クラウドセキュリティアーキテクチャとは

クラウドセキュリティアーキテクチャとは、データ、ワークロード、コンテナ、仮想マシン、APIなど、クラウド環境とそのコンポーネントを保護する、すべてのハードウェア、ソフトウェア、およびインフラストラクチャを総称する用語です。

クラウドセキュリティアーキテクチャは、組織が以下を実現するためのドキュメントを提供します。

• 開発からランタイムまでのすべてのクラウドサービスとアプリケーションのセキュリティの原則、ルール、手順、ガバナンスを定義する
• クラウド内のアクティビティと操作を適切に設定して、最適なセキュリティを維持する
• すべてのクラウドユーザーのアイデンティティ/アクセス管理（IAM）権限を定義する
• データ、アプリケーション、その他の資産を保護する
• 更新とパッチの適用手順、ロール、責任の概要を記述する
• 関連する業界および政府の規制へのコンプライアンスを維持する
• クラウドセキュリティの実務、ツール、テクノロジーを、より広範なエンタープライズアーキテクチャおよびエンタープライズセキュリティ戦略と結び付ける

クラウドセキュリティアーキテクチャは、すべてのクラウドセキュリティ戦略のコアコンポーネントであり、クラウドインフラストラクチャ、クラウドデータ、クラウドアプリケーションをはじめとする、クラウド環境内のすべてを保護します。

クラウドに移行する際、多くの組織でセキュリティは後回しになりがちです。これでは、組織は従来のオンプレミスのセキュリティ対策やツールで保護されないクラウド環境に固有のリスクや脅威にさらされたままになります。

多くの組織がクラウドのセキュリティを向上させるために一連のポイントソリューションを展開していますが、このパッチワーク的なアプローチは可視性を大幅に制限する可能性があり、強力なセキュリティポスチャを実現することが困難になります。

クラウドに移行した、または移行中の組織は、全般的なエンタープライズセキュリティ戦略およびソリューションと統合される、クラウド用にカスタムビルドされた包括的なセキュリティ戦略を開発する必要があります。

クラウドセキュリティアーキテクチャの4つの重要な要素

クラウドセキュリティアーキテクチャは、クラウド環境のセキュリティを維持するための、すべてのハードウェア、ソフトウェア、インフラストラクチャで構成されます。クラウドセキュリティアーキテクチャの4つの重要な要素は次のとおりです。

1. クラウドセキュリティポスチャ管理（CSPM）：クラウドAPIのセキュリティ、設定ミスの防止、CI/CDパイプラインへの統合に重点を置いています。
2. クラウドワークロード保護プラットフォーム（CWPP）：クラウドコンテナのランタイム保護と継続的な脆弱性管理を統括します。
3. クラウドアクセスセキュリティブローカー（CASB）：どのユーザーがデータにアクセスして、どのように使用しているかなど、エンドポイント全体の可視性を向上させます。
4. クラウドアプリケーションセキュリティ：すべてのクラウドコンピューティングアクティビティの可視性を維持し、開発ライフサイクル全体を通じてクラウドベースのアプリケーションを保護する、アプリケーションレベルのポリシー、ツール、テクノロジー、ルールです。

クラウドセキュリティアーキテクチャと責任共有モデル

責任共有モデルでは、セキュリティとコンプライアンスは、顧客とクラウドプロバイダーの間で責任を共有することになります。Amazon AWS、Microsoft Azure、Google GCPなどのクラウドサービスプロバイダー（CSP）は、クラウドの基盤となるインフラストラクチャに関連するセキュリティの脅威を監視し、対応する必要があります。一方、個人や企業などのエンドユーザーは、パブリック、ハイブリッド、マルチクラウド環境に保存するデータおよびその他の資産を保護する責任があります。

残念ながら、この点が誤解され、クラウドのワークロードがクラウドプロバイダーによって完全に保護されているという想定につながることがあります。その結果、ユーザーは自覚がないままに完全に保護されていないワークロードをパブリッククラウドで実行することになり、攻撃者にオペレーティングシステムとアプリケーションを標的にしたアクセスを許すことになります。安全に構成されたワークロードでさえ、ゼロデイエクスプロイトに対して脆弱であるため、ランタイムが標的になる可能性があります。

クラウドベースのモデルを使用している組織、またはクラウドに移行中の組織の場合、クラウドベースの資産を保護および防御するために特別に設計された包括的なセキュリティ戦略を開発して展開することが重要です。

サービスモデルによるクラウドセキュリティアーキテクチャ

3つの主要なクラウドサービスモデルがあり、それらはすべてが責任分担モデルの対象となります。

• Software as a Service（SaaS）：SaaSは、サブスクライバーが使用できるクラウドのアプリケーションをベンダーが一元的にホストするソフトウェア配信モデルです。
• Platform as a Service（PaaS）：PaaSは、アプリケーションを開発、実行、管理するために購入して使用できるプラットフォーム配信モデルです。クラウドプラットフォームモデルでは、ベンダーはアプリケーション開発者が一般的に使用するハードウェアとソフトウェアの両方を提供します。サービスプロバイダーは、プラットフォームとそのインフラストラクチャのセキュリティにも責任があります。
• Infrastructure as a Service（IaaS）：IaaSは、ベンダーが仮想化されたサーバー、ストレージ、ネットワーク機器などの幅広いコンピューティングリソースをインターネット経由で提供するインフラストラクチャ配信モデルです。このモデルでは、オペレーティングシステム、アプリケーション、ミドルウェアなど、インフラストラクチャに所有またはインストールするすべてのセキュリティを維持する責任は企業にあります。

クラウドアーキテクチャの3つのセキュリティ原則

安全なクラウドアーキテクチャの維持は、アクセシビリティ、整合性、可用性の3つのセキュリティ原則に基づいています。

1. アクセシビリティ：クラウドベースのサービス、データ、その他の資産に、許可されている認証されたユーザーとデバイスのみがアクセスできることを保証する
2. 整合性：システムとアプリケーションが堅実かつ効率的に機能することを保証する
3. 可用性：従業員やお客様を含むユーザーがシステムを利用できること、およびサービス拒否（DoS）攻撃や分散型サービス拒否（DDoS）攻撃などのサービス関連の攻撃からシステムが保護されることを保証する

クラウドセキュリティアーキテクチャの主な脅威

クラウドを活用する組織、または活用を計画している組織は、既存の従来のセキュリティ対策ではクラウドベースのサービス、アプリケーション、資産を保護できないことを認識する必要があります。クラウド環境内で拡大する一連の脅威やますます巧妙化する攻撃から保護するための、包括的なセキュリティ戦略を設計して実装することが非常に重要です。

クラウドストライクとEnterprise Strategy Group（ESG）による383人のITおよび情報セキュリティ（Infosec）の専門家に対する最近の調査によると、過去1年間にクラウドネイティブアプリケーションやインフラストラクチャを標的としたサイバーインシデントを経験していないと報告した組織はわずか12%でした。

クラウド環境内の一般的なセキュリティの課題は次のとおりです。

セキュリティの一貫性

当社の調査によると、クラウドネイティブアプリのセキュリティに対する最も一般的な課題は、データセンターとクラウドネイティブアプリケーションが展開されているパブリッククラウド環境の間で、セキュリティの一貫性を維持することでした。これらのセキュリティサイロは、一元的な管理およびポリシーの欠如につながります。この現実は、クラウドネイティブアプリケーションとインフラストラクチャの脅威モデルについての理解が不十分であることに加え、クラウドネイティブアプリケーションをホストしているパブリッククラウドインフラストラクチャに対する可視性が不足していることによって悪化しています。

可視性

クラウドへの移行は、多くの組織にとって比較的最近の出来事です。これは、マルチクラウド環境で安全に操作するために必要なセキュリティ成熟度を多くの企業が達成していない可能性があることを意味します。たとえば、脆弱性スキャナの中には、動的クラスター内のコンテナなど、すべての資産をスキャンしないものもあります。また、実際のリスクと通常の操作を区別できず、情報セキュリティチームの調査対象となる誤警報が多数発生するケースもあります。

このようなケースでは、組織はすべてのクラウドアプリケーション、ワークロード、その他の資産をインベントリ化して監視するためのツール、テクノロジー、システムを開発する必要があります。さらに、攻撃対象領域を限定するために、企業で必要とされていない資産を取り除く必要があります。

人的エラーと設定ミス

クラウドでの侵害のほとんどは、設定ミスなどの人的エラーが原因です。これらのエラーは、クラウドワークロードを、単純なWebクローラーで簡単に発見できる明白な標的に変えてしまいます。クラウドには、境界セキュリティがないため、こうしたミスは非常に大きなコストを伴う可能性があります。公表された複数の侵害は、エントリポイントとして使用されたS3バケットの不適切な構成から始まりました。

当社の調査によると、過去12か月間の最も一般的なクラウド設定ミスには、管理コンソールにアクセスするパスワードがデフォルトのまま、またはパスワードが不要になっている（30%）、外部向けサーバーワークロードをホスティングしている（27%）、過剰な権限を持つサービスアカウントがある（25%）、過剰な権限を持つユーザーアカウントがある（25%）などが含まれています。

「責任共有モデル」の誤解

上記の説明にあるように、クラウドサービスプロバイダー（CSP）はセキュリティに対して限定的な責任を負います。パブリッククラウドでは、基盤となるインフラストラクチャの多くはクラウドプロバイダーによって保護されています。オペレーティングシステムからアプリケーション、データに至るまでのすべてはユーザーの責任です。

シャドーIT

シャドーIT（企業のIT部門に知られずにアプリケーションやインフラストラクチャが運用および活用されていること）は、クラウド環境におけるもう1つの大きな問題となっています。多くの場合、DevOpsは、ワークロードであれコンテナであれ、クラウド内に資産を入れる際や資産を使用する際の障壁が極めて低いため、この問題の一因になることがよくあります。開発者なら、個人アカウントを使用してワークロードを簡単に生成できます。こうした無許可の資産は、適切に保護されていないことや、デフォルトのパスワードと構成によってアクセスできることが多く、容易に侵害される得るため、環境にとっては脅威となります。

包括的なクラウドセキュリティ戦略の欠如

ワークロードをクラウドに移動する際に、管理者は、プライベートまたはオンプレミスのデータセンターでサーバーを保護するのと同じ方法で、資産を保護し続けようとします。しかし、従来のデータセンターのセキュリティモデルはクラウドには適していません。今日の巧妙な自動化された攻撃では、高度な統合セキュリティのみが侵害を防ぐことができます。組織は、マルチクラウド環境、組織のデータセンター、モバイルユーザーなど、IT環境全体を保護する必要があります。組織全体にわたる完全な可視性ときめ細かい管理を提供する一貫した統合アプローチを使用すれば、軋轢を緩和して、業務の混乱を最小限に抑え、組織が安全かつ自信を持ってクラウドを採用できるようになります。