説明します。
クラウドセキュリティとは:目次
クラウドセキュリティとは、単に仮想サーバーやクラウドに保存されたデータが攻撃や侵害を受けるのを防ぐことだけではありません。これには、データコンプライアンス、データ保護、機密性、地域性に関する概念も含まれています。クラウドセキュリティ(SaaSセキュリティ)には、セキュリティツールに加えて、これらのセキュリティ運用を効率化するための自動化も含まれています。また、クラウドセキュリティという言葉は、パブリック、プライベート、ハイブリッドなど、あらゆる種類のクラウドサービスの管理を説明する場合に使われることも覚えておいてください。
クラウドセキュリティは、ある面では従来のITやデータセンターのセキュリティと変わりませんが、別の面では新たな課題や作業方法をもたらします。クラウドセキュリティの運用を考える上で、クラウドセキュリティの最大のリスクとなるのは以下のような点です。
ますます多くのワークロードとデータが従来のコンピューティング環境からクラウドへと移行し続ける中、セキュリティの重要性はさらに高まっています。クラウドセキュリティが特に重要なのは、サイバー攻撃者がクラウドに特化した攻撃を行う戦略へとシフトし、クラウドベース資産の保護に伴う混乱やトレーニング不足に付け込んでいるためです。
いくつかの有名な攻撃は、クラウドサービスプロバイダーを直接標的とすることに成功しました。2012年には、クラウドストレージプロバイダーであるDropbox社にハッカーが侵入してシステムに不正にアクセスしました。しかし、同社(およびその顧客)は4年後まで攻撃を受けたことに気付きませんでした。その結果、同社はすべてのユーザーのアカウントをリセットせざるを得なくなり、ユーザーの多くは、自分の資格情報が5年近くも流出していた可能性があることに当然ながらショックを受けていました。この種のサイバー攻撃は増え続けており、すべての企業がクラウドベース資産のセキュリティに細心の注意を払うことが不可欠である理由を浮き彫りにしています。
クラウドの保護は、オンプレミスのネットワークやサーバーと比べて本質的に難しいわけではありません。しかし、クラウドはシステムの仕組みが異なるため、管理者は特別な注意を払ってクラウドセキュリティを適切に管理する必要があります。クラウドの保護を難しくしている最大のリスクには、以下のようなものがあります。
クラウドベースでシステムを運用する際の最大の脅威には、以下のようなものがあります。
以下のベストプラクティスは、企業がセキュリティ体制を強化し、強固なクラウドセキュリティフレームワークを構築するための第一歩となります。
クラウドセキュリティは広範囲に及ぶ分野ですが、ここでは、システムの安全性を最大限に高めるための3つの推奨事項をご紹介します。
クラウドネイティブ型のSIEMシステムは、特にマルチクラウド環境において、クラウドサービスを保護する最も効果的な方法です。クラウドSIEMを利用すると、1つのダッシュボードで複数のクラウド環境のワークロードを監視でき、運用環境全体を可視化できます。また、SIEMのダッシュボードでは、統合された一つの場所からセキュリティアラートを常に監視して、生成されたセキュリティイベントを集積し、一元管理することも可能です。セキュリティエンジニアがより多くの情報に基づいた意思決定を行えるよう、より多くのコンテキストが提供されます。インシデントが発生した際にも、SIEMがもたらす情報によって調査プロセスが簡素化されます。
クラウドセキュリティエンジニアは、企業のクラウドベース資産のセキュリティを担当する要員です。セキュリティを考慮しながらクラウドサービスを設定し、認証や暗号化などのサービスも設定して、パッチのインストールを行うなど、クラウドシステムの運用全体を保護します。クラウドセキュリティエンジニアの仕事には、ユーザーアカウントとパスワードの監査、クラウド資産への侵入テストやシミュレートした攻撃の実施、クラウドシステムにデプロイされたコードの監査、インシデントレポートの分析や攻撃の振る舞いのパターンの調査などがあり、クラウドセキュリティのさまざまな側面について組織に専門知識を提供します。
クラウドセキュリティのベストプラクティス戦略を策定したら、通常はクラウドベースのSIEMツールなどのソフトウェアを使用してセキュリティのベースラインレベルを設定し、監視計画を作成することから導入を始めます。SIEMはさまざまなクラウドシステムだけでなく、従来のオンプレミスシステムも監視します。
次のステップでは、SIEMを使ってクラウド環境全体を可視化し、組織のセキュリティリスクの全体像を把握して、企業に基本的なレベルの保護をもたらすセキュリティルールとプロトコルを確立します。
また、各クラウドサービスプロバイダーが提供するセキュリティツールや設定オプションを十分に理解し、セキュリティ担当者が迅速に対応できるようにトレーニングを実施することも重要です。
企業がより多くの業務をクラウドへと移行するにつれ、クラウド資産への攻撃はますます広がり、被害も拡大しています。また、IoT製品などのエッジデバイスへのワークロードの移行、(最近ではMicrosoft社とOracle社の提携に見られるような)プロバイダー間の提携によるクラウドベースのリソースの統合および共有、サーバーレスアプリケーションアーキテクチャの増加に伴うコードセキュリティの一層の複雑化など、企業はコンピューティングのトレンドがもたらすさまざまな課題にも対処しなければなりません。加えて、規制の厳格化により、顧客のプライバシーにも一層の配慮が必要となり、すべての組織がクラウドセキュリティへの取り組みを強化する必要に迫られています。
サイバーセキュリティについて考えるとき、クラウドセキュリティはオンプレミスのセキュリティよりも優先されるようになってきました。マルウェアなどの攻撃は、価値の高いクラウドベースの資産を標的にすることが増えていますが、クラウドセキュリティの戦略や戦術がよく理解されていないために、これらの資産は十分に保護されていないことが少なくありません。幸いなことに、クラウドセキュリティへの意識は高まっています。理由は、クラウドサービスに対する注目度の高い攻撃が数多く発生していることや、クラウドの普及とそのセキュリティの必要性を組織が認識するようになってきたためでしょう。