クラウドセキュリティとは?
組織が業務上重要なアプリケーションや資産をクラウドへ移行する中で、適切なセキュリティ制御とプロセスを実装することが不可欠となっています。脅威アクターはクラウド資産をより頻繁に狙うようになっており、従来のオンプレミス向けセキュリティ対策では、必ずしもクラウド環境まで十分にカバーできない場合があります。
%201.svg){kind=logo}
クラウドセキュリティの定義
クラウドセキュリティ(Cloud Security)は、クラウドコンピューティングセキュリティとも呼ばれ、組織のクラウドインフラ、資産、データを保護するためのツール、技術、プロセス、制御の総称です。悪意ある行為や過失など、内部・外部の脅威から業務上重要なデータを安全に守ります。
クラウドへの移行により、組織はリモート従業員、サードパーティの委託先やビジネスパートナー、顧客に対して、データ、資産、ワークロード、アプリケーションへのアクセスを提供できるようになります。一方で、クラウド特有の課題にも注意を払う必要があります。
クラウドセキュリティは、オフサイトでのデータ保管、利用拡大に伴うスケーリング、エンドユーザー同士の多様な接続・コラボレーション形態などの点で、オンプレミス環境のセキュリティ対策とは異なります。潜在的な露出機会が増える中で、データ損失、データ流出、サービス停止の防止に注力することが重要です。
クラウドセキュリティ対策には、以下が含まれます。
- 強固なIDおよびアクセス管理(IAM)ポリシーと制御の実装
- すべてのアクセス要求を検証し、横方向の移動を制限するゼロトラストの採用
- PCI DSS、HIPAA、GDPRなど、各種規制基準への準拠
- データ侵害に発展する前に脅威を検知・対処する検知および対応ツールの導入
- 暗号化などのデータセキュリティ手法による、データ流出・露出・脅威からの保護
- 設定ミス、脆弱性、その他のリスクを把握するためのセキュリティ態勢管理の実施
クラウドセキュリティが重要な理由
現在、ほぼすべての組織が何らかの形でクラウドを利用しています。SaaSアプリケーションを一部利用している場合もあれば、Google Cloud、Amazon AWS、Microsoft Azure、IBM Cloud、Oracle Cloudなどのサードパーティのクラウドサービスプロバイダー(CSP)が提供するパブリッククラウド上で、すべてのデータやアプリケーションを運用している場合もあります。
クラウドセキュリティは「あれば望ましいもの」ではなく、組織にとって不可欠な要素です。主な理由は以下のとおりです。
- データの保護:業務上重要なデータがクラウド上に存在する以上、利用時・保存時を問わず、常に安全に保護する必要があります。
- 設定ミスの検出:クラウド環境の複雑化により、ポートの開放やS3バケットの外部公開などの設定ミスが発生しやすくなります。これらを迅速に発見・修正できることが重要です。
- データ損失の防止:バックアップやリカバリ対策を実装することで、災害、データ侵害、ランサムウェア攻撃によるデータ損失を防ぎます。
- データの暗号化:保存中および通信中のデータは、不正アクセスから保護されなければなりません。クラウド暗号化により、復号鍵を持つ者だけがデータにアクセスできます。
- 規制・コンプライアンスへの対応:オンプレミス環境では比較的容易だったコンプライアンス対応も、クラウド移行に伴い、改めて見直す必要があります。
- コラボレーションの安全性確保:クラウドは多様なユーザーによるデータや資産の利用を可能にしますが、データ露出や侵害を防ぐためには強固なアクセス制御が不可欠です。
- 脅威検知の実施:脅威はあらゆる方向から発生します。データ侵害やサイバー攻撃に発展する前に、検知・対応・軽減できる体制が求められます。
- 内部脅威の検出:不注意や悪意による内部脅威も、従来の境界型セキュリティの外に資産が存在する今、適切に検知・対処する必要があります。
- リモートアクセスの保護:リモートワークが普及する中、VPNやセキュアアクセスゲートウェイ、強固なIAMポリシーなどを活用し、安全なアクセスを実現する必要があります。
クラウドセキュリティのメリット
クラウドセキュリティは、セキュリティの集中管理、運用負荷の軽減、リアルタイムかつ継続的な保護など、さまざまなメリットをもたらします。
主な利点は以下のとおりです。
- 強固なデータ保護:暗号化やアクセス制御などのクラウドセキュリティ対策により、コラボレーションを妨げることなく、不正または不適切なデータアクセスを防止します。
- 高度な脅威対策:多くのクラウドセキュリティツールやプラットフォームは、脅威を迅速に検知・軽減し、自動化によってセキュリティチームの負担を抑えます。
- データ監視の強化:クラウドセキュリティツールは、露出箇所や設定ミス、機密データの所在を可視化し、コンテナや仮想マシンが増減しても重要なデータを見落とさないよう支援します。
- ITコストの削減:オンプレミス向けのセキュリティ対策やインフラへの依存を減らすことで、運用コストの削減につながります。
- 災害復旧の強化:データをクラウド上で安全に保管することで、データ侵害や自然災害、事業継続に関わるインシデント発生時にも、迅速な復旧が可能になります。
クラウドセキュリティの課題
クラウドセキュリティには多くのメリットがありますが、特にマルチクラウドやハイブリッドクラウドといった複雑な環境が広がるにつれて、さまざまな課題も生じます。主な課題は以下のとおりです。
- 攻撃対象領域の拡大:従来の境界型セキュリティを超えて、マルチクラウド環境に資産、ワークロード、データが分散することで、脅威アクターが狙える攻撃経路が増加します。
- クラウドスプロールの発生:クラウドは容易にスケールできますが、セキュリティを考慮せずに拡張すると、放置されたコンテナやリソースが増え、機密データの保護が難しくなります。
- シャドーITの増加:従業員がセキュリティポリシーに反してツールを利用する問題は、オンプレミスでも存在しますが、クラウドではSaaS利用の拡大により、IT部門の管理範囲を超えて深刻化しやすくなります。
- マルチクラウド/ハイブリッドクラウドの保護:複数のクラウドやオンプレミスを組み合わせた環境では、データや資産の保護が複雑になり、多くのリソースを必要とします。
- 設定ミス(ミスコンフィギュレーション):俊敏性を重視するあまり、ポート、ストレージバケット、アクセス制御の設定が不十分になり、データ露出やサイバー攻撃の原因となることがあります。
- コンプライアンスとガバナンスの複雑化:クラウド利用を急速に拡大する中で、適切な形でコンプライアンスを維持しなければ、結果的に高コストな問題を引き起こす可能性があります。
効果的なクラウドセキュリティに必要なものは?
クラウド上で資産、システム、インフラ、アプリケーションを適切に保護するために、組織は以下の技術を実装する必要があります。
- アイデンティティ管理:人および非人のアイデンティティを認証・認可し、資産やデータへのアクセスを許可する前に正当性を確認します。
- ネットワークセキュリティ:クラウドネットワークセキュリティを活用し、ゼロトラスト、マイクロセグメンテーション、継続的な監視を実装します。
- 監視(モニタリング):潜在的な脅威や不審なクラウドアクティビティを検知・特定し、迅速に軽減・対処します。
- アプリケーションセキュリティ:アプリケーションやAPIを、脅威や設定ミスから保護します。
- データセキュリティ:利用中、保存中、通信中を問わず、データの流出や侵害から保護します。
- インシデント対応:データ侵害やその他のサイバー攻撃に迅速に対応・軽減、または未然に防ぐための対応プレイブックを実装します。
- ガバナンスとコンプライアンス:GDPRやCCPAなどの業界規制を遵守し、機密データを保護するとともに、金銭的なペナルティを防ぎます。
クラウドセキュリティツールとテクノロジーの種類
クラウドセキュリティツールにはさまざまな種類があり、セキュリティ態勢の強化に特化したものもあれば、ワークロードの保護やクラウド全体のセキュリティを担うものもあります。
代表的なクラウドセキュリティツールは以下のとおりです。
- クラウドセキュリティ態勢管理(CSPM):セキュリティリスクやクラウドの設定ミスを継続的に監視・特定・修正します。セキュリティを開発ライフサイクルの早期に組み込む「シフトレフト」の取り組みの一環として利用されることが多いです。
- クラウドワークロード保護プラットフォーム(CWPP):オンプレミスおよびハイブリッドクラウド環境で稼働するワークロードを対象に、リアルタイムかつ自動化されたセキュリティを提供します。コンテナや仮想環境のワークロードも保護します。
- クラウドアクセスセキュリティブローカー(CASB):オンプレミスまたはクラウドベースで提供されるセキュリティツールで、きめ細かなIAMポリシーを適用します。クラウドへのアクセスに対して柔軟かつ俊敏なセキュリティ制御を可能にします。
- データ損失防止(DLP):データの不正な持ち出し、未承認アクセス、破壊を防止します。内部不正、データ侵害、データ露出からクラウド上のデータを保護します。
- 侵入検知システム(IDS):ネットワークトラフィックを監視し、既知の脅威や不審な挙動を検知すると、セキュリティチームにアラートを通知します。
- アイデンティティおよびアクセス管理(IAM):認証・認可ポリシーを強制し、機密データへのアクセス要求や特権昇格時にステップアップ認証などを適用します。
- クラウド検知・対応(CDR):脅威をリアルタイムかつ継続的に監視し、迅速な対応のためにアラートや証跡をセキュリティチームへ提供します。
- ファイアウォール:ネットワークの入口・出口トラフィックを監視・制御する、従来から利用されている基本的なネットワークセキュリティ対策です。
- クラウドインフラ権限管理(CIEM):最小権限アクセスや権限管理など、クラウドIAMポリシーを管理します。マルチクラウド環境にまたがる権限の可視化と制御が可能です。
- クラウドネイティブアプリケーション保護プラットフォーム(CNAPP):CSPM、CDR、CWPP、脆弱性管理などを統合したエンドツーエンドのクラウドセキュリティソリューションです。IAM、脅威検知、データ保護機能を含むこともあります。
- 継続的脅威露出管理(CTEM):組織の攻撃対象領域全体にわたり、脅威を継続的に発見・優先順位付け・検証・修正することで、リスク態勢を強化する最新のアプローチです。
クラウド導入形態別のセキュリティ対策方法
クラウドセキュリティの要件は、組織が保護するクラウド環境の種類(パブリック、プライベート、ハイブリッド、マルチクラウド)によって異なります。それぞれのクラウド環境には、固有のメリット、課題、適したセキュリティツールがあります。
パブリッククラウドセキュリティ
パブリッククラウドとは、サードパーティのクラウドサービスプロバイダー(CSP)が提供するインフラおよびサービスのことです。CSPは一定のセキュリティ機能を提供しますが、共有責任モデルに基づき、顧客は自身がクラウド上に展開するデータやアプリケーションの保護に責任を持ちます。
パブリッククラウドにおけるセキュリティの課題には、データや資産がインターネットに接続されることで攻撃対象領域が拡大する点、アクセスが必要なユーザーやシステムの増加に応じてセキュリティをスケールさせる必要がある点、そして顧客とCSPのどこまでがそれぞれの責任範囲なのかを正しく理解する必要がある点が挙げられます。
検討すべきクラウドセキュリティツールとしては、サードパーティ製よりも優位性を持つ場合が多いCSP提供のセキュリティ機能に加え、CSPM、CWPP、CNAPPなどが挙げられます。
共有責任モデル
CSP(クラウドサービスプロバイダー)は多くのセキュリティサービスや対策を提供していますが、すべてをCSPに任せることはできません。共有責任モデルでは、CSPが担うセキュリティ領域と、顧客が担う領域が明確に分けられています。一般的に、CSPはクラウド環境そのものの監視と保護を行い、顧客は自社の資産やデータを保護する責任を負います。
最終的な責任範囲はCSPと顧客のサービスレベル契約(SLA)によって決まりますが、通常は次のように整理されます。
- SaaS(Software as a Service):CSPがアプリケーションのセキュリティを提供し、顧客はユーザー、エンドポイント、ネットワークのセキュリティを担当します。
- PaaS(Platform as a Service):CSPがプラットフォームのセキュリティを提供し、顧客はユーザー、ネットワーク、ワークロードのセキュリティに加え、プラットフォーム上で開発したアプリケーションの保護を行います。
- IaaS(Infrastructure as a Service):CSPがインフラのセキュリティを提供し、顧客はユーザー、エンドポイント、ワークロード、ネットワーク、データのセキュリティ、ならびにインフラ上に導入したアプリケーションの保護を担います。
- オンプレミスのデータセンター:すべてのセキュリティ責任は組織にあり、セキュリティ対策は組織が単独で管理・実施します。
プライベートクラウドセキュリティ
プライベートクラウドとは、単一の組織専用に構築された、閉じたクラウドコンピューティング環境です。プライベートクラウドでは計算リソースを他社と共有しないため、セキュリティ、制御性、カスタマイズ性をより高いレベルで確保できます。自社のデータセンター、サードパーティ事業者、またはオンプレミス環境でホスティングすることが可能です。
規制の厳しい業界においては、プライベートクラウドはより高いレベルのコンプライアンスを実現できます。一方で、コストの増加、運用・管理の負荷、専任の社内専門人材が必要になるといった課題も伴います。
プライベートクラウド環境を効果的に保護するためには、強固なIDおよびアクセス管理(IAM)、クラウド暗号化、物理的なセキュリティ制御、継続的な監視機能が不可欠です。
また、プライベートクラウドのセキュリティ対策としては、次世代ファイアウォール、VPN、セキュリティ情報およびイベント管理(SIEM)プラットフォーム、CASBの導入を検討すべきです。
ハイブリッドクラウドセキュリティ
A hybrid cloud combines public, private, and on-premises environments, while keeping them all separate. Common use cases are organizations in regulated industries that have specific needs to secure data, or organizations still using their on-prem infrastructure for legacy applications and services.
ハイブリッドクラウドセキュリティとは、パブリッククラウド、プライベートクラウド、オンプレミス環境を組み合わせつつ、それぞれを分離して運用するクラウド形態におけるセキュリティを指します。主な利用例としては、データ保護に厳格な要件が求められる規制産業の組織や、レガシーなアプリケーションやサービスを引き続きオンプレミスで運用している組織が挙げられます。
このような環境では、ソフトウェア中心のセキュリティ対策に加えて、物理的なセキュリティ対策も含めて考慮する必要があります。ハイブリッドクラウドでは、最も機密性の高いデータを組織が最も強固に保護できる場所に保持しつつ、それ以外の資産はパブリッククラウドを活用するといった柔軟な運用が可能です。一方で、アクセス制御を適切に管理すること、各クラウド環境を明確に分離してデータ露出を防ぐこと、そしてガバナンスや規制要件への準拠を維持することが課題となります。
ハイブリッドクラウドのセキュリティ対策としては、ファイアウォール、VPN、SIEM、Open Policy Agent(OPA)、CWPP、Infrastructure as Code(IaC)、CSPMなどの技術やツールが用いられます。
マルチクラウドセキュリティ
マルチクラウドセキュリティとは、複数のクラウドサービスプロバイダー(CSP)を利用して、データ、資産、アプリケーションを分散して運用する環境におけるセキュリティを指します。多くのエンタープライズ企業がマルチクラウドを採用していますが、複数のクラウドを併用することで、環境の複雑化や運用管理の難しさ、相互運用性の確保、より高度な監視や監査の必要性といったセキュリティ上の課題が生じます。
一方で、マルチクラウドセキュリティには、柔軟性や選択肢の拡大、ベンダーロックインの回避、コスト削減の可能性といったメリットもあります。また、組織は自社のセキュリティ機能よりも堅牢な場合がある、CSP提供のセキュリティサービスを活用できる点も利点です。
マルチクラウドセキュリティを効果的に機能させるためには、セキュリティ管理の一元化が不可欠です。これにより、資産やワークロードが常にどのように保護されているかを把握でき、設定ミスやコンプライアンス違反のリスクを低減できます。
マルチクラウド環境のセキュリティ対策としては、CDR、CSPM、DSPM、CWPPといったソリューションの導入を検討すべきです。
クラウドセキュリティのベストプラクティス
クラウド上で業務上重要なデータ、アプリケーション、エンドユーザーを効果的に保護するために、組織は以下のクラウドセキュリティのベストプラクティスを実装すべきです。
- 共有責任モデルの理解:CSPと自組織のどこまでがそれぞれの責任範囲なのかを明確に把握します。
- 境界の保護:ネットワーク中心またはアイデンティティ中心のアプローチを採用し、適切に境界を保護します。
- 強固なIAM制御の実装:最小権限アクセス、ステップアップ認証、ロールベースアクセス制御(RBAC)などを導入します。
- コンテナと仮想マシンの保護:実行環境に応じたセキュリティ対策を適用し、ワークロードを安全に保ちます。
- アプリケーションの保護:アプリケーションやAPIを脅威や設定ミスから守ります。
- 継続的な脅威監視:脅威を常時監視し、早期に検知・対応できる体制を整えます。
- ゼロトラストの採用:すべてのアクセスを検証する前提でセキュリティを設計します。
- クラウドセキュリティ用プレイブックの整備:インシデント対応、データ侵害、事業継続、災害復旧などに備えた対応手順を策定します。
- すべてのデータの暗号化:保存中・通信中・利用中のデータを暗号化し、不正アクセスを防ぎます。
- 設定ミスの監視:クラウド環境の設定を継続的に確認し、リスクとなるミスを早期に是正します。
- 関連する規制・コンプライアンスの遵守:業界規制や法令要件に沿ったセキュリティ対策を実施します。
- ペネトレーションテストの実施:クラウドセキュリティ制御やシステムが意図どおり機能しているかを定期的に検証します。
エージェント型クラウドセキュリティで、より高度な保護を実現
新たに登場した技術の一つがエージェント型クラウドセキュリティです。これはAIモデルを活用し、クラウド環境において自律的かつ自動化されたセキュリティ機能を提供します。クラウド利用が拡大し、マルチクラウド環境へと発展していく中でも、組織はセキュリティ対策や制御を柔軟にスケールさせることが可能になります。
従来のクラウドセキュリティは、ルールやアルゴリズム、脅威検知に依存しており、不審な挙動を監視し、大量のノイズの中から本当のリスクを見極める作業は人に委ねられてきました。エージェント型クラウドセキュリティでは、こうした防御担当者にAIというチームメンバーが加わり、重要度の低いノイズを削減し、平均解決時間(MTTR)を短縮するとともに、リスクの背景にある文脈や理由を提供します。
Sysdig Sage™は、クラウド環境におけるセキュリティ運用から推測や手探りを排除し、大規模環境でもセキュリティワークフローを迅速に加速します。エージェント型クラウドセキュリティの活用について、このホワイトペーパをダウンロードしてご覧ください。