本文へスキップ
質問に戻る

クラウドコンピューティングのセキュリティ問題

クラウドコンピューティングは、多くのユニークなセキュリティ上の問題や課題を抱えています。クラウドでは、データはサードパーティーのプロバイダーに保存され、インターネット経由でアクセスされます。つまり、データの可視性と制御は制限されます。また、データをどのように適切に保護するかという問題も生じます。クラウドコンピューティングに内在するセキュリティ上の問題点と、それぞれの役割を理解することが必要です。 クラウドサービスプロバイダーは、クラウドセキュリティの問題やリスクを共有責任として扱います。このモデルでは、クラウドサービスプロバイダーはクラウド自体のセキュリティに責任を持ち、顧客はクラウドに置くもののセキュリティに責任を持ちます。Microsoft 365のようなSaaSからAmazon Web Services(AWS)のようなIaaSまで、あらゆるクラウドサービスにおいて、クラウドコンピューティングの顧客は常に、データをセキュリティの脅威から守り、アクセスをコントロールする責任を負っています。 クラウドコンピューティングのセキュリティリスクの多くは、クラウドデータセキュリティに関連しています。データの可視性の欠如、データの制御不能、クラウド上のデータの盗難など、ほとんどの問題は、顧客がクラウドに置くデータに起因しています。SaaS、IaaS、プライベートクラウドにおけるクラウドセキュリティの主要な問題を分析し、世界中の企業組織が経験する頻度の高い順に並べたものを以下に示します。

SaaSクラウドセキュリティの課題トップ10

  1. クラウドアプリケーション内にどのようなデータがあるのか可視化できていない
  2. 悪意ある行為者によってクラウドアプリケーションからデータが盗まれること
  3. 機密データにアクセスできる人のコントロールが不充分
  4. クラウドアプリケーションとの間で転送中のデータを監視することができない
  5. ITの可視性の外でプロビジョニングされるクラウドアプリケーション(例:シャドーIT)
  6. クラウドアプリケーションのセキュリティを管理するスキルを持ったスタッフが不足している。
  7. 悪意のある内部者によるデータの盗難や不正利用を防止することができない。
  8. クラウドアプリケーションプロバイダーに対する高度な脅威と攻撃
  9. クラウドアプリケーションプロバイダーの運用の安全性を評価することができない。
  10. 規制遵守の維持ができない

SaaSクラウドのセキュリティ問題は、当然ながらデータとアクセスが中心です。なぜなら、多くの共有セキュリティ責任モデルは、この2つをSaaS顧客の単独責任としているからです。クラウド上にどのようなデータを置き、誰がそれにアクセスできるのか、そして自社(およびクラウドプロバイダー)がどのような保護レベルを適用しているのかを理解することは、すべての組織の責任である。

また、組織のデータやプロセスへの潜在的なアクセスポイントとしてのSaaSプロバイダーの役割も考慮することが重要です。XcodeGhostやGoldenEyeランサムウェアの台頭などの動きは、攻撃者がより大きな資産を攻撃するためのベクトルとしてソフトウェアやクラウドプロバイダの価値を認識していることを強調しています。その結果、攻撃者はこの潜在的な脆弱性に焦点を当てるようになってきています。組織とそのデータを保護するために、クラウドプロバイダーのセキュリティプログラムを必ず精査してください。また、技術的な解決策を補完するために、報告書を共有する予測可能な第三者による監査を期待し、違反報告条件を主張する。

IaaSクラウドセキュリティの課題トップ10

  1. ITの可視性の外で作成されるクラウドワークロードとアカウント(例:シャドーIT)
  2. 機密データにアクセスできる人のコントロールが不充分
  3. クラウドインフラでホストされているデータが悪意ある者によって盗まれる。
  4. クラウドインフラのセキュリティを確保するスキルを持つスタッフの不足
  5. クラウド上にどのようなデータがあるのか、可視化されていない。
  6. 悪意のある内部者によるデータの盗難や不正利用を防止することができない。
  7. マルチクラウドとオンプレミスの環境に対する一貫したセキュリティコントロールの欠如
  8. クラウドインフラに対する高度な脅威と攻撃
  9. クラウドワークロードのシステムやアプリケーションの脆弱性を監視することができない
  10. クラウドワークロードから別のワークロードへの攻撃の横展開

IaaSでは、データを保護することが重要です。顧客の責任がアプリケーション、ネットワークトラフィック、オペレーティングシステムに及ぶと、新たな脅威が発生します。組織は、IaaSのリスクの中心であるデータを超えて拡大する最近の攻撃の進化を考慮する必要があります。悪意ある行為者は、暗号通貨を採掘するために計算リソースを敵対的に乗っ取り、企業インフラの他の要素や第三者に対する攻撃のベクトルとして、それらのリソースを再利用しています。

クラウド上にインフラを構築する場合、盗難防止とアクセス制御の能力を評価することが重要です。クラウドにデータを入力できる人の決定、リソースの変更を追跡して異常な動作を特定すること、オーケストレーション・ツールのセキュリティとハードニング、侵害の潜在的なシグナルとして南北と東西両方のトラフィックのネットワーク分析を追加することはすべて、大規模に展開されたクラウドインフラを守るための標準措置として急速に普及しています。

プライベートクラウドのセキュリティ問題トップ5

  1. 従来のサーバーと仮想化されたプライベートクラウドインフラにまたがる一貫したセキュリティコントロールの欠如
  2. インフラの複雑化により、導入やメンテナンスにかかる時間や労力が増大する。
  3. ソフトウェア定義データセンター(仮想コンピュート、ネットワーク、ストレージなど)のセキュリティを管理するスキルを持つスタッフが不足している。
  4. ソフトウェア定義のデータセンター(仮想コンピュート、ネットワーク、ストレージなど)に対するセキュリティの可視化が不十分
  5. 高度な脅威と攻撃

パブリッククラウドとプライベートクラウドのどちらにリソースを割り当てるかの意思決定プロセスにおいて重要な要素は、プライベートクラウド環境で利用できるきめ細かな制御です。プライベートクラウドでは、追加の制御レベルと補足的な保護が、プライベートクラウド展開の他の制限を補うことができ、モノリシックなサーバーベースのデータセンターからの実用的な移行に貢献することができます。

同時に、きめ細かなコントロールを維持することは、少なくともパブリッククラウドが発展してきた以上の複雑さを生むことを組織は考慮する必要があります。現在、クラウドプロバイダーは、インフラを維持するための労力の多くを自ら担っています。クラウドユーザーは、制御の抽象化により、セキュリティ管理を簡素化し、複雑さを軽減することができます。これにより、物理環境、仮想環境、ハイブリッド環境の上と下で、パブリッククラウドとプライベートクラウドのプラットフォームが統一されます。

クラウドコンピューティングのセキュリティに関する一般的な問題を軽減する方法

クラウドサービスが情報技術(IT)の主要な戦略でないとしても、あなたの組織はクラウドサービスを利用しています。クラウドコンピューティングのセキュリティリスクを軽減するために、すべての組織が目指すべき3つのベストプラクティスがあります:

  • DevSecOps プロセス - DevOps と DevSecOps は、コード品質を向上させ、エクスプロイトと脆弱性を削減し、アプリケーション開発と機能展開の速度を向上させることが繰り返し実証されている。独立したセキュリティ検証チームに依存するのではなく、ビジネスユニットやアプリケーションチーム内で開発、QA、セキュリティプロセスを統合することは、今日のビジネス環境が要求するスピードで運用する上で極めて重要である。
  • 自動化されたアプリケーションの導入と管理ツール - セキュリティ・スキルの不足に加え、セキュリティ脅威の量とペースが増しているため、経験豊富なセキュリティ専門家でも対応しきれなくなっている。雑務を排除し、人間の利点を機械の利点で補強する自動化は、現代の IT 運用の基本要素です。
  • すべてのサービスとプロバイダーを一元管理する統合セキュリティ - 1つの製品やベンダーがすべてを提供することはできませんが、複数の管理ツールを使用すると、何かをすり抜けることがあまりにも簡単になります。オープンな統合ファブリックを備えた統合管理システムは、各部分を統合し、ワークフローを合理化することで、複雑さを軽減します。

最後に、トレードオフの判断をしなければならない場合、コントロールの強化ではなく、可視性の向上を第一に考える必要があります。クラウドの不完全な部分をコントロールしようとするよりも、クラウドのすべてを見ることができたほうがよい。