クラウドセキュリティとは？

クラウドコンピューティングのカテゴリ

クラウドセキュリティは、使用するクラウドコンピューティングのカテゴリによって異なります。クラウドコンピューティングには、主に4つのカテゴリーがあります：

• パブリック・クラウド・プロバイダーが運営するパブリック・クラウド・サービス- SaaS（Software-as-a-Service）、IaaS（Infrastructure-as-a-Service）、PaaS（Platform-as-a-Service）などがある。
• パブリック・クラウド・プロバイダーが運営するプライベート・クラウド・サービス- このサービスは、サード・パーティーによって運営される、一顧客専用のコンピューティング環境を提供する。
• 社内スタッフによって運用されるプライベート・クラウド・サービス- このサービスは、従来のデータセンターを進化させたもので、社内スタッフが自分たちでコントロールする仮想環境を運用する。
• ハイブリッド・クラウド・サービス- プライベートとパブリックのクラウド・コンピューティング構成を組み合わせることができ、コスト、セキュリティ、運用、アクセスなどの要素を最適化した上で、ワークロードやデータをホスティングする。運用には社内のスタッフが関与し、場合によってはパブリッククラウドプロバイダーも関与する。

パブリッククラウドプロバイダーが提供するクラウドコンピューティングサービスを利用する場合、データとアプリケーションはサードパーティにホストされます。これは、ほとんどのデータが自己管理されたネットワーク内に保持されていた従来のITとクラウドコンピューティングとの根本的な違いを示しています。自社のセキュリティ責任を理解することが、クラウドセキュリティ戦略構築の第一歩となります。

クラウドセキュリティの責任分担の細分化

ほとんどのクラウド・プロバイダーは、顧客のために安全なクラウドを作ろうとしている。彼らのビジネスモデルは、侵害を防ぎ、社会と顧客の信頼を維持することにかかっている。クラウド・プロバイダーは、提供するサービスによってクラウドのセキュリティ問題を回避しようと試みることはできるが、顧客がサービスをどのように利用し、どのようなデータを追加し、誰がアクセスするのかをコントロールすることはできない。顧客は、その設定、機密データ、アクセス・ポリシーによって、クラウドのサイバーセキュリティを弱めることができる。パブリック・クラウド・サービスの種類ごとに、クラウド・プロバイダーとクラウド利用者は、セキュリティに関して異なるレベルの責任を分担する。サービス・タイプ別に見ると、以下のようになる：

• SaaS（Software-as-a-service）-データとユーザー・アクセスの安全確保は顧客の責任である。
• Platform-as-a-Service (PaaS) - データ、ユーザー・アクセス、アプリケーションのセキュリティ確保は顧客の責任である。
• Infrastructure-as-a-Service (IaaS) - データ、ユーザー・アクセス、アプリケーション、オペレーティング・システム、仮想ネットワーク・トラフィックのセキュリティ確保はお客様の責任です。

あらゆる種類のパブリッククラウドサービスにおいて、顧客は自分のデータを保護し、そのデータにアクセスできる人をコントロールする責任を負います。クラウドコンピューティングにおけるデータセキュリティは、クラウドをうまく導入し、その利点を得るための基本です。Microsoft Office 365やSalesforceのような人気のあるSaaSサービスを検討している組織は、クラウド上でデータを保護するための共有責任をどのように果たすかについて計画する必要があります。Amazon Web Services（AWS）やMicrosoft AzureのようなIaaSを検討している組織は、データから始まり、クラウドアプリケーションのセキュリティ、オペレーティングシステム、仮想ネットワークトラフィックなど、それぞれがデータセキュリティ問題の可能性をもたらす可能性を含む、より包括的な計画を立てる必要があります。

クラウドセキュリティの課題

パブリッククラウドのデータは第三者によって保存され、インターネット経由でアクセスされるため、安全なクラウドを維持するためにはいくつかの課題が発生します。これらは以下の通りです：

• クラウド・データの可視化- 多くの場合、クラウド・サービスは企業ネットワークの外部にあり、IT部門が管理していないデバイスからアクセスされる。つまり、ITチームは、従来のネットワーク・トラフィックを監視する手段とは異なり、クラウド・サービス自体を監視してデータを完全に可視化する必要がある。
• クラウドデータの管理- サードパーティのクラウドサービスプロバイダーの環境では、ITチームは自社内でサーバーやアプリケーションを管理していたときよりも、データへのアクセスが少なくなる。クラウドの顧客は、デフォルトで限られたコントロールしか与えられておらず、基盤となる物理インフラへのアクセスは不可能です。
• クラウド・データとアプリケーションへのアクセス- ユーザーはインターネット経由でクラウド・アプリケーションとデータにアクセスする可能性があり、従来のデータセンター・ネットワーク境界をベースとしたアクセス制御はもはや有効ではありません。ユーザー・アクセスは、BYOD（Bring-your-own-Device）テクノロジーを含め、あらゆる場所やデバイスから可能です。さらに、クラウド・プロバイダーの担当者による特権アクセスは、自社のセキュリティ管理をバイパスする可能性がある。
• コンプライアンス- クラウド・コンピューティング・サービスを利用することで、規制および社内コンプライアンスに新たな側面が加わります。クラウド環境は、HIPAA、PCI、Sarbanes-Oxleyなどの規制要件や、社内チーム、パートナー、顧客からの要件を遵守する必要があります。クラウドプロバイダーのインフラ、社内システムとクラウド間のインターフェースも、コンプライアンスとリスク管理プロセスに含まれます。
• クラウドネイティブ侵害- クラウドにおけるデータ侵害は、オンプレミスの侵害とは異なり、多くの場合、クラウドのネイティブ機能を使ってデータの盗難が発生する。クラウドネイティブ侵害とは、敵対する行為者がマルウェアを使用せずにクラウド展開のエラーや脆弱性を悪用して攻撃を「着地」させ、脆弱に設定または保護されたインターフェイスを介してアクセスを「拡大」して貴重なデータを探し出し、そのデータを自身のストレージに「流出」させる一連の行為を指します。
• 設定ミス - クラウドネイティブの侵害は、多くの場合、クラウドサービスの設定を含むセキュリティに対するクラウド顧客の責任に起因する。調査によると、現在IaaS環境の設定ミスを監査できている企業はわずか26%に過ぎない。IaaSの設定ミスは、多くの場合、クラウドネイティブの侵害のフロントドアとして機能し、攻撃者が上陸に成功した後、データを拡大し、流出させることを可能にする。調査によると、IaaSの設定ミスの99%は、クラウドの顧客によって気づかれないまま放置されているという。以下は、この研究からの抜粋で、このレベルの設定ミスを示している：

• ディザスタリカバリ（災害復旧） - サイバーセキュリティ計画は、重大な負の侵害の影響を保護するために必要である。災害復旧計画には、データの復旧を可能にし、組織が業務とビジネスを継続できるように設計されたポリシー、手順、ツールが含まれる。
• 内部脅威 - 不正な従業員は、クラウドサービスを使用して組織をサイバーセキュリティ侵害にさらす可能性がある。最近の McAfee Cloud Adoption and Risk Report では、85% の組織で内部脅威を示す不規則な活動が確認されています。

クラウドセキュリティソリューション

クラウドセキュリティソリューションを求める組織は、クラウドセキュリティの主要課題であるクラウドデータの可視化と制御を解決するために、次の基準を考慮する必要があります。

• クラウドデータの可視化 - クラウド・データを完全に把握するには、クラウド・サービスに直接アクセスする必要がある。クラウド・セキュリティ・ソリューションは、クラウド・サービスへのアプリケーション・プログラミング・インターフェース（API）接続を通じてこれを実現する。API接続により、以下のようなことが可能になる：
  • どのようなデータがクラウドに保存されているか。
  • クラウドデータは誰が使っているのか？
  • クラウドデータにアクセスできるユーザーの役割。
  • クラウドユーザーが誰とデータを共有しているか。
  • クラウドデータが置かれている場所。
  • クラウドデータがどこからアクセスされ、ダウンロードされているのか、どのデバイスからなのかを含めて。
• クラウドデータの管理 - クラウドデータを可視化したら、組織に最適なコントロールを適用する。これらのコントロールには以下が含まれる：
  • データの分類- クラウドで作成されたデータを、機密、規制、公開など複数のレベルで分類する。一度分類されたデータは、クラウドサービスへの出入りを止めることができる。
  • Data Loss Prevention (DLP）- クラウドDLPソリューションを導入することで、不正アクセスからデータを保護し、不審な動きが検出された場合は、自動的にデータへのアクセスと転送を無効にする。
  • コラボレーション・コントロール- 指定したユーザーのファイルやフォルダーの権限をエディターやビューアーにダウングレードしたり、権限を削除したり、共有リンクを取り消すなど、クラウドサービス内のコントロールを管理します。
  • 暗号化- クラウドデータの暗号化を使用することで、データが流出したり盗まれたりした場合でも、データへの不正アクセスを防ぐことができる。
• クラウドデータとアプリケーションへのアクセス- 社内のセキュリティと同様に、アクセス制御はクラウドセキュリティの重要な要素である。代表的な制御には以下が含まれる：
  • ユーザー・アクセス制御- 許可されたユーザーのみがクラウドのデータとアプリケーションにアクセスできるように、システムとアプリケーションのアクセス制御を実装する。 A Cloud Access Security Broker(CASB）を使用してアクセス制御を実施することができる。
  • デバイスのアクセス制御- 個人所有の不正なデバイスがクラウドデータにアクセスしようとしたときにアクセスをブロックする。
  • 悪意のある行動の特定- 悪意のあるデータ流出が発生しないように、ユーザー行動分析（UBA）により侵害されたアカウントや内部の脅威を検出します。
  • マルウェア対策- ファイルスキャン、アプリケーションのホワイトリスト化、機械学習ベースのマルウェア検出、ネットワークトラフィックの分析などの手法を用いて、マルウェアがクラウドサービスに侵入するのを防ぎます。
  • 特権アクセス - 特権アカウントがデータやアプリケーションにアクセスできる可能性のあるすべての形態を特定し、暴露を軽減するためのコントロールを導入する。
• コンプライアンス - 既存のコンプライアンス要件と慣行は、クラウドに存在するデータとアプリケーションを含めるために増強されるべきである。
  • リスクアセスメント- クラウドサービスを含むリスクアセスメントを見直し、更新する。クラウド環境やプロバイダーによってもたらされるリスク要因を特定し、対処する。クラウドプロバイダーのリスクデータベースを利用することで、評価プロセスを迅速化する。
  • コンプライアンス評価- PCI、HIPAA、Sarbanes-Oxley、およびその他のアプリケーションの規制要件に対するコンプライアンス評価をレビューし、更新します。