メインコンテンツへスキップ
質問に戻る

IaaSとは?

Infrastructure-as-a-service (IaaS) は、仮想化されたコンピューティングリソース、仮想ネットワーク、仮想ストレージ、およびインターネット経由でアクセス可能な仮想マシンを提供します。主要なインフラストラクチャサービスには、AmazonのElastic Compute (EC2)、Google Compute Engine、Microsoft Azureなどがあります。 IaaSの利用は、初期費用が低いことから増加しています。インフラストラクチャサービスを利用する組織は、ハードウェアを購入または維持する必要がありません。このため、IaaSはあらゆる規模の組織にとって魅力的です。 IaaSはハードウェアよりも拡張性と柔軟性に優れています。クラウドインフラストラクチャはオンデマンドで拡張でき、不要になった場合は再び縮小できます。このレベルの拡張性は、オンプレミスハードウェアでは不可能です。 しかし、IaaSは、IaaSリソースを乗っ取ってサービス拒否攻撃を開始したり、ボットネットを実行したり、暗号通貨をマイニングしたりするサイバー攻撃の標的となる可能性があります。ストレージリソースとデータベースは、多くのデータ侵害においてデータ流出の頻繁な標的となります。さらに、組織のインフラストラクチャサービスへの侵入に成功した攻撃者は、それらのアカウントを悪用して、企業アーキテクチャの他の部分へのアクセスを獲得することができます。

IaaSを安全にする方法

IaaSの顧客は、データ、ユーザーアクセス、アプリケーション、オペレーティングシステム、および仮想ネットワークトラフィックのセキュリティ確保に責任を負います。組織はIaaSを使用する際に、しばしば以下の間違いを犯します。

暗号化されていないデータ: ハイブリッドおよびマルチクラウド環境では、データはオンプレミスとクラウドベースのリソース間、および異なるクラウドアプリケーション間で移動します。データの盗難や不正アクセスから保護するためには、暗号化が不可欠です。組織は、データをオンプレミスで、クラウドに移行する前に、またはクラウド内で暗号化できます。独自の暗号化キーを使用することも、IaaSプロバイダーの暗号化を使用することもできます。IT部門は、転送中のデータを暗号化したいと考える場合もあります。多くの政府および業界規制では、機密データが常に、保存時と転送時の両方で暗号化されることを義務付けています。

設定ミス: クラウドセキュリティインシデントの一般的な原因は、クラウドリソースの設定ミスです。クラウドプロバイダーはリソースを保護するためのツールを提供する場合がありますが、ツールの正しい使用はITプロフェッショナルの責任です。一般的なエラーの例は次のとおりです。

  • 不適切に設定されたインバウンドまたはアウトバウンドポート
  • 多要素認証が有効化されていない
  • データ暗号化が無効になっている
  • ストレージアクセスがインターネットに公開されている

シャドーサービス: シャドーまたは不正なクラウドアカウントは、Software-as-a-Service (SaaS) ソリューションで最も一般的ですが、IaaSでも発生する可能性があります。従業員がアプリケーションやリソースをプロビジョニングする必要がある場合、IT部門に通知せずにクラウドプロバイダーを使用することがあります。これらのサービス内のデータを保護するには、IT部門はまず監査を通じてサービスとユーザーを特定する必要があります。これを行うには、IT部門はCloud Access Security Broker (CASB) を使用できます。

シャドーサービス: シャドーまたは不正なクラウドアカウントは、Software-as-a-Service (SaaS) ソリューションで最も一般的ですが、IaaSでも発生する可能性があります。従業員がアプリケーションやリソースをプロビジョニングする必要がある場合、IT部門に通知せずにクラウドプロバイダーを使用することがあります。これらのサービス内のデータを保護するには、IT部門はまず監査を通じてサービスとユーザーを特定する必要があります。これを行うには、IT部門はCloud Access Security Broker (CASB)を使用できます。

IaaSセキュリティのためのソリューション

多くの組織が、異なるベンダーのIaaS、PaaS、SaaSサービスを利用するマルチクラウド環境を使用しています。マルチクラウド環境は一般的になりつつありますが、セキュリティ上の課題を引き起こす可能性もあります。従来のエンタープライズセキュリティソリューションは、組織のファイアウォールの外にあるクラウドサービス向けには構築されていません。仮想インフラストラクチャサービス(仮想マシン、仮想ストレージ、仮想ネットワークなど)には、クラウド環境向けに特別に設計されたセキュリティソリューションが必要です。

IaaSセキュリティのための4つの重要なソリューションは、Cloud Access Security Broker、クラウドワークロード保護プラットフォーム、仮想ネットワークセキュリティプラットフォーム、およびクラウドセキュリティポスチャ管理です。

  • Cloud Access Security Broker (CASB)、別名クラウドセキュリティゲートウェイ (CSG): CASBは、ユーザーアクティビティ監視、IaaS監視、クラウドマルウェア検出、Data Loss Prevention、暗号化など、クラウドリソースに対する可視性と制御を提供します。これらは、ファイアウォールやクラウドプラットフォームAPIと統合できるほか、IaaSの誤設定やクラウドストレージ内の保護されていないデータを監視することもできます。CASBは、セキュリティ設定と構成、ファイルアクセス権限、および侵害されたアカウントの監査と監視を提供します。CASBには、ワークロードの監視とセキュリティも含まれる場合があります。
  • Cloud Workload Protection Platform (CWPP): CWPPは、ワークロードとコンテナを検出し、マルウェア保護を適用し、管理されていない場合にサイバー犯罪者にIaaS環境への侵入経路を提供する可能性のあるワークロードインスタンスとコンテナを管理します。
  • Virtual Network Security Platform (VNSP): VNSPソリューションは、IaaS環境内の仮想インスタンス間で南北および東西に移動するネットワークトラフィックをスキャンします。これには、仮想リソースを保護するためのネットワーク侵入検知および防止が含まれます。
  • Cloud Security Posture Management (CSPM): Cloud Security Posture Managerは、IaaSクラウド環境のセキュリティおよびコンプライアンスの問題を監査し、手動または自動の修復を提供します。CASBは、ますますCSPM機能を追加しています。

IaaSプロバイダーの考慮事項

IaaSプロバイダーは、基盤となるサーバーとデータを保護する管理責任があります。IT管理者は、以下の特性に基づいてIaaSプロバイダーを評価できます。

  • 物理アクセス権限: IaaSプロバイダーは、物理施設、ITシステム、およびクラウドサービスへのセキュアなアクセス制御の実装に責任を負います。
  • コンプライアンス監査: IT管理者は、医療情報セキュリティ法や消費者金融データのプライバシー要件など、関連する規制への準拠の証明 (監査および認証) を要求できます。
  • 監視およびログツール: IaaSプロバイダーは、クラウド資源の監視、ログ記録、および管理のためのツールを提供する場合があります。
  • ハードウェア仕様とメンテナンス: クラウドインフラストラクチャサービスを支えるハードウェアは、それらのサービスのパフォーマンスに影響を与えます。IT組織は、プロバイダーのハードウェア仕様、特にファイアウォール、侵入検知、コンテンツフィルタリングなどのセキュリティデバイスについて要求できます。

データセンターがクラウドに移行するにつれて、IT管理者はIaaSセキュリティ戦略を策定し、重要なインフラストラクチャを保護するためのクラウドセキュリティテクノロジーを実装する必要があります。Skyhigh Securityのクラウドセキュリティは、組織がクラウド内のデータに対する完全な可視性と制御を得ることで、ビジネスを加速することを可能にします。Skyhigh Securityのクラウドセキュリティテクノロジーについて詳しくはこちらをご覧ください。

その他の対象

データセキュリティポスチャ管理 (DSPM) 入門

プロキシとは?

トークン化 vs 暗号化

クラウドセキュリティのベストプラクティスへのステップバイステップガイド

CWPP(Cloud Workload Protection Platform)とは何ですか?

クラウドコンピューティングのセキュリティ問題

コンテナ・セキュリティとは?

ブラウザーアイソレーションとは?