‹ Cybersecurity 101に戻る

クラウドセキュリティ
定義、課題、8つの重要な要素
  • デモのスケジュールを依頼

    • Gui Alvarenga - 9月 25, 2023

    クラウドセキュリティとは

    クラウドセキュリティは、クラウドコンピューティングシステム内の組織の機密データ、アプリケーション、環境を保護するためのテクノロジー、ポリシー、サービス、セキュリティコントロールのコレクションです。

    クラウドコンピューティングは、インターネットを介してストレージ、サーバー、ソフトウェアなどのホステッドサービスを提供することです。クラウドコンピューティングにより、企業はコストを削減し、展開を促進し、大規模な開発を行うことができます。

    クラウドセキュリティでは以下に重点が置かれます。

    • ネットワーク間でのデータプライバシーの確保
    • 複数のクラウドサービスプロバイダーを使用する企業に固有のサイバーセキュリティに関する懸念への対応
    • ユーザーのアクセス、デバイス、ソフトウェアの管理

    クラウドセキュリティが重要な理由

    企業が完全なデジタル環境に移行し続けている中、クラウドコンピューティングの使用がますます一般的になっています。これにはサイバーセキュリティの課題に直面するリスクが伴うため、組織を安全に保つにはクラウドセキュリティの重要性を理解することが不可欠です。

    長年にわたって、セキュリティ上の脅威は信じられないほど複雑化しており、毎年新しい攻撃者がこの分野を脅かしています。クラウドでは、すべてのコンポーネントに24時間365日リモートでアクセスできるため、クラウドセキュリティが欠如していると、収集したすべてのデータが一挙に危険にさらされることになります。クラウドセキュリティに投資しない組織はデータ侵害に悩まされる可能性があり、お客様の機密データを管理する際にコンプライアンスを維持できないなど、大きな問題に直面します。

    クラウドセキュリティは、組織の規模に関係なく、組織のサイバーセキュリティ戦略の不可欠な部分である必要があります。大企業のみがサイバー攻撃を受けていると多くの人が信じていますが、中小企業は脅威アクターの最大の標的の1つです。

    2023年版クラウドリスクレポート(英語版)

    この新しいレポートをダウンロードして、2023年に最も蔓延しているクラウドセキュリティの脅威について精通し、2024年にはそれらの脅威からの保護を強化してください。

    今すぐダウンロード

    責任共有モデル

    ほとんどの組織は、Google Cloud Platform(GCP)、アマゾンウェブサービス(AWS)、Microsoft Azure(Azure)などのサードパーティのクラウドサービスプロバイダー(CSP)を使用して、データとアプリケーションをホストしています。クラウドセキュリティは、これらのクラウドサービスプロバイダーとそのお客様の間で分担される責任です。

    責任共有モデルは、Software as a Service(PaaS)、Platform as a Service(PaaS)、Infrastructure as a Service(IaaS)の各種類のクラウドサービスに基づくクラウドプロバイダーとお客様について、セキュリティに関する責任の概要を説明します。

    クラウドサービスの種類ごとに責任分担を分類したものを次の表に示します。

    サービスの種類ベンダーの責任ユーザーの責任
    SaaSアプリケーションのセキュリティエンドポイント、ユーザー、ネットワークのセキュリティ
    設定ミス、ワークロード、データ
    PaaSすべてのハードウェアとソフトウェアを含むプラットフォームのセキュリティプラットフォーム上で開発されたアプリケーションのセキュリティ
    エンドポイント、ユーザー、ネットワークのセキュリティ、ワークロード
    IaaSすべてのインフラストラクチャコンポーネントのセキュリティインフラストラクチャにインストールされたアプリケーションのセキュリティ(例:OS、アプリケーション、ミドルウェア)
    エンドポイント、ユーザーとネットワークのセキュリティ、ワークロード、データ

    クラウドセキュリティの課題とリスク

    従来のオンプレミスインフラストラクチャとは異なり、パブリッククラウドには定義された境界がありません。明確な境界が無いため、いくつかのサイバーセキュリティの課題とリスクが生じます。

    最も一般的なクラウドセキュリティの課題とリスクを以下に示します。

    データ侵害

    データ侵害は、今日の組織の最大の懸念事項です。IBMとPonemon Instituteによると、2021年から2022年にかけて、データ侵害の平均コストは424万ドルから944万ドルに増加し、過去17年間における平均コストの最高増加額を記録しました。データ侵害の発生は、クラウド攻撃の場合とオンプレミス攻撃の場合とでは異なります。マルウェアはあまり関係がありません。代わりに、攻撃者は設定ミス、不適切なアクセス、盗まれた認証情報、およびその他の脆弱性をエクスプロイトします。

    可視性

    さまざまなビジネス上および運用上のニーズを満たすために、組織の76%が2つ以上のクラウドプロバイダーを利用しているため、クラウド環境全体の可視性を欠くことになります。これは、コントロールと管理の分散につながり、盲点を生み出します。適切に監視されていないエンドポイント、ワークロード、トラフィックが盲点となり、攻撃者によって悪用されることが多いセキュリティギャップが残されることになります。

    動的ワークロード

    ワークロードは、クラウドアプリケーションをサポートするすべてのプロセスとリソースで構成されます。つまり、アプリは多くのワークロード(VM、コンテナ、Kubernetes、マイクロサービス、サーバーレス機能、データベースなど)で構成されています。ワークロードには、アプリケーション、アプリケーションで生成または入力するデータ、およびユーザーとアプリケーションの間で接続をサポートするネットワークリソースが含まれます。

    これらの各ワークロードの適切な保護を怠ると、アプリケーションと組織が侵害を受けやすくなるだけでなく、アプリ開発が遅れ、生産性およびパフォーマンスが損なわれて、ビジネスのスピードにブレーキがかかります。

    設定ミス

    高速な動作は、アプリケーションが設定ミスの影響を受ける可能性を高めます。これは現在、クラウド環境最大の脆弱性となっています。設定ミスは、アカウントの権限の過度な付与、不十分なログ記録、およびその他のセキュリティギャップの原因となり、これらにより組織は、データ侵害、クラウド侵害、インサイダー脅威、脆弱性を利用してデータやネットワークにアクセスする攻撃者にさらされてしまいます。

    セキュアでないAPI

    APIは基本的に、アプリケーションまたはアプリケーションのコンポーネントが、インターネットまたはプライベートネットワークを介して相互に通信することを可能にするものです。つまり、企業はAPIを使用して、企業内、または対パートナー、サプライヤー、顧客でのサービス接続とデータ転送を行います。

    露呈、破壊、ハッキングされたAPIは、大規模なデータ侵害の原因となり、財務、お客様、医療、その他の機密データがさらされることになります。APIは特定の種類のデータをエンドポイント化するため、ポリシーまたは特権レベルが変更されると、ホストが意図した以上のデータに不正アクセスされるリスクが高まる可能性があります。

    アクセス制御/不正アクセス

    企業で従業員に付与するアクセス権とアクセス許可は、職務の遂行に必要なもの以上になっていることがよくあるため、アイデンティティベースの脅威が増加します。アクセスポリシーの設定ミスは、セキュリティ監査で見過ごされる一般的なエラーです。

    さらに、マルチクラウド環境を使用している組織は、クラウドプロバイダーのデフォルトのアクセス制御に依存する傾向があり、これは特にマルチクラウドまたはハイブリッドクラウド環境で問題になります。内部の脅威は、特権アクセス、攻撃する場所の知識、および痕跡を隠す機能が使用されることにより、大きな損害となる可能性があります。

    コントロールプレーンのセキュリティ保護

    コントロールプレーンは、クラウド操作とAPIコールを管理およびオーケストレーションするツールで構成されます。コントロールプレーンは、ユーザー、デバイス、アプリケーションがクラウドおよびクラウドに配置されたリソースと対話する手段を提供するため、インターネット上のどこからでもアクセスできる必要があります。セキュリティポリシーを適用し、コントロールプレーンをセキュリティ保護することで、攻撃者によるクラウド環境全体のアクセス権と設定の変更を防止します。

    セキュリティコンプライアンスと監査

    クラウドコンプライアンスとガバナンスは、業界、国際、連邦、州、および地域の各規制とともに複雑であり、見過ごすことは許されません。課題の1つとして、クラウドコンプライアンスが複数のレベルに存在し、それらがすべて同じ関係者によって管理されているわけではないことが挙げられます。シャドーITとは、明示的に許可されていないソフトウェア、デバイス、またはアプリケーションが使用されていることであり、これによりクラウドコンプライアンスはさらに困難になります。

    詳細情報

    これらのクラウドセキュリティのリスク、脅威、課題に対処するために、組織はクラウドに固有の脆弱性の各側面を考慮して設計した、包括的なサイバーセキュリティ戦略を必要とします。この記事を参照し、クラウドに影響を与える12のセキュリティ上の課題について理解を深めてください。記事: クラウドセキュリティにおける12の課題

    堅牢なクラウドセキュリティ戦略の8つの重要な要素:クラウドを保護する方法

    1. 高度なデータ保護機能

    データを保護する効果的な方法の1つは、データを暗号化することです。クラウド暗号化は、プレーンテキストを読み取り不可能な形式に変換してから、データをクラウドに入れます。データは、移動時および保存時の両方で暗号化されている必要があります。ほとんどのクラウドプロバイダーとアプリケーションは、必要最低限の暗号化を提供しています。ただし、企業は責任共有モデルを念頭に置き、独自の暗号化を管理する必要があります。高度なデータ保護の追加のレベルには、多要素認証(MFA)、マイクロセグメンテーション、脆弱性評価、セキュリティ監視、検知と対応の機能が含まれます。

    2. プライベート、ハイブリッド、マルチクラウド環境全体の可視性の統合

    マルチクラウド環境の統合された検知と可視性、およびすべてのクラウドリソースのインテリジェントな継続的監視は、クラウドセキュリティソリューションに不可欠です。その統合された可視性は、設定ミス、脆弱性、セキュリティの脅威を検知しながら、実用的なインサイトとガイド付きの修復を提供できる必要があります。

    3. セキュリティポスチャとガバナンス

    もう1つの重要な要素は、インフラストラクチャ全体にわたって業界や政府の規制を満たしながら、クラウドセキュリティのゴールド標準を適用する適切なセキュリティポリシーとガバナンスを適所に導入することです。クラウドセキュリティポスチャ管理(CSPM)ソリューションは、設定ミスやコントロールプレーンの脅威を検知して防止し、盲点を排除して、クラウド、アプリケーション、ワークロード全体のコンプライアンスを確保します。

    4. クラウドワークロード保護

    クラウドワークロードは、攻撃対象領域を指数関数的に増加させます。ワークロードを保護するには、あらゆるクラウド上での、すべてのワークロード、コンテナ、Kubernetes、サーバーレスアプリケーションにわたるクラウドネイティブスタック全体の保護と、各ワークロードとコンテナイベントの可視性と検知を必要とします。クラウドワークロード保護(CWP)には、コンテナ、Kubernetes、サーバーレス機能などのワークロードの脆弱性スキャンと管理、および侵害保護が含まれており、組織は開発から本番までのクラウドアプリケーションの構築、実行、保護が可能になります。

    5. 次世代WAFによるクラウドネイティブアプリケーションの保護

    次世代のWebアプリケーションファイアウォール(WAF)を使用してクラウドネイティブの分散アプリケーションを保護することは、Webアプリケーションサーバーの入出力のトラフィックをより詳細に検査し、一般的なトラフィックの変化に応じてWAFルールを自動的に更新できるため、重要なものとなっています。

    6. リアルタイムの脅威検知と修復を伴う脅威インテリジェンス

    脅威は急速に進化しています。それらに追いつくためのゲームからの脱出を望む組織は、プロアクティブな防御を可能にするために脅威インテリジェンスを使用します。脅威インテリジェンスにより、セキュリティチームは今後の脅威を予測し、効果的に優先順位を付けてそれらを未然に防ぐことができます。セキュリティチームは、脅威インテリジェンスを使用して、インシデントの対応と修復を加速し、より良い意思決定を行うこともできます。クラウドセキュリティプラットフォームは、脅威インテリジェンスをクラウドワークロード保護プラットフォームと統合し、自動化を組み込んで、インテリジェンスの消費をより正確で整合性があり、かつタイムリーなものにする必要があります。

    7. ゼロトラストの活用

    クラウドでのゼロトラストとは、組織内外の誰かを自動的に信頼しないことに焦点を当てた基本的な概念です。これは、本当に必要なユーザーのみに対して、必要なリソースのみへのアクセスを許可する際に役立ちます。

    さらに、ゼロトラストネットワークはマイクロセグメンテーションを使用するため、本質的にクラウドネットワークのセキュリティがはるかに一般的なものになります。これらのワークロードをセグメント化して、1つのワークロード内のあらゆるものを他のワークロードで発生する可能性のある問題から保護し、ワークロード間のトラフィックをコントロールすることができます。

    8. インシデント対応

    堅牢なクラウドセキュリティ戦略では、インシデント対応(IR)が実装されます。IRを実装することで、インシデントにコンテキストが提供され、調査作業のサポートに十分な期間、検知情報が保持され、隔離されたファイルが自動的に分析されて、既存の障害報告管理システムと統合されます。

    クラウドストライクのFalcon Cloud Securityソリューション

    クラウドストライクは、現代の企業を動かす人、プロセス、テクノロジーを保護し、円滑な機能を可能にする、世界で最も先進的なクラウドネイティブプラットフォームを提供し、セキュリティを再定義してきました。業界では、クラウドストライクはリーダーとして評価され続けています。最近ではCRNにより、2022年のBest Cloud SecurityのTech Innovator Awardの受賞者としてクラウドストライクが選ばれています。

    CrowdStrike Falcon® Platformは、CrowdStrike Security Cloudを搭載し、リアルタイムの攻撃の痕跡(IOA)、脅威インテリジェンス、進化する攻撃者の戦術、企業全体からの充実したテレメトリを活用して、超高精度の検知、自動化された保護と修復、精鋭による脅威ハンティング、優先付けされた脆弱性のオブザーバビリティを提供します。Falcon Cloud Securityの詳細についてご確認ください。

    GET TO KNOW THE AUTHOR

    ギリェルメ(Gui)・アルバレンガ(Guilherme(Gui)Alvarenga)は、クラウドストライクのクラウドセキュリティポートフォリオのシニアプロダクトマーケティングマネージャーです。彼は、チェック・ポイント、NEC、シスコシステムズなどの企業向けにクラウド、SaaS、ネットワーク、MLソリューションを推進してきた15年以上の経験を有しています。彼はブラジルのパウリスタ大学で広告とマーケティングの学位を取得し、サンノゼ州立大学でMBAを目指しました。スタンフォード大学で応用コンピューティングを学び、クラウドセキュリティと脅威ハンティングを専門としています。