メインコンテンツへスキップ
質問に戻る

クラウドセキュリティとは?

クラウドセキュリティとは、外部および内部のサイバーセキュリティ脅威からクラウドコンピューティング環境を保護する手順とテクノロジーを指します。インターネット経由で情報技術サービスを提供するクラウドコンピューティングは、イノベーションとコラボレーションの加速を目指す企業や政府にとって不可欠なものとなっています。現在および新たなサイバーセキュリティ脅威からクラウド内のデータとアプリケーションを安全に保つためには、不正アクセスを防止するために設計されたクラウドセキュリティとセキュリティ管理のベストプラクティスが必要です。

クラウドコンピューティングのカテゴリ

クラウドセキュリティは、使用されているクラウドコンピューティングのカテゴリによって異なります。クラウドコンピューティングには主に4つのカテゴリがあります。

  • パブリッククラウドプロバイダーが運用するパブリッククラウドサービス — これらには、サービスとしてのソフトウェア(SaaS)、サービスとしてのインフラストラクチャ(IaaS)、およびサービスとしてのプラットフォーム(PaaS)が含まれます。
  • パブリッククラウドプロバイダーが運用するプライベートクラウドサービス — これらのサービスは、1つの顧客専用のコンピューティング環境を、サードパーティによって運用される形で提供します。
  • 内部スタッフが運用するプライベートクラウドサービス — これらのサービスは、内部スタッフが管理する仮想環境を運用する従来のデータセンターの進化形です。
  • ハイブリッドクラウドサービス — プライベートクラウドとパブリッククラウドのコンピューティング構成を組み合わせることで、コスト、セキュリティ、運用、アクセスなどの最適化要因に基づいてワークロードとデータをホストできます。運用には社内スタッフが関与し、必要に応じてパブリッククラウドプロバイダーも関与します。

パブリッククラウドプロバイダーが提供するクラウドコンピューティングサービスを利用する場合、データとアプリケーションは第三者によってホストされます。これは、ほとんどのデータが自己管理ネットワーク内に保持されていた従来のITとクラウドコンピューティングとの根本的な違いを示しています。セキュリティ責任を理解することが、クラウドセキュリティ戦略を構築するための第一歩です。

クラウドセキュリティ責任の分担

ほとんどのクラウドプロバイダーは、顧客のために安全なクラウドを構築しようと努めています。彼らのビジネスモデルは、侵害を防止し、一般および顧客の信頼を維持することにかかっています。クラウドプロバイダーは、提供するサービスでクラウドセキュリティの問題を回避しようとすることはできますが、顧客がサービスをどのように使用するか、どのようなデータを追加するか、誰がアクセスするかを制御することはできません。顧客は、構成、機密データ、およびアクセスポリシーによって、クラウドのサイバーセキュリティを弱める可能性があります。各パブリッククラウドサービスタイプにおいて、クラウドプロバイダーとクラウド顧客はセキュリティに対する責任のレベルが異なります。サービスタイプ別の責任は以下のとおりです。

  • Software-as-a-service (SaaS) — 顧客はデータとユーザーアクセスを保護する責任があります。
  • Platform-as-a-service (PaaS) — 顧客はデータ、ユーザーアクセス、およびアプリケーションを保護する責任があります。
  • Infrastructure-as-a-service (IaaS) — 顧客はデータ、ユーザーアクセス、アプリケーション、オペレーティングシステム、および仮想ネットワークトラフィックを保護する責任があります。

あらゆる種類のパブリッククラウドサービスにおいて、顧客は自身のデータを保護し、そのデータに誰がアクセスできるかを管理する責任があります。クラウドコンピューティングにおけるデータセキュリティは、クラウドを成功裏に導入し、そのメリットを享受するために不可欠です。Microsoft Office 365やSalesforceのような人気のあるSaaSサービスを検討している組織は、クラウド内のデータを保護するための共有責任をどのように果たすかを計画する必要があります。Amazon Web Services (AWS)やMicrosoft AzureのようなIaaSサービスを検討している組織は、データから始まり、クラウドアプリのセキュリティ、オペレーティングシステム、仮想ネットワークトラフィックもカバーする、より包括的な計画が必要です。これらはいずれもデータセキュリティ問題を引き起こす可能性があります。

クラウドセキュリティの課題

パブリッククラウド内のデータは第三者によって保存され、インターネット経由でアクセスされるため、安全なクラウドを維持する能力においていくつかの課題が生じます。それらは以下の通りです。

  • クラウドデータの可視性 — 多くの場合、クラウドサービスは企業ネットワーク外から、IT部門が管理していないデバイスからアクセスされます。これは、ITチームが従来のネットワークトラフィック監視手段とは異なり、クラウドサービス自体を可視化し、データに対する完全な可視性を確保する必要があることを意味します。
  • クラウドデータの制御 — サードパーティのクラウドサービスプロバイダーの環境では、ITチームは自社内でサーバーやアプリケーションを管理していたときよりもデータへのアクセスが少なくなります。クラウド顧客はデフォルトで限られた制御しか与えられず、基盤となる物理インフラストラクチャへのアクセスは利用できません。
  • クラウドデータとアプリケーションへのアクセス — ユーザーはインターネット経由でクラウドアプリケーションやデータにアクセスできるため、従来のデータセンターネットワーク境界に基づくアクセス制御はもはや効果がありません。ユーザーアクセスは、BYOD (bring-your-own-device) テクノロジーを含む、あらゆる場所やデバイスから可能です。さらに、クラウドプロバイダーの担当者による特権アクセスは、自社のセキュリティ制御を迂回する可能性があります。
  • コンプライアンス — クラウドコンピューティングサービスの利用は、規制および内部コンプライアンスに新たな側面を追加します。お客様のクラウド環境は、HIPAA、PCI、Sarbanes-Oxleyなどの規制要件に加え、社内チーム、パートナー、顧客からの要件にも準拠する必要がある場合があります。クラウドプロバイダーのインフラストラクチャ、および社内システムとクラウド間のインターフェースも、コンプライアンスおよびリスク管理プロセスに含まれます。
  • クラウドネイティブ侵害 – クラウドにおけるデータ侵害は、オンプレミスでの侵害とは異なり、クラウドのネイティブ機能を利用してデータ窃盗が行われることが多いです。クラウドネイティブ侵害とは、敵対的な攻撃者がマルウェアを使用せずにクラウド展開のエラーや脆弱性を悪用して攻撃を「着地」させ、設定が不十分または保護されていないインターフェースを通じてアクセスを「拡大」して価値のあるデータを見つけ出し、そのデータを自身のストレージ場所に「持ち出す」一連の行動です。
  • 設定ミス – クラウドネイティブ侵害は、多くの場合、クラウドサービスの構成を含む、クラウド顧客のセキュリティ責任に起因します。調査によると、現在、IaaS環境の設定エラーを監査できる企業はわずか26%です。IaaSの設定ミスは、クラウドネイティブ侵害の入り口となることが多く、攻撃者が正常に着地し、その後データを拡大および持ち出すことを可能にします。調査によると、IaaSにおける設定ミスの99%はクラウド顧客によって見過ごされています。この研究から、このレベルの設定ミスの認識のずれを示す抜粋を以下に示します。
  • 災害復旧 – 重大な悪影響を及ぼす侵害の影響から保護するためには、サイバーセキュリティ計画が必要です。災害復旧計画には、データの回復を可能にし、組織が運用とビジネスを継続できるように設計されたポリシー、手順、およびツールが含まれます。
  • 内部脅威 – 不正な従業員は、クラウドサービスを利用して組織をサイバーセキュリティ侵害にさらす可能性があります。最近のMcAfee Cloud Adoption and Risk Reportでは、85%の組織で内部脅威を示す不規則な活動が明らかになりました。

クラウドセキュリティソリューション

クラウドセキュリティソリューションを求める組織は、クラウドデータの可視性と制御に関する主要なクラウドセキュリティの課題を解決するために、以下の基準を考慮すべきです。

  • クラウドデータの可視性 — クラウドデータの完全な可視性を得るには、クラウドサービスへの直接アクセスが必要です。クラウドセキュリティソリューションは、クラウドサービスへのAPI (application programming interface) 接続を通じてこれを実現します。API接続により、以下を表示できます。
    • どのようなデータがクラウドに保存されているか。
    • 誰がクラウドデータを使用しているか。
    • クラウドデータへのアクセス権を持つユーザーの役割。
    • クラウドユーザーが誰とデータを共有しているか。
    • クラウドデータがどこに配置されているか。
    • クラウドデータがどこからアクセスされ、ダウンロードされているか(どのデバイスからかを含む)。
  • クラウドデータの制御 — クラウドデータの可視性を確保したら、組織に最適な制御を適用します。これらの制御には以下が含まれます。
    • データ分類 — クラウドで作成されるデータは、機密、規制対象、公開など、複数のレベルで分類します。分類されたデータは、クラウドサービスへの出入りを阻止できます。
    • Data Loss Prevention (DLP) — 不正アクセスからデータを保護し、不審なアクティビティが検出された場合にデータのアクセスと転送を自動的に無効にするクラウドDLPソリューションを実装します。
    • コラボレーション制御 — クラウドサービス内で、特定のユーザーのファイルおよびフォルダーのアクセス許可を編集者または閲覧者にダウングレードしたり、アクセス許可を削除したり、共有リンクを取り消したりするなどの制御を管理します。
    • 暗号化 — クラウドデータの暗号化は、データが持ち出されたり盗まれたりした場合でも、データへの不正アクセスを防止するために使用できます。
  • クラウドデータとアプリケーションへのアクセス— 社内セキュリティと同様に、アクセス制御はクラウドセキュリティの重要な要素です。一般的な制御には以下が含まれます。
    • ユーザーアクセス制御 — 許可されたユーザーのみがクラウドデータとアプリケーションにアクセスできるように、システムおよびアプリケーションのアクセス制御を実装します。Cloud Access Security Broker (CASB) を使用してアクセス制御を強制できます。
    • デバイスアクセス制御 — 個人用または不正なデバイスがクラウドデータにアクセスしようとしたときに、アクセスをブロックします。
    • 悪意のある動作の特定 — ユーザー行動分析 (UBA) を使用して、侵害されたアカウントや内部脅威を検出し、悪意のあるデータ持ち出しが発生しないようにします。
    • マルウェア対策 — ファイルスキャン、アプリケーションホワイトリスティング、機械学習ベースのマルウェア検出、ネットワークトラフィック分析などの技術を使用して、マルウェアがクラウドサービスに侵入するのを防ぎます。
    • 特権アクセス— 特権アカウントがデータやアプリケーションに対して持つ可能性のあるあらゆるアクセス形態を特定し、露出を軽減するための制御を導入します。
  • コンプライアンス — 既存のコンプライアンス要件と慣行は、クラウドに存在するデータやアプリケーションを含むように強化されるべきです。
    • リスク評価— クラウドサービスを含むようにリスク評価を見直し、更新します。クラウド環境およびプロバイダーによって導入されるリスク要因を特定し、対処します。クラウドプロバイダー向けのリスクデータベースは、評価プロセスを迅速化するために利用可能です。
    • コンプライアンス評価— PCI、HIPAA、Sarbanes-Oxley、およびその他のアプリケーション規制要件に関するコンプライアンス評価を見直し、更新します。

その他の対象

データセキュリティポスチャ管理 (DSPM) 入門

プロキシとは?

トークン化 vs 暗号化

クラウドセキュリティのベストプラクティスへのステップバイステップガイド

CWPP(Cloud Workload Protection Platform)とは何ですか?

クラウドコンピューティングのセキュリティ問題

コンテナ・セキュリティとは?

ブラウザーアイソレーションとは?