メインコンテンツへスキップ
質問に戻る

クラウドセキュリティのベストプラクティスへのステップバイステップガイド

クラウドサービスは、Boxのようなサービスでのデータ保存から、Microsoft 365による生産性向上ツールへのアクセス、Amazon Web Services(AWS)でのITインフラの導入まで、企業環境において様々な目的で利用されています。これらすべての用途において、クラウドサービスは、企業がより迅速に行動し、より俊敏なテクノロジーでビジネスを加速させることを可能にし、多くの場合、より低いコストで利用することができます。しかし、どのようなクラウドサービスの利用にも、クラウド上のデータセキュリティの課題とリスクが伴います。クラウドで作成されたデータ、クラウドに送信されたデータ、クラウドからダウンロードされたデータのセキュリティは、常にクラウド利用者の責任となります。クラウドデータを保護するためには、可視化と制御が必要です。以下のステップでは、企業を安全なクラウドに導き、クラウドセキュリティの問題に対処するための、クラウドセキュリティのベストプラクティスのコアセットを概説します。

フェーズ1:クラウドの利用状況やリスクを把握する

クラウドコンピューティングのセキュリティの最初の段階は、現状を把握し、リスクを評価することに重点を置いています。クラウド監視を可能にするクラウドセキュリティソリューションを使用することで、以下のステップを達成することができます:

  1. ステップ1:機密データまたは規制対象データを特定する。
    最大のリスクは、規制上の罰則や知的財産の喪失につながるデータの紛失や盗難です。データ分類エンジンは、データを分類することで、このリスクを十分に評価することができます。
  2. ステップ2:機密データがどのようにアクセスされ、共有されているかを把握する。機密データはクラウド上に安全に保管することができますが、誰がアクセスし、どこに行くのかを監視する必要があります。クラウド環境のファイルやフォルダのアクセス権を、ユーザーの役割、ユーザーの所在地、デバイスの種類などのアクセスコンテキストとともに評価します。
  3. ステップ3:シャドーIT(未知のクラウド利用)を発見する。
    ほとんどの人は、クラウドストレージアカウントにサインアップしたり、オンラインでPDFを変換したりする前に、ITチームに問い合わせることはありません。Webプロキシ、ファイアウォール、SIEMのログを使用して、知らないうちに使用されているクラウドサービスを発見し、そのリスクプロファイルの評価を実行します。
  4. ステップ4:AWSやAzureなどのIaaS(Infrastructure-as-a-Service)の設定を監査する。
    IaaS環境には数十の重要な設定があり、その多くは設定を誤ると脆弱性を突く可能性があります。まず、ID・アクセス管理、ネットワーク構成、暗号化などの設定を監査することから始めましょう。
  5. ステップ5:悪意のあるユーザーの行動を発見する。
    不注意な従業員も、第三者の攻撃者も、クラウドデータの悪意ある利用を示す行動をとることがあります。ユーザー行動分析(UBA)は、異常を監視し、内部および外部のデータ損失を軽減することができます。

フェーズ2:クラウドを守る

クラウドセキュリティのリスク態勢を理解すれば、クラウドサービスのリスクレベルに応じて、戦略的に保護を適用することができます。以下のベストプラクティスを実現するために、いくつかのクラウドセキュリティテクノロジーが用意されています:

  1. ステップ1:データ保護ポリシーの適用。
    クラウドに保存できるデータの種類や、クラウド上で発見された機密データの隔離や削除、ユーザーがミスしてポリシーを破った場合の指導など、ポリシーを適用することができます。
  2. ステップ2:機密データを独自の鍵で暗号化する。
    クラウドサービス内で利用できる暗号化は、外部からのデータを保護しますが、クラウドサービス提供者はあなたの暗号化キーにアクセスすることができます。しかし、クラウドサービスプロバイダーは暗号化キーにアクセスすることができます。そのため、ユーザーはデータを中断することなく、作業を行うことができます。
  3. ステップ3:データの共有方法に制限を設ける。
    データがクラウドに入った瞬間から、1つまたは複数のサービスに対してアクセス制御ポリシーを適用します。ユーザーやグループを閲覧者または編集者に設定し、共有リンクを通じて外部と共有できる情報を制御するなどのアクションから始めます。
  4. Step 4: 管理されていないデバイスへのデータ移行を阻止する。
    クラウドサービスは、インターネット接続があればどこからでもアクセスできますが、個人の携帯電話のような管理されていないデバイスからのアクセスは、セキュリティ態勢の死角となります。ダウンロード前にデバイスのセキュリティ認証を要求することで、管理されていないデバイスへのダウンロードをブロックします。
  5. ステップ5:AWSやAzureなどのIaaS(Infrastructure-as-a-Service)に高度なマルウェア保護を適用する。
    IaaS環境では、OS、アプリケーション、ネットワークトラフィックのセキュリティに責任を持つ必要があります。OSと仮想ネットワークにマルウェア対策技術を適用することで、インフラを保護することができます。単一目的のワークロードにはアプリケーションホワイトリストとメモリエクスプロイト防止を、汎用ワークロードとファイルストアには機械学習ベースの保護を導入します。

フェーズ3:クラウドセキュリティ問題への対応

クラウドサービスへのアクセスや利用が進むにつれ、他のIT環境と同様に、定期的に自動対応やガイド付き対応が必要となるインシデントが発生します。以下のベストプラクティスに従って、クラウドセキュリティのインシデントレスポンスの実践を始めてください:

  1. ステップ1:リスクの高いアクセスシナリオには、追加認証を要求する。
    例えば、ユーザーが新しいデバイスからクラウドサービス内の機密データにアクセスする場合、自動的に二要素認証を要求し、本人であることを証明します。
  2. ステップ2:新しいサービスの登場に合わせてクラウドアクセスポリシーを調整する。
    アクセスされるクラウドサービスをすべて予測することはできませんが、セキュアWebゲートウェイなどで実施されるWebアクセスポリシーを、クラウドサービスのリスクプロファイルに関する情報で自動的に更新し、アクセスをブロックしたり警告メッセージを表示したりすることはできます。このためには、クラウドリスクデータベースとセキュアウェブゲートウェイやファイアウォールを統合する必要があります。
  3. ステップ3:クラウドサービスからマルウェアを除去する。
    クラウドストレージサービスと自動的に同期する共有フォルダをマルウェアが侵害し、ユーザーの操作なしにマルウェアをクラウド上に複製することが可能です。ランサムウェアやデータ盗難の攻撃を避けるために、マルウェア対策でクラウドストレージのファイルをスキャンしましょう。

クラウドサービスの進化に伴い、クラウドを利用することで直面する課題や脅威も変化しています。セキュリティに関わるクラウドプロバイダーの機能更新を常に把握し、それに応じてポリシーを調整できるようにしましょう。セキュリティプロバイダーも同様に、脅威インテリジェンスと機械学習モデルを調整して対応することになります。上記の段階とベストプラクティスでは、各ステップを達成するためにいくつかの主要な技術を使用することができ、多くの場合、クラウドプロバイダーのネイティブセキュリティ機能と連携して動作します。

  1. クラウドアクセスセキュリティブローカー(CASB)
    データ損失防止、アクセス制御、ユーザー行動分析を通じて、クラウド上のデータを保護する。CASBはさらに、IaaSの構成を監視し、シャドーITを発見するためにも使用されます。
  2. クラウド・ワークロード・プロテクション:
    ワークロードやコンテナを発見し、マルウェア保護を適用し、IaaS環境全体のセキュリティ管理を簡素化します。
  3. 仮想ネットワークセキュリティ:
    IaaS環境で保有する仮想インスタンス間を移動するネットワークトラフィックと、その出入口をスキャンします。