クラウド暗号化とは
クラウド暗号化は、データを元のプレーンテキスト形式から暗号文などの判読不能な形式に変換してから、クラウドに転送して保存するプロセスです。
他の形式のデータ暗号化と同様に、クラウド暗号化では情報が解読不能になるため、暗号化キーがないと使用できません。これは、データの紛失、盗難、権限のないユーザーとの共有の場合も同様です。
暗号化は、組織のサイバーセキュリティ戦略において最も効果的なコンポーネントの1つと見なされています。クラウド暗号化は、データ自体を悪用から保護するだけでなく、次のような他の重要なセキュリティ問題にも対処します。
- データのプライバシーと保護に関する規制基準の遵守
- 他のパブリッククラウドテナントからの不正なデータアクセスに対する保護の強化
- 特定のケースで、侵害やその他のセキュリティイベントを開示する義務を組織から免除
クラウド暗号化の仕組み
暗号化では、高度なアルゴリズムを使用してデータをエンコードするため、キーを持たないユーザーにとっては意味のないものになります。権限を与えられたユーザーは、キーを使用してデータをデコードし、隠された情報を判読可能な形式に変換し直します。キーが生成され、そのキーは特定の形式の多要素認証によってIDが確立および検証された信頼できる当事者とのみ共有されます。
2024年版クラウドストライクグローバル脅威レポート
クラウドストライクのCounter Adversary Operationsチームによる最前線の調査に基づき、クラウドストライク2024年版グローバル脅威レポートではサイバー脅威の状況全体にわたる注目すべきテーマ、トレンド、イベントを取り上げています。
今すぐダウンロードクラウド暗号化は、クラウドベースのアプリケーションとやり取りするデータや、クラウドネットワークに保存されているデータの保護を目的としています。これは、それぞれ移動中のデータと保存されているデータと呼ばれます。
移動中のデータの暗号化
移動中のデータの大部分は、標準のIPプロトコルにセキュリティソケットレイヤー (SSL) を追加するHTTPSプロトコルによって自動的に暗号化されます。SSLはすべてのアクティビティをエンコードし、許可されたユーザーのみがセッションの詳細にアクセスできるようにします。そのため、権限のないユーザーがセッション中に送信されたデータを傍受しても、その内容の意味はわかりません。デコードは、デジタルキーを介してユーザーレベルで完了します。
保存されているデータの暗号化
クラウドネットワークに保存されている情報のデータ暗号化により、データの紛失、盗難、不注意による共有が発生しても、暗号化キーがなければ、その内容は事実上役に立ちません。繰り返しになりますが、キーは許可されたユーザーのみが使用できます。移動中のデータと同様に、保存されているデータの暗号化/復号化はソフトウェアアプリケーションによって管理されます。
暗号化アルゴリズム
クラウドベースのデータには、次の2つの基本的な暗号化アルゴリズムがあります。
対称暗号化:暗号化キーと復号化キーは同じです。この方法は、データの一括暗号化に最も一般的に使用されます。一般的に、実装は非対称暗号化よりも単純で高速ですが、暗号化キーにアクセスできるすべてのユーザーがデータをデコードできるという点で、安全性はやや低くなります。
非対称暗号化:公開認証トークンと秘密認証トークンという2つのキーを利用して、データをエンコードまたはデコードします。キーはリンクされていますが、同じではありません。この方法では、共有可能な公開キーと個人用トークンの両方をユーザーが持っていなければデータにアクセスできないため、セキュリティが強化されます。
暗号化されているクラウドプラットフォーム
クラウドを所有し運用する企業や事業体である信頼できるクラウドサービスプロバイダー (CSP) はすべて、暗号化を含む基本的なセキュリティを提供しています。しかし、クラウドユーザーも、データセキュリティを確保するために追加の対策を実装する必要があります。
クラウドセキュリティは、多くの場合、責任共有モデルと呼ばれるものに従います。つまり、クラウドプロバイダーは、クラウドの基盤となるインフラストラクチャに関連するセキュリティの脅威を監視し、対応する必要があります。これに対し、個人や企業などのエンドユーザーは、クラウド環境に保存するデータやその他のアセットを保護する責任があります。
クラウドベースのモデルを使用している組織、またはクラウドへの移行を開始している組織の場合、クラウドベースのアセットを保護および防御するために特別に設計された、包括的なデータセキュリティ戦略を開発して展開することが重要です。暗号化は、効果的なサイバーセキュリティ戦略の重要な要素の1つです。その他の構成要素を次に示します。
- 多要素認証:2つ以上の証拠を使用してユーザーのアイデンティティを確認します。
- マイクロセグメンテーション:クラウドネットワークを小さなゾーンに分割して、ネットワークのあらゆる部分のアクセスを個別に管理することで、侵害が発生した場合の被害を最小限に抑えます。
- リアルタイムの高度な監視、検知、対応機能:データ、分析、人工知能 (AI)、機械学習 (ML) を活用して、ネットワークアクティビティを正確に把握し、異常を適切に検知して、脅威に迅速に対応します。
クラウド暗号化の利点
暗号化は、組織のデータ、知的財産 (IP)、その他の機密情報、顧客のデータを保護するために組織が実行できる主要な防御策の1つです。また、プライバシーと保護の基準と規制に対応する際にも役立ちます。
クラウド暗号化の利点は次のとおりです。
- セキュリティ:暗号化により、あらゆるデバイスやユーザー間で移動または保存される、顧客データなどの機密情報がエンドツーエンドで保護されます。
- コンプライアンス:FIPS(連邦情報処理標準)やHIPPA(1996年医療保険の携行性と責任に関する法律)などのデータのプライバシーと保護に関する規制と標準では、すべての機密性の高い顧客データの暗号化を組織に義務付けています。
- 整合性:暗号化されたデータは悪意のあるアクターによって変更または操作される可能性がありますが、そのようなアクティビティは、権限を与えられたユーザーによって比較的容易に検知されます。
- リスクの軽減:データが暗号化されていれば、組織がデータ侵害の開示を免除されるケースがあるため、風評被害や、セキュリティイベントに関連する訴訟や、その他の法的措置の両方のリスクが大幅に軽減されます。
クラウド暗号化の課題
クラウド暗号化は比較的簡単ですが、非常に効果的なセキュリティ技術です。残念ながら、多くの組織はサイバーセキュリティ戦略のこの側面を見落としています。これはおそらく、パブリッククラウドに関連する責任共有モデルを認識していないことが原因です。前述のように、クラウドプロバイダーはクラウドインフラストラクチャ内のセキュリティを確保する必要がありますが、クラウドに保存されているデータとアセットを保護し、クラウドとの間の安全な転送を確保する責任は個人ユーザーにあります。
その他の課題には、次のようなものがあります。
時間とコスト:暗号化は追加のステップであるため、組織にとってはコスト増になります。データの暗号化を希望するユーザーは、暗号化ツールを購入するだけでなく、コンピューターやサーバーなどの既存のアセットが暗号化の追加処理能力に対応できることを確認する必要があります。暗号化には時間がかかる場合があるため、組織で遅延が大きくなる可能性があります。
データ損失:暗号化されたデータは、キーなしでは事実上役に立ちません。組織がアクセスキーを紛失または破棄すると、データを回復できなくなる可能性があります。
キー管理:完璧なクラウドセキュリティ対策はなく、暗号化も例外ではありません。特にユーザーによるキーの選択をプログラムで許可している場合は、高度な攻撃者であれば、暗号化キーを解読することが可能になります。これが、機密性の高いコンテンツにアクセスする際に複数のキーを要求することが重要な理由です。
クラウドストレージの暗号化の必要性
クラウド暗号化は、組織がデータや機密性の高い顧客情報を保護するために実行できる最も実用的なステップの1つです。組織は、サイバーセキュリティパートナーに相談して、最適なサードパーティの暗号化ツールを選択し、既存のセキュリティ技術スタックに統合する必要があります。
クラウドストレージの暗号化についてサイバーセキュリティパートナーと話し合うべきトピックとして、次のようなものがあります。
- 機密性、または規制基準への準拠のために、暗号化が必要となるデータを特定する方法
- データが暗号化されるタイミングと場所、データ暗号化のプロセス
- クラウドプロバイダーまたはCSPの既存のクラウドセキュリティプロトコルを補完する方法
- 脆弱なパスワードに伴うリスクを軽減するためのアクセスキーの生成方式と共有方式
- キーの管理とストレージを監督するユーザー(CSPまたは組織)
- CSPで侵害が発生した場合に暗号化されたデータをバックアップする方法と場所
- クラウドアクセスセキュリティブローカー (CASB) により組織全体のデータアクセスを調整し、可視性を向上させる方法