クラウドセキュリティとは

クラウドリソースは、さまざまなセキュリティリスクやサイバー脅威に対して脆弱です。

• データ漏えい：攻撃者がクラウドに保存されている機微な情報に不正にアクセスすると、財務的損失、法的刑罰、組織の評判の低下につながる可能性があります。
• 誤設定：クラウドサービスの設定が誤っていると、うかつにもクラウドリソースが公衆インターネットに公開されたり、攻撃者が簡単にアクセスできるようになったりする可能性があります。
• マルウェアインジェクション：攻撃者は安全でないソフトウェアやコードの脆弱性を利用して悪性のソフトウェアをクラウドサービスに挿入し、データの完全性を損なわせたり、サービスを混乱させたり、クラウド環境や資産に不正アクセスしたりする可能性があります。
• 分散サービス妨害（DDoS）攻撃：攻撃者は大量のトラフィックや悪性リクエストでクラウドサービスを過負荷状態にし、正当なユーザーがクラウドサービスを利用できないようにしようとすることがよくあります。これにより、事業運営が混乱し、ダウンタイムや財務的損失につながる可能性があります。
• インサイダーの脅威：クラウドリソースにアクセスできる従業員や業務委託先による悪性の行為や過失行為により、データ漏えい、サービスの混乱、知的財産の損失が生じる可能性があります。
• 安全でない API とインターフェース：ハッカーは API セキュリティ対策で十分に保護されていないアプリケーション・プログラミング・インターフェース（API）やその他のエントリーインターフェースを標的にすることがよくあります。そうすることで、ユーザーアカウントに不正アクセスしたり、サービスを混乱させたり、さらなる攻撃を行ったりできるようになります。
• 高度な持続型脅威（APT）：これは、脅威アクターが検知されずにクラウド環境内に数日または数週間存在し続ける長期的な標的型サイバー攻撃です。これにより、脅威アクターは高価値の標的を侵害し、重大なデータ損失や組織への長期的な損害を引き起こすことができます。

クラウドセキュリティは、防御すべき明確なパラメーターがないため、従来の IT 環境の保護よりもはるかに困難です。組織が、自動化された継続的インテグレーションおよび継続的デリバリー（CI／CD）手法や、コンテナやサーバーレスアーキテクチャなどのテクノロジーをソフトウェア開発ライフサイクルに採用しているため、クラウドコンピューティングの高度な分散性を実現することはさらに困難になっています。

クラウドセキュリティを確保するための具体的な課題は次のとおりです。

• 複雑なハイブリッド・クラウド・インフラ：今日の IT 環境は、多くの場合、マルチクラウド環境とハイブリッドクラウド環境の複雑な組み合わせで構成されています。これらは、オンプレミスのリソース、プライベートクラウド、プロバイダーが提供するパブリック・クラウド・サービス（Amazon Web Services（AWS）、Microsoft Azure、Google Cloud など）にまたがる場合があるため、セキュリティポリシーを一貫して設定し適用することは困難です。
• アタックサーフェスの拡大：クラウドコンピューティング環境は、その飛躍的な成長に伴い、IT 資産へのアクセスを求めるサイバー犯罪者にとってますます魅力的な標的となっています。
• 不十分な可視性：多くの組織は、クラウド環境のインフラレイヤーを完全に可視化できないクラウド・サービス・プロバイダーを使用しています。そのため、多くの IT チームはクラウド環境とその中の資産を完全に可視化できません。
• 動的なワークロード：ユーザーはクラウドインスタンスを迅速にスピンアップ（起動および初期化）してリリースするため、クラウドワークロードは極めて短時間のものになる可能性があります。仮想マシン（VM）、コンテナ、データベース、その他のクラウドワークロードの要素のセキュリティを確保することは、非常に困難である場合があります。
• コンプライアンスの問題：GDPR、HIPAA、PCI DSS などの規制フレームワークには、組織が顧客や患者の個人データを保存、使用、アクセス、保護する方法に関する厳格なルールがあります。そのような情報をクラウド（世界中のデータセンター）に保存すると、そのデータがレジデンシー要件や主権要件に準拠していることを IT チームが確認することが困難になります。
• シャドー IT の使用：リモートで仕事をしたり個人のデバイスを使用したりする従業員の増加に伴い、シャドー IT のリスクが高まっています。ユーザーが承認されていない商用クラウドサービスを使用して生産性やアクセス機能を高めようとすると、IT 部門はそのリソースに気付かず、保護できません。

クラウドセキュリティのもう 1 つの複雑な点は、SaaS（Software as a Service）、PaaS（Platform as a Service）、IaaS（Infrastructure as a Service）の各サービスモデルにおいて、クラウド・サービス・プロバイダー（CSP）と顧客の間でのセキュリティ責任の共有方法が異なるということです。

各モデルでは、CSP がインフラと基本サービスのセキュリティを確保し、顧客がサービスモデルに応じてデータセキュリティ、アイデンティティおよびアクセス管理、その他のセキュリティ要素に対処する責任を負います。

• SaaS プラットフォームは、基盤となるインフラやアプリケーション、オペレーティングシステムを管理する責任を担うサービスプロバイダーがホストするアプリケーションへのインターネットアクセスを組織に提供します。顧客は、データ、エンドポイント、ユーザーアクセスのセキュリティを確保する責任を担います。
• PaaS サービスは、顧客が基盤となるインフラの設定や管理を行う必要なく、アプリケーションを開発、実行、管理できるようにします。CSP がプラットフォームサービスとランタイム環境のセキュリティを確保し、顧客がアプリケーションのセキュリティ確保、機微な情報の暗号化、ユーザーアクセスの管理を担います。
• IaaS 環境は、仮想化されたコンピューティングリソースをインターネット経由で顧客に提供し、顧客が仮想マシン、クラウドストレージ、ネットワークにアクセスできるようにします。CSP は物理インフラと仮想化レイヤーのセキュリティを確保する責任を担い、顧客は仮想マシン、ネットワーク、アプリケーション、データ、ユーザーアクセスのセキュリティの設定と管理を行う責任を担います。

サービスモデルごとのセキュリティ責任の共有方法を誤解すると、危険なセキュリティギャップが生じる可能性があります。

IT チームとセキュリティチームは、さまざまなソリューションを使用して、多層的なクラウドセキュリティを構築することができます。

• アイデンティティおよびアクセス管理（IAM）ソリューションは、ユーザーが誰であるか、何にアクセスしてよいか、クラウドリソースで何をしてよいかを判断する認証および認可メカニズムを提供します。IAM ソリューションは、多要素認証（MFA）やアクセス制御リストなどのテクノロジーを使用して、許可されたユーザーにアクセスを制限します。IAM は、不正ユーザーがクラウド資産にアクセスしたり、許可されたユーザーが広範な権限や緩慢な権限を利用したりすることの脅威を緩和するために役立ちます。IAM テクノロジーは、不正アクセスを防止するだけでなく、インサイダーの脅威やアカウント乗っ取り攻撃を緩和することもできます。
• データ損失防止（DLP）ツールは、組織から流出するデータを監視して検査し、窃取や悪性または偶発的な漏えいを防止します。
• セキュリティ情報およびイベント管理（SIEM）ツールは、セキュリティログをリアルタイムで分析し、クラウドエコシステム内のアクティビティをより詳細に可視化します。
• データ保護ソリューションは、保存中、転送中、保管中のデータを暗号化し、攻撃者が機微な情報を傍受して読み取るのを防ぎます。
• クラウドファイアウォールは、オンプレミスではなくクラウドでホストされ、脆弱性の悪用、DDoS 攻撃、悪性のボットアクティビティをブロックするために役立ちます。
• ゼロトラスト・セキュリティ制御は、許可されたユーザーのみが特定の機能を実行するために必要なリソースのみにアクセスするよう制限します。
• ネットワーク・セキュリティ・ソリューションは、ファイアウォール、侵入検知システム、仮想プライベートネットワーク（VPN）を使用してネットワーク通信のセキュリティを確保します。
• マイクロセグメンテーションは、ネットワークと環境を小さなセグメントに分割し、きめ細かいセキュリティポリシーで管理できるようにすることで、環境の一部にアクセスすることに成功した攻撃者が他の資産を侵害するのを防ぎます。
• クラウドワークロード保護（CWP）ソリューションは、クラウド環境のワークロードを保護します。このソリューションは、クラウドベースのアプリケーション、コンテナ、仮想マシンに包括的なセキュリティをもたらします。
• Web アプリケーションファイアウォール（WAF）は、アプリケーションとインターネット間の HTTP トラフィックをフィルタリングおよび監視することで、クラウド・ネイティブ・アプリケーションと Web アプリケーションを保護します。アプリケーションレベルでセキュリティポリシーを適用することで、SQL インジェクションやクロスサイトスクリプティング（XSS）などの攻撃やその他の脅威を防止します。
• 脅威インテリジェンスソリューションを使用することで、セキュリティチームはセキュリティ上の脅威を予測し、防御的保護策によって先手を打って阻止できるようになります。
• エンドポイント・セキュリティ・ソリューションは、クラウドリソースに接続するデバイスを監視し、潜在的な脅威を特定して緩和します。
• インシデント対応計画により、チームは侵害に即座に対応し、混乱を回避し、失われたデータを回復できるようになります。
• 事業継続性および災害復旧ソリューションは、クラウドセキュリティの不備による影響を最小限に抑えるために役立ちます。
• 監視および脅威検知セキュリティサービスは、リアルタイム監視と脅威インテリジェンスを使用して、セキュリティの問題を検知して特定し、修復の優先順位を決定します。

組織は、いくつかの重要なベストプラクティスに従うことで、クラウドコンピューティングのセキュリティを向上させることができます。

• すべてのクラウドに一貫したポリシーを適用する：分散性のあるハイブリッドクラウドを管理することは困難ですが、チームは IT エコシステムのあらゆる側面にセキュリティポリシーを確実に適用することに入念に取り組む必要があります。
• 適切なセキュリティ設定を行う：IT チームはクラウドベンダーと緊密に連携し、クラウドサーバーを設定する際に推奨設定を遵守する必要があります。これにより、クラウド資産を広範なインターネットにさらすことになる可能性のある誤設定を回避できます。
• 堅牢なバックアップ計画を実行する：強力なデータバックアップ計画は、組織が回復力を維持し、サイバー攻撃の被害から迅速に回復するために役立ちます。効果的なバックアップおよびリカバリーソリューションにより、ビジネスプロセスを中断なく継続できるようになります。
• セキュリティ意識向上トレーニングを実施する：多くの場合、データ漏えいの原因は人的ミスです。フィッシング攻撃の兆候を認識し、優れたセキュリティ衛生を実践するようユーザーをトレーニングすることは、サイバー攻撃のリスクを緩和し、クラウドセキュリティを向上させるために役立ちます。
• 自動化を活用する：自動化されたセキュリティツールを使用することで、チームはセキュリティ設定の管理とインシデント修復作業を改善できます。