クラウド・コンピューティング・セキュリティとは

クラウドセキュリティとは、クラウドインフラ のアプリケーションとデータを保護するために組織が確立するセキュリティ対策、制御、ポリシーです。クラウド環境に保存されているデータの可用性、機密性、完全性を確保し、サイバー攻撃や脅威アクターが IT 環境に不正にアクセスするのを阻止します。クラウド・セキュリティ・ソリューションは、ハイブリッドクラウド、マルチクラウド、プライベートクラウド、パブリッククラウドなど、あらゆるタイプのクラウドサービスを保護します。これには、Software as a Service（SaaS）、Infrastructure as a Service（IaaS）、Platform as a Service（PaaS）などの一般的なサービスモデルが含まれます。

組織のクラウド環境は、さまざまなセキュリティリスクから保護する必要のあるビジネスクリティカルな資産です。多くの場合、クラウドストレージには機微な顧客情報、財務情報、知的財産が保管されています。クラウドベースのアプリやインフラは、業務や従業員の生産性の確保に不可欠です。そのため、セキュリティ侵害やデータへの不正アクセスが発生すると、重大な財務的損失、評判の失墜、規制上の罰則につながる可能性があります。

クラウド環境に対する脅威のほとんどは、次のカテゴリーに分類されます。

• サイバー攻撃：マルウェア、ランサムウェア、フィッシング攻撃などのサイバー脅威は、クラウドリソースを標的にすることがよくあります。
• データ漏えい：クラウド環境に不正にアクセスした攻撃者は、データを窃取したり、アカウントから資金を流出させたり、さらなるサイバー攻撃を仕掛けたりする可能性があります。
• サービス妨害（DoS）：DoS 攻撃や分散型 DoS（DDoS）攻撃は、クラウドアプリケーション、サービス、リソースを不正なトラフィックやリクエストで過負荷状態にして、スローダウンまたはクラッシュさせます。
• インサイダーの脅威：クラウドシステムにアクセスできる従業員や業務委託先による悪性の行為がデータの漏えいや悪用につながり、クラウド・コンピューティング・セキュリティが危険にさらされる可能性があります。
• セキュリティ上の設定ミス：クラウドリソースのセキュリティ制御が IT チームによって適切に設定されていないと、さまざまな攻撃を受ける可能性があります。
• API の脆弱性：攻撃者は API（アプリケーション・プログラミング・インターフェース）の弱点を悪用し、クラウドリソースに不正アクセスする可能性があります。
• アカウントの乗っ取り：攻撃者は、フィッシングや Credential Stuffing などの手法を使用してユーザーアカウントを乗っ取ることがよくあります。
• 人為的なミス：調査によると、ほとんどのクラウド・コンピューティング・セキュリティ障害の原因は、悪性の Web サイトへのアクセス、ログイン情報の共有、フィッシング攻撃への屈服、不適切で不健全なセキュリティといったユーザーの行為です。

クラウド・コンピューティング・セキュリティを強化するために、IT チームは複数のセキュリティサービスとテクノロジーを展開して、データの保護、アクセスの制御、脆弱性の緩和、コンプライアンスの確保、潜在的なサイバー攻撃の監視を行う必要があります。

• データ暗号化：データ保護を強化するために、IT チームは保存中および転送中のデータを暗号化して、サイバー犯罪者が機微な情報に不正アクセスするのを防止する必要があります。
• アクセス制御：強力なアイデンティティおよびアクセス管理（IAM）ソリューションは、クラウドサービスにアクセスできるユーザーを制御します。例えば、複数の形式の認証を要求することで、不正アクセスを防止するためのセキュリティレイヤーを追加します。
• トラフィックの監視と制御：セキュリティチームはファイアウォールや高度なセグメンテーションソリューションなどのテクノロジーを展開し、セキュリティポリシーに基づいて送受信ネットワークトラフィックの監視と制御を行えます。
• 脆弱性の管理：IT チームは、クラウドインフラとアプリケーションの潜在的な脆弱性を継続的にスキャンし、定期的なパッチ適用とアップデートを通じて既知の脆弱性を緩和する必要があります。
• セキュリティ監視とインシデント対応：継続的な監視により、IT チームは疑わしいアクティビティやセキュリティ侵害を迅速に特定し、インシデント対応と修復を迅速化できます。
• コンプライアンスと監査：クラウド環境を定期的に監査することで、社内のセキュリティポリシーや業界規制へのコンプライアンスを確保できます。
• ゼロトラストのアプローチ：ゼロトラストに基づくセキュリティでは、クラウドリソースへのアクセスを要求するたびに、ユーザー、アプリケーション、デバイスの認証と認可を受ける必要があります。また、権限を付与する際、ゼロトラストでは最小権限の原則を実行します。つまり、エンティティはジョブまたはタスクの実行に必要な最小限のリソースへのアクセスのみを許可されます。これらのゼロトラストの手法は不正アクセスを防ぐために役立ち、攻撃が成功した場合でもラテラルムーブメント（横方向の移動）を防止して被害を最小限に抑えるために効果的です。

クラウド・コンピューティング・セキュリティを確保するためのテクノロジーには、次のようなものがあります。

• アイデンティティおよびアクセス管理（IAM）ソリューション：IAM ソリューションは、クラウドリソースへのユーザーアクセスを管理および制御します。認証機能、認可機能、ユーザー管理機能を提供することで、適切な個人がリソースに適切にアクセスできるようにします。
• データ損失防止（DLP）：DLP テクノロジーは、機微な情報への不正アクセスや窃取を防止するために役立ちます。機微な情報の不適切な送信やアクセスを監視、検知、ブロックします。
• セキュリティ情報およびイベント管理（SIEM）：SIEM システムはさまざまなソースからセキュリティ・イベント・データを集約して分析し、セキュリティ上の潜在的な脅威を特定して対応します。リアルタイム監視機能、インシデント検知機能、ロギング機能を備えているため、組織はセキュリティインシデントを迅速に検知して対応できます。
• 多要素認証（MFA）：MFA は、リソースへのアクセスを許可する前に複数の形式の検証を要求することでセキュリティを強化します。これには通常、ユーザーが知っているもの（パスワード）、ユーザーが持っているもの（セキュリティトークン）、ユーザー自身（生体認証）が含まれます。MFA により、認証情報の侵害による不正アクセスのリスクが軽減されます。
• 事業継続性および災害復旧（BCDR）：BCDR ソリューションは、組織が事業を継続し、自然災害やサイバー攻撃などの混乱から迅速に復旧できるようにします。このソリューションには、重要なシステムとデータを保護するためのデータバックアップ、複製、フェイルオーバーのメカニズムが含まれます。
• クラウド・アクセス・セキュリティ・ブローカー（CASB）：CASB はクラウドサービスのユーザーとプロバイダーの間の仲介役として機能して、セキュリティポリシーを適用し、クラウドアプリケーションの使用状況を可視化します。さまざまなクラウドサービスのデータを監視および制御し、コンプライアンスとデータセキュリティを確保するために役立ちます。
• Web アプリケーションファイアウォール（WAF）：WAF は Web アプリケーションとインターネットの間の HTTP トラフィックをフィルタリングおよび監視することで、Web アプリケーションを保護します。SQL インジェクション、クロスサイトスクリプティング（XSS）、その他の OWASP Top 10 の脅威など、一般的な Web ベースの攻撃を防ぎます。
• クラウドワークロード保護（CWP）：マイクロセグメンテーションソリューションを含む CWP ソリューションは、仮想マシン、コンテナ、サーバーレス機能など、クラウド環境で実行されるワークロードのセキュリティを確保します。脆弱性の管理、コンプライアンスの実行、脅威検知などの機能を提供します。
• 侵入検知および防御システム（IDPS）：IDP テクノロジーは、悪性のアクティビティやポリシー違反がないか、ネットワークとシステムのアクティビティを監視します。ネットワークトラフィックとシステムのふるまいを分析することで、侵入を検知し、防止することができます。
• 仮想プライベートネットワーク（VPN）：VPN はインターネット経由の暗号化された安全な接続を構築し、リモートユーザーがクラウドリソースに安全にアクセスできるようにします。ユーザーとクラウド環境の間で送信されるデータを盗聴や傍受から保護します。

IT チームとセキュリティチームは、クラウド環境を保護する際に次のようなセキュリティ上の重大な課題を克服する必要があります。

• 可視性の欠如：多くの組織は複数のクラウド・サービス・プロバイダーを使用しているため、IT チームがクラウドフットプリント全体を 100% 可視化することが困難になっています。そのため、脆弱性やセキュリティギャップが生じ、ハッカーがそれを悪用する可能性があります。
• シャドウ IT：Bring Your Own Device（BYOD）ポリシーや、商用クラウドサービスへの無制限のアクセスが原因で、クラウドリソースやインスタンスが IT チームによって管理されず、セキュリティ上の重大な問題が生じることがよくあります。
• コンプライアンスの問題：IT チームがクラウドリソースを完全に制御し、可視化できない場合、HIPAA、GDPR、PCI DSS などの規制フレームワークへの準拠はますます困難になります。
• 広範なアタックサーフェス：クラウドリソースは極めて優れたスケーラビリティを備えているため、アタックサーフェスが大幅に拡大する可能性があります。クラウドイングレス（入方向の通信）ポートのセキュリティが不十分である場合、セキュリティ上の重大な問題が発生し、脅威アクターに格好の機会を与えることになる可能性があります。
• 動的なワークロード：急速に変化するワークロードを管理するために、クラウド資産は頻繁にプロビジョニングされ、迅速に廃止されます。このような動的な環境では、従来のセキュリティツールはポリシーを適用するのに効果的ではありません。
• 複雑な環境：複数のパブリック・クラウド・プロバイダー、プライベートクラウド、オンプレミスのデータセンターを組み合わせたハイブリッドクラウド環境では、IT チームとセキュリティチームがデジタルエコシステム全体で一貫してポリシーを適用することが困難になります。
• セキュリティ責任の共有：ほとんどのプロバイダーは、クラウド・コンピューティング・セキュリティに責任共有モデルを採用しています。このモデルでは、プロバイダーがクラウドインフラの保護を担当し、顧客がクラウドベースのデータ資産のアクセス制御、暗号化、保護を管理する必要があります。これらの責任を明確にしていないと、セキュリティポスチャの安全性が低下する可能性があります。