クラウドセキュリティは、クラウドで運用しているほとんどの組織、特にハイブリッドまたはマルチクラウド環境で運用している組織にとって大きな優先事項になっています。このブログでは、組織がクラウドの導入プロセスを通じて実装できる、サイバー攻撃から環境を保護するためのお勧めの16個のクラウドセキュリティのベストプラクティスについて紹介します。
クラウドセキュリティが重要な理由
クラウドでは、従来のデータセンターにはない柔軟性と効率性を実現できるため、組織はこれまで以上に、ミッションクリティカルなワークロードにクラウドプラットフォームを導入するようになっています。
クラウドでデジタルトランスフォーメーションの取り組みを進める際に、組織が懸念する重要事項の1つはセキュリティです。これは、クラウドセキュリティが、従来のセキュリティソリューションやアプローチからのパラダイムシフトを伴うことが理由です。さらに、脅威ベクトルは日々進化し続けているため、クラウドではセキュリティ侵害やマルウェア攻撃が一般的になりつつあります。そのため、組織がクラウドの導入を進める際に重要になるのは、クラウドのセキュリティの構造を理解して、クラウドでホストされるワークロードを保護する適切なツールとベストプラクティスを導入し、セキュリティ慣行の成熟度を高めていくことです。
Learn More
この記事では、クラウドセキュリティとは何か、なぜそれが重要なのか、入手できるさまざまな種類のソリューションなどについて詳しく紹介します。クラウドセキュリティについて知るべき情報のすべて
2024年版クラウドストライクグローバル脅威レポート
クラウドストライクのCounter Adversary Operationsチームによる最前線の調査に基づき、クラウドストライク2024年版グローバル脅威レポートではサイバー脅威の状況全体にわたる注目すべきテーマ、トレンド、イベントを取り上げています。
今すぐダウンロードクラウドセキュリティの16のベストプラクティス
すべての組織は、ここから始めます。クラウドの分野に初めて進出する際は、避けて通れないセキュリティ構造がいくつか出てきます。
クラウドセキュリティのベストプラクティスとは
- 責任共有モデルを理解する
- 境界を保護する
- 設定ミスを監視する
- アイデンティティ/アクセス管理を使用する
- セキュリティポスチャの可視性を有効にする
- クラウドセキュリティポリシーを実装する
- コンテナを保護する
- 脆弱性評価と修復を実行する
- ゼロトラストを実装する
- 従業員をトレーニングする
- ログ管理と監視を使用する
- ペネトレーションテストを実施する
- データを暗号化する
- コンプライアンス要件に対応する
- インシデント対応計画を実行する
- 包括的なクラウドセキュリティ戦略を活用する
1. 責任共有モデルを理解する
AWS、Azure、GCPなど、すべての主要なクラウドサービスプロバイダーは、クラウドセキュリティに関して責任共有モデルに従っています。基盤となるハードウェアセキュリティなどの一部の側面はサービスプロバイダーによって管理されますが、顧客はインフラストラクチャ層とアプリケーション層でセキュリティ保護を有効にすることが求められます。
サービスとしてのインフラストラクチャ (IaaS) の展開においては、定期的なパッチ適用、ファイアウォール設定、ウイルスとマルウェアからの保護の有効化などの対策で仮想マシンのOSをセキュリティ保護することが含まれます。サービスとしてのプラットフォーム (PaaS) の展開においては、VMレベルの保護はクラウドプロバイダーが管理しますが、顧客は引き続きアプリケーションとデータの保護を管理する必要があります。サービスとしてのソフトウェア (SaaS) の展開においては、アプリケーションまでのセキュリティコントロールの大部分はクラウドプロバイダーが管理しますが、使用方法とアクセスのポリシーは顧客が処理します。
クラウドサービスプロバイダーは、以下に示す責任共有マトリックスを確認し、ネイティブまたはサードパーティのセキュリティツールとサービスを使用して、アプリケーションに関連する制御を有効にすることが重要です。
| 要素 | SaaS | PaaS | IaaS |
|---|---|---|---|
| アプリケーションセキュリティ | CSP | ユーザー | ユーザー |
| プラットフォームセキュリティ | CSP | CSP | ユーザー |
| インフラストラクチャ | CSP | ユーザー | CSP |
| エンドポイントセキュリティ | ユーザー | ユーザー | ユーザー |
| データセキュリティ/データ保護 | ユーザー | ユーザー | ユーザー |
| ネットワークセキュリティ | CSP | CSP | ユーザー |
| ユーザーセキュリティ | ユーザー | ユーザー | ユーザー |
| コンテナとクラウドワークロード | ユーザー | ユーザー | ユーザー |
| APIとミドルウェア | CSP | ユーザー | ユーザー |
| コード | ユーザー | ユーザー | ユーザー |
| 仮想化 | CSP | CSP | ユーザー |
2. 境界を保護する
クラウドネットワークはソフトウェア定義ネットワーク (SDN) に基づいているため、多層セキュリティガードレールを柔軟に実装できます。さまざまな仮想ネットワーク間のワークロードの基本的なセグメンテーションから開始し、それらの間で必要な通信のみを許可する必要があります。さらに、ネットワーク層またはアプリケーション層のファイアウォールを使用して、アプリケーションへの受信トラフィックを制限します。
SQLインジェクション、データ流出、クロスサイトスクリプティングなどの攻撃は、アプリケーションセキュリティの主な懸念事項です。OWASP脅威検知ルールに基づくWebアプリケーションファイアウォール (WAF) がこれらの検知と防御に役立ちます。クラウドでの組織的なDDoS攻撃からワークロードを保護するには、多層DDoS防御戦略が不可欠です。すべてのクラウドサービスプロバイダーは、このような攻撃を検知して防御するために、アプリケーションのフロントエンドに統合できるDDoS保護ツールを提供しています。
侵入する脅威や悪意のある攻撃に対するゲートキーパーとして機能する、効率的なファイアウォールをネットワーク境界に展開する必要があります。これらは、クラウドネイティブのファイアウォールサービスであったり、侵入検知、パケット検査、トラフィック分析、脅威検知を実行する高度なサードパーティツールであったりします。また、アーキテクチャで個別の侵入検知システム (IDS) または侵入防止システム (IPS) を選択して、クラウド展開の境界セキュリティを強化することもできます。
3. 設定ミスを監視する
クラウドワークロードへの侵入が成功する原因は、ほとんどの場合、サービスの設定ミスや手動設定のミスが原因です。クラウドセキュリティポスチャ管理 (CSPM) ソリューションをアーキテクチャに組み込んで、クラウド展開にひそかに入り込む可能性のある設定ミスを監視する必要があります。
CSPMソリューションは、一連のベストプラクティスガイドラインに照らして展開を評価することで価値を付加します。これらのベストプラクティスは、組織固有の標準である場合もあれば、セキュリティとコンプライアンスの主要なベンチマークに合わせて調整されている場合もあります。クラウドのすべてのワークロードのセキュリティについて、現在の状態を定量化するセキュリティスコアが提供されます。健全なセキュリティスコアは、クラウド展開が安全であることを示します。また、これらのツールは、お客様が必要な是正措置を講じることができるように、標準的な慣行から逸脱している場合にフラグを設定します。
4. アイデンティティおよびアクセス管理を使用する
クラウドワークロードの場合は、コントロールプレーンが重要な鍵となっていて、極めて重要です。クラウドプラットフォームにネイティブなアイデンティティ/アクセス管理サービスを使用して、クラウドリソースへのロールベースのきめ細かなアクセス制御を実装する必要があります。
クラウドプラットフォームには、Active Directoryなどのオンプレミスソリューションとクラウドネイティブのアイデンティティ/アクセス管理 (IAM) サービスを簡単に統合するためのツールも用意されており、クラウドでホストされるワークロードでシングルサインオン (SSO) のシームレスなユーザーエクスペリエンスを実現できます。IAMコントロールに関しては、経験則として、最小特権の原則に従うこと、つまり、ユーザーは自分の作業に必要なデータとクラウドリソースのみにアクセスできるようにすることです。
Learn More
DevOpsと、企業が現在保護する必要がある複数のクラウドのニーズを満たすには、クラウドプロバイダーや展開モデルに関係なく、ホストとコンテナのセキュリティコントロールとコンプライアンスを自動化する統合プラットフォームが必要です。クラウドセキュリティの取り組みを成功させるには、効果的なセキュリティのための適切な要素が必要になります。ブログ:クラウドセキュリティを成功させ、効果的にするための3つの要素
5. セキュリティポスチャの可視性を有効にする
クラウド環境が拡大するにつれ、侵害が報告されないままになってしまう可能性が高まります。適切なツールを導入することで、大いに必要とされるセキュリティポスチャの可視化を実現し、プロアクティブなセキュリティ管理が可能になります。
すべての主要なクラウドプラットフォームには、データ流出、イベント脅威、IAMアカウントのハイジャック、クリプトマイニングの検知などの機能を提供できる、ネイティブCSPMソリューションのAdvanced/Premiumティアがあります。ただし、これらの機能は、多くの場合、それぞれのクラウドプラットフォームに限定されていることに注意してください。ハイブリッドまたはマルチクラウドの展開では、セキュリティポスチャを可視化できる専用ツールを組み込むことをお勧めします。
6. クラウドセキュリティポリシーを実装する
クラウドセキュリティポリシーは、セキュリティ確保を目的として、組織全体に制限を実装するために定義されます。例えば、パブリックIPでワークロード展開を制限したり、内部のサーバー間のトラフィックフローを抑制したり、コンテナワークロードのトラフィックパターンを監視したりします。
実装のアプローチは、サービスプロバイダーによって異なります。Azureでは顧客がAzureポリシーを使用できますが、GCPでは組織のポリシーを使用してこれを行うことができます。セキュリティポリシーの利点は、クラウド展開の際に、コンプライアンス標準が全体に自動適用されることです。
7. コンテナを保護する
コンテナセキュリティには、コンテナとオーケストレーションプラットフォームの両方の保護が含まれます。Kubernetesはクラウドで最も頻繁に使用されるソリューションです。コンテナ化されたワークロードに業界標準のセキュリティベースラインを作成し、逸脱を継続的に監視して報告する必要があります。
組織には、ランタイム中に発生するものも含めて、コンテナ内の悪質なアクティビティを検知できるツールが必要です。コンテナ関連のアクティビティを可視化し、不正なコンテナを検知して解体できるセキュリティ技術の必要性は、いくら強調してもし過ぎることはありません。脅威の状況は常に変化しているため、高度な人工知能 (AI) と機械学習 (ML) を活用して、シグネチャに依存せずにマルウェアを検出するテクノロジーを採用するのが最善です。
8. 脆弱性評価と修復を実行する
ウイルスやマルウェアの攻撃からワークロードを保護するために、リアルタイムの脆弱性スキャンおよび修復サービスが必要です。このサービスは、VMやコンテナに展開されたワークロードをサポートする必要があります。
ワークロードの脆弱性を継続的にスキャンし、レポートをまとめて、結果をダッシュボードに表示し、可能な場合は問題を自動修復できる脆弱性管理ソリューションを検討してください。
9. ゼロトラストアプローチを実装する
ゼロトラスト(別名「侵害想定」)アプローチは、クラウドセキュリティを実現するための最高のスタンダードです。それには、サービスが組織のセキュリティ境界内にある場合でも、サービス間の信頼を想定しないことを意味します。
ゼロトラストアプローチの主要原則は、セグメント化と、1つのアプリケーション内の異なるサービス間で最小限の通信のみを許可するということです。この通信には、最小限の特権原則に従って、承認済みアイデンティティのみを使用する必要があります。内部や外部のリソースとのいかなる通信も、監視し、ログ記録して、異常がないか分析する必要があります。これは、管理者権限アクティビティにも適用されます。ここでは、ネイティブまたはサードパーティの監視およびログ記録ツールを採用できます。
詳細
「見えないものは保護できない」ということわざは真実です。クラウド環境がより複雑になり分散化するにつれて、クラウドアクティビティを包括的に把握することは、エンタープライズセキュリティにとって不可欠な要素となっています。ブログ:クラウドセキュリティの5つの必須項目
10.サイバーセキュリティトレーニングプログラムを実施する
さまざまなタイプの攻撃者からクラウドを保護するための優れたツールが存在しますが、多くのセキュリティリーダーは、サイバーセキュリティには予防的に対応する方が良いということを知っています。
サイバーセキュリティを組織の文化に組み込み、従業員やその他の利害関係者にとっての優先事項にするための有効な出発点は、従業員向けの包括的なセキュリティトレーニングプログラムを実施することです。プログラムには、業界で最も一般的な攻撃者と、彼らが攻撃を実行する方法が含まれていることを確認してください。
さらに、フィッシングはハッカーが企業のネットワーク、さらには機密情報にまで不正にアクセスする最も一般的な方法の1つであることから、フィッシングの試みを識別するために設計されたトレーニングを組み込んでください。
11. ログ管理と継続的監視を使用する
企業にとっては、クラウドインフラストラクチャ内でログ作成機能を有効にして、ネットワークの完全な可視性を確保し、必要に応じて異常なアクティビティを迅速に特定して修復することが不可欠です。ログ管理プラットフォーム内で通知をオンにして、異常なアクティビティをリアルタイムで確認できるようにしてください。
12. ペネトレーションテストを実施する
上記のような脆弱性評価の実施に加えて、ペンテストとも呼ばれるペネトレーションテストを実施することをお勧めします。ペンテストを実施する利点は、現在実施されているセキュリティ対策がアプリケーションおよび環境を保護するのに十分であるかどうかを判断できることです。これらの善意のハッカーは、実際の攻撃をシミュレートするために攻撃者として行動することから、「倫理的ハッキング」とも呼ばれています。
専門家のヒント
クラウドストライクのペンテストサービスで、現在のクラウドセキュリティ対策がクラウドインフラストラクチャの保護に十分かどうかを確認してください。確認:クラウドストライクペネトレーションテストサービス
13. データを暗号化する
クラウドデータの暗号化は、堅牢なクラウドセキュリティ戦略の鍵です。これにより、権限のないユーザーに対してデータを隠すことで、クラウドベースのアプリケーション間でのシームレスで安全なデータフローが可能になります。最適な保護を確保するため、データは、クラウド自体の中でも、転送中でも暗号化されている必要があります。
データ暗号化サービスを提供するクラウドプロバイダーは複数存在します。無料のものも有料のものもありますが、どのソリューションを採用する場合でも、ボトルネックやその他の非効率性を回避するため、現在の組織プロセスに組み込めるかどうかを確認してください。
14. コンプライアンス要件に対応する
他の製品やサービス、プロセスと同様に、クラウドセキュリティのソリューションと戦略では、クラウドとデータのコンプライアンス要件を最優先に考える必要があります。コンプライアンスを維持することは、顧客保護を確実に行うために法令で定められた基準を満たすことを意味します。
業界にもよりますが、企業はカード番号、社会保障番号、住所、健康情報など、機密性の高い顧客情報を多数保有しています。強力なクラウドセキュリティソリューションや戦略では、プロセスのすべてのステップにおいてコンプライアンスが常に考慮されています。
詳細
組織が政府や業界の規制に準拠するうえで役立つ、クラウドセキュリティ、ガバナンス、コンプライアンスに関する多数のフレームワークをご確認ください。読む:クラウドセキュリティフレームワーク
15. インシデント対応計画を実行する
サイバーセキュリティに関しては、侵害が発生した場合のインシデント対応計画がある組織は、状況を修復し、事業の中断を回避して、失われたデータを回復するための態勢が整っています。
インシデント対応計画は、攻撃を受けた場合にセキュリティチームが最も効果的な方法で行動できるよう設計されています。この計画は、各チームメンバーが各シナリオで何をするべきかを理解できるよう、厳格な役割と責任が含まれた修復フレームワークと考えてください。侵害をできるだけ早くチームに通知できるように、通知を有効にしてください。
16. CrowdStrike Falcon® クラウドセキュリティで保護を維持する
主要なクラウドプラットフォームは、上記のセキュリティコントロールの一部を実装できるネイティブツールを備えています。ただし、ネイティブクラウドセキュリティは、クラウドストライクが提供しているような高度なツールで補完することをお勧めします。
クラウドストライクは、ハイブリッド環境とマルチクラウド環境に展開されたワークロードに対して、統合されたクラウドセキュリティポスチャ管理と侵害防止を提供します。Falconクラウドセキュリティソリューションは、マルチクラウド環境全体で強く求められている可視性を提供し、設定ミスを監視して、コンプライアンス違反を排除し、アイデンティティベースの脅威に対する継続的保護を可能にします。また、最も目立たない脅威も特定して修復することで、包括的なコンテナセキュリティを可能にします。
また、FalconクラウドセキュリティソリューションのCWP機能を活用して、ワークロード、コンテナ、Kubernetesに関する完全な侵害保護を実現し、クラウドネイティブアプリケーションを迅速に設計、管理、保護することができます。
