クラウドでは、セキュリティは贅沢品ではなく、必須の要素です。クラウドセキュリティは、まるでデジタルエコシステムを守る静かなボディガードのようなものです。不正アクセス、データ漏洩、シャドーITなど、クラウドの広大な空間に潜む脅威に常に注意を払う必要があります。しかし、熟練のボディガードが目立たずに脅威を予測し、無力化するように、クラウドセキュリティは組織のアセットを守り、脆弱性を特定し、制御をシームレスに実施し続けます。そのおかげで、安心してイノベーションに集中できる環境が整います。
急速に進化する脅威の状況において、クラウドセキュリティは単にデータを守ることだけではなく、組織がクラウド内で拡大する際に、レジリエンス、信頼性、そして俊敏性を確保するための重要な要素です。
クラウドセキュリティとは?
クラウドセキュリティとは、クラウド内でホストされているデータ、アプリケーション、インフラストラクチャを保護するために設計された、広範な戦略とテクノロジーのセットを指します。ビジネスの重要なデータを保存し、管理するためにクラウドコンピューティングに依存する組織が増加する中で、これらの環境のセキュリティを確保することが最優先事項となっています。クラウドセキュリティは、不正アクセス、データ侵害、進化するサイバー脅威からクラウドベースのシステムを保護するためのさまざまなツール、ポリシー、制御を含みます。
クラウドコンピューティング(一般に「クラウド」と呼ばれています)は、インターネットを介してサーバー、ストレージ、データベース、ソフトウェアなどのオンデマンドコンピューティングサービスを提供します。これにより、企業は迅速にスケーリングし、ITコストを削減でき、柔軟性も向上します。しかし、クラウドサービスの導入が進む中で、新たなセキュリティ課題も生じています。たとえば、複雑なマルチクラウド環境やハイブリッド環境におけるアクセス制御の管理や、データプライバシーの維持といった課題です。
クラウドセキュリティの主な目標は次のとおりです。
- データプライバシーの保護:転送中および保存中の機密情報の安全性を確保します。
- マルチクラウドセキュリティの管理:複数のクラウドサービスプロバイダー (CSP) を利用する場合に固有のセキュリティ上の課題に対処します。
- アクセス制御:クラウド環境へのアクセスを制限して、認可されたユーザー、デバイス、アプリケーションのみがクラウドとやり取りできるようにします。
堅牢なクラウドセキュリティ対策を実装することで、組織はリスクを最小限に抑え、業界標準や規制へのコンプライアンスを維持しながら、クラウドコンピューティングの利点を安心して活用できるようになります。
さまざまな展開モデルに応じたクラウドセキュリティ
クラウドコンピューティングを展開する方法はいくつかあり、それぞれの方法に固有のセキュリティに関する懸念事項とベストプラクティスがあります。堅牢なクラウドセキュリティ戦略を構築するには、これらの展開モデル(パブリッククラウド、プライベートクラウド、ハイブリッドクラウド、マルチクラウド)を理解することが不可欠です。
パブリッククラウド
パブリッククラウドは、サードパーティCSPが所有して運用するクラウドです。例としては、Amazon Web Services (AWS)、Microsoft Azure、Google Cloudが挙げられます。このモデルでは、インターネットを介して複数の組織の間でサービスとリソースが共有されます。パブリッククラウド環境は、そのスケーラビリティと費用対効果により人気がありますが、このモデルには固有のセキュリティ上の課題も存在します。
- セキュリティに関する懸念:パブリッククラウドは共有型の環境であるため、データ侵害やセキュリティ設定ミスなどのリスクが増大する可能性があります。インフラストラクチャの大部分はクラウドプロバイダーによって管理されるため、組織はパブリッククラウド内のデータとアプリケーションの保護に注力する必要があります。
- ベストプラクティス:暗号化、IAM(アイデンティティおよびアクセス管理)、MFA(多要素認証)を使用して機密データを保護し、認可されたユーザーだけにアクセスが許可されるようにします。
プライベートクラウド
プライベートクラウドは単一の組織専用のクラウドであり、データ、セキュリティ、コンプライアンスに対してより高度な制御を提供します。プライベートクラウドは、オンプレミスまたはサードパーティのプロバイダーによってホストされますが、他のユーザーと分離されています。このモデルは、医療や金融などの厳格な規制要件が適用される組織に最適です。
- セキュリティに関する懸念:セキュリティと制御が強化されるものの、プライベートクラウドはコストが高いだけでなく、内部の脅威に対して確実に保護するためには詳細な管理が必要となります。
- ベストプラクティス:データの整合性と、HIPAA、PCI DSSなどの業界標準へのコンプライアンスを確保するために、強力なアクセス制御、定期的なセキュリティ監査、DLP(データ損失防止)テクノロジーを実装します。
ハイブリッドクラウド
ハイブリッドクラウドは、パブリッククラウド環境とプライベートクラウド環境の利点を兼ね備えているため、組織は機密性の高いワークロードのセキュリティを確保しながら運用をスケーリングできます。たとえば、顧客向けのアプリケーションをパブリッククラウドで実行し、財務データをプライベートクラウドで管理することができます。
- セキュリティに関する懸念:パブリッククラウド環境とプライベートクラウド環境の両方にわたるセキュリティ管理の複雑さが脆弱性のリスクを高めます。また、これらの環境間でのデータ転送も確実に保護する必要があります。
- ベストプラクティス:クラウド間でのデータ転送には強力な暗号化を使用し、両方の環境でセキュリティ監視を統合し、すべてのプラットフォームに一貫したアクセス管理ポリシーを適用します。
マルチクラウド
マルチクラウド戦略では、さまざまなプロバイダーからの複数のクラウドサービスを利用します。このアプローチは組織に柔軟性をもたらし、ベンダーロックインのリスクを軽減します。ただし、異なる複数のプラットフォーム全体にわたってセキュリティを管理しなければならないため、新たな課題も生じます。
- セキュリティに関する懸念:複数のクラウドプラットフォームにわたって一貫したセキュリティポリシーを管理する場合、攻撃者によって悪用される可能性のあるギャップが生じる可能性があります。
- ベストプラクティス:すべてのクラウドプロバイダーにわたって脅威の有無を継続的にモニタリングする、統合セキュリティ管理プラットフォームを実装します。一貫したポリシーと可視性を維持するには、CASB(クラウドアクセスセキュリティブローカー)ツールとCIEM(クラウドインフラストラクチャエンタイトルメント管理)ツールも役立ちます。
適切な展開モデルを選び、ベストプラクティスを適用することで、組織は柔軟性、制御、企業コンプライアンスのいずれを優先するかにかかわらず、自身のニーズに合わせてクラウドセキュリティ戦略を調整できるようになります。
必須のクラウドセキュリティツール
組織はクラウド環境を保護するため、データ保護、アクセス管理、リアルタイムでの脅威対応を目的としたさまざまなツールを利用しています。 CNAPP(クラウドネイティブアプリケーション保護プラットフォーム)は、これらのクラウドセキュリティソリューションの多くを1つのプラットフォームに統合します。CNAPPは、脆弱性スキャン、クラウドワークロードの監視、コードからクラウドに至るまでのデータ保護を行い、クラウドネイティブアプリケーションの保護を支援します。
| クラウドワークロード保護プラットフォーム | CWPP(クラウドワークロード保護プラットフォーム) は、仮想マシン、コンテナ、サーバーレス関数など、クラウドで実行されるワークロードの保護に重点を置いています。CWPPは脆弱性や設定ミスを検出するため、ワークロードを継続的に監視します。 | 複雑なクラウド環境で複数のワークロードを実行している企業にとって、脅威の検知と脆弱性管理を提供するCWPPは非常に重要なツールです。 |
| CIEM(クラウドインフラストラクチャエンタイトルメント管理) | CIEMは、クラウド環境内のさまざまな部分へのアクセス権を持つユーザーを管理および制御するのに役立ちます。これにより、権限とアクセス制御が適切に設定され、不正アクセスのリスクを最小限に抑えることができます。 | 過剰な特権を持つアカウントを減らし、権限管理のミスによる潜在的な侵害を防ぐために、CIEMは重要な役割を果たします。 |
| CDR(クラウド検知・対応) | CDR(クラウド検知・対応)ツールは、クラウド環境内の脅威をリアルタイムで特定し対応するセキュリティソリューションです。これらのツールはクラウドインフラストラクチャを継続的に監視し、不審なアクティビティを検知するとアラートを発信します。 | CDRは、組織が新たな脅威に迅速に対応し、潜在的な損害を最小限に抑えるのに役立ちます。 |
| CSPM(クラウドセキュリティポスチャ管理) | CSPM(クラウドセキュリティポスチャ管理)ツールは、クラウド環境のセキュリティリスクを自動的に評価します。設定ミス、コンプライアンスに違反しているリソース、そして脆弱性を特定して、組織が強力なセキュリティポスチャを維持できるよう支援します。 | マルチクラウド環境を利用している組織にとって、セキュリティ基準へのコンプライアンスを維持し、設定ミスを防ぐために、CSPMは重要なツールとなります。 |
| ASPM(アプリケーションセキュリティポスチャ管理) | ASPM(アプリケーションセキュリティポスチャ管理)ツールは、クラウド内に展開されたアプリケーションが安全であることを確保します。これらのツールは、アプリケーションの設定、依存関係、コードを監視し、脆弱性やリスクを特定します。 | ASPMは、クラウドネイティブアプリケーションを開発し展開する企業にとって、安全な開発手法の実現において重要な役割を果たします。 |
| DSPM(データセキュリティポスチャ管理) | DSPM(データセキュリティポスチャ管理)で特に重点が置かれているのは、クラウド環境内のデータのセキュリティを管理することです。DSPMツールにより、データの暗号化、アクセス制御、機密情報の保護が確実に行われます。 | 個人を特定できる情報 (PII) や財務レコードなどの機密データを扱う組織にとって、DSPMは不可欠なツールとなります。 |
| コンテナセキュリティ | コンテナセキュリティツールは、広く使用されているクラウドネイティブ技術であるコンテナ化されたアプリケーションを保護するように設計されています。これらのツールはコンテナのランタイムを保護し、脆弱性をスキャンし、コンテナの設定ミスがないことを確認します。 | DockerやKubernetesを使用している組織にとって、開発環境と本番環境の両方を保護するコンテナセキュリティソリューションは、大きな利点をもたらします。 |
これらの重要なクラウドセキュリティツールを統合することで、組織はさまざまなセキュリティ脅威からクラウド環境を保護し、コンプライアンスを確保しながら、機密データの管理を維持できます。
CNAPPの完全ガイド
クラウドストライクの『CNAPPの完全ガイド』をダウンロードして、クラウドネイティブアプリケーション保護プラットフォームが最新のクラウドセキュリティ戦略の重要な要素である理由、そしてそれらを開発ライフサイクルに統合する最適な方法をご確認ください。
今すぐダウンロードクラウドセキュリティにとってゼロトラストが重要である理由
ゼロトラストは、ユーザーやデバイスがネットワーク内部にいるか外部にいるかに関わらず、いずれも自動的に信頼しないという前提に基づくセキュリティモデルです。クラウド環境においては、データが複数のプラットフォームに分散しているため、機密情報を保護するためにはゼロトラストのフレームワークが不可欠です。
ゼロトラストの主な原則:
- 継続的な検証:不正アクセスを防ぐため、ユーザー、デバイス、アプリケーションからのすべてのアクセス試行が常に検証されます。
- 最小特権アクセス:ユーザーとデバイスに必要最低限の権限のみを付与することで、セキュリティリスクを低減します。
- マイクロセグメンテーション:クラウドを複数の小さなセグメントに分割することで、攻撃者がアクセスに成功した場合でも、ラテラルムーブメントを限られた範囲に制限します。
クラウド環境では、どこからでも脅威が発生する可能性があります。ゼロトラストは、すべてのアクションが検証および制御されることを確実にすることで、インサイダー脅威と外部からの攻撃の両方から保護します。このモデルは、ハッカーがシステムの一部を侵害した場合でも、システム内を自由に移動できないようにします。
最新のクラウドインフラストラクチャのセキュリティを確保し、クラウド全体でデータ、アプリケーション、ユーザーを継続的に保護するためには、ゼロトラストが重要な役割を果たします。
責任共有モデルを理解する
クラウドセキュリティでは、責任共有モデルによって、セキュリティに対する責任がCSPと顧客の間でどのように分担されるかを定義します。このモデルが重要となる理由は、データとシステムが適切に保護されるようにするには、CSPにも顧客にも、果たすべき役割があるためです。
クラウドセキュリティにおける責任共有モデルの仕組み
クラウドプロバイダーには、ハードウェア、ソフトウェア、ネットワークを含め、クラウドサービスを運用するクラウドインフラストラクチャ自体を保護する責任があります。これには、物理的なデータセンターとコアのクラウドインフラストラクチャをサイバー攻撃から保護すること、稼働時間を維持すること、プラットフォームのセキュリティを確保することが含まれます。
一方、顧客のデータ、アプリケーション、クラウド内のあらゆる設定を保護する責任は、顧客にあります。そのためのタスクには、アイデンティティとアクセス制御を管理すること、セキュリティ設定を適切に構成すること、業界標準へのコンプライアンスを確保することなどが含まれます。
たとえば、クラウドプロバイダーが基盤となるシステムの安全性を確保する一方で、機密データの暗号化、権限の適切な設定、アプリケーションの脆弱性への対処は、顧客側で確実に行う必要があります。
責任共有モデルを十分に理解して実装することで、組織はデータの保護を強化し、よりセキュアなクラウド環境を実現することができます。
規制の対象となる業界でのクラウドセキュリティ
医療、金融、小売などの業界に適用される厳格な規制では、機密データを保護してコンプライアンスを確保するための高度なクラウドセキュリティが求められます。
医療(HIPPコンプライアンス)におけるクラウドセキュリティ
医療機関はHIPAAに準拠して、保護対象保健情報 (PHI)が確実に保護されるようにしなければなりません。そのためには、データの暗号化、強力な認証の適用、定期的なクラウド環境の監査が必要になります。この業界では多くの場合、PHIに対する制御を維持してHIPAA要件を満たすために、プライベートクラウドモデルやハイブリッドクラウドモデルが使用されています。
金融(PCI DSSコンプライアンス)におけるクラウドセキュリティ
金融機関は、決済データの取り扱いに関するPCI DSS基準を満たさなければなりません。そのためには、暗号化、アクセス制御、モニタリングが必要となります。スケーラビリティと厳格なデータ保護とのバランスを取るために、金融機関では一般的にハイブリッドクラウドを使用しています。
小売(eコマースの保護)におけるクラウドセキュリティ
小売業者は、顧客の決済データを保護するとともに、取引中のデータ侵害を防ぐためにPCI DSSに準拠する必要があります。そのために、パブリッククラウドのサービスでトラフィックを管理し、暗号化とCASBによって顧客データの安全性を確保しています。
ユーザー事例:NetApp
「セキュリティ上の最大の懸念はクラウドです」
NetAppのグローバル製品およびクラウドセキュリティ責任者であるJyoti Wadhwaが、サイバーセキュリティにおける女性について、また、CrowdStrike Falcon® Cloud SecurityがNetAppのマルチクラウド環境にどのようにランタイム保護を提供しているかについて、自身の考えを語ります。
ユーザー事例のビデオを見る代表的なクラウドセキュリティのベストプラクティス
クラウド環境をセキュリティで保護するためには、データ、アプリケーション、インフラストラクチャを保護するためのテクノロジー、ポリシー、プロアクティブな対策の組み合わせが必要となります。従うべき代表的なクラウドセキュリティのベストプラクティスとしては、以下が挙げられます。
| データの暗号化 | 転送中および保存中のデータを保護するには、暗号化が極めて重要です。データが傍受されたとしても暗号化されていれば、適切な復号鍵がなければ読み取ることができません。機密データについては、通常の鍵管理手法と併せてAES-256などの強力な暗号化アルゴリズムを使用する必要があります。 | 機密データをクラウドにアップロードする場合は、必ず暗号化してからアップロードし、クラウドネイティブな暗号化ツールを使用してセキュリティを強化してください。 |
| IAM(アイデンティティおよびアクセス管理) | IAM(アイデンティティおよびアクセス管理)を実装すると、クラウドリソースにアクセスできるユーザーを制御するのに役立ちます。さらに、RBAC(ロールベースのアクセス制御) と多要素認証 (MFA) を設定すれば、アクセスを許可するユーザーを絞り込むことができます。 | 定期的にIAMポリシーをレビューし、各自に必要となるリソースに対してだけ、ユーザーにアクセスを許可するように更新します。 |
| 継続的モニタリングと脅威検知 | クラウド環境の継続的モニタリングによって、不審なアクティビティや潜在的な脅威の有無を確認する必要があります。CSPMツールを使用すれば、設定ミスや脆弱性をリアルタイムで検知できます。 | 異常な振る舞いに対する自動アラートを設定するとともに、こうした振る舞いを迅速に検知して対応できるよう、AIを活用したツールを使用します。 |
| インシデント対応 | セキュリティ侵害の影響を最小限に抑えるには、インシデント対応計画が不可欠です。インシデント対応計画で、クラウド環境内で攻撃を特定して封じ込め、インシデントから復旧する手順を整備する必要があります。 | インシデント対応計画を定期的にテストし、実際の攻撃に対して効果的に対照できるように更新します。 |
以上のベストプラクティスに従うことで、組織はクラウドセキュリティ侵害のリスクを大幅に軽減できると同時に、コンプライアンスを確保し、機密データを保護できます。
クラウドセキュリティガバナンスフレームワークの構築
クラウドセキュリティガバナンスフレームワークは、セキュリティポリシー、ロール、責任を明確に定義して、クラウド環境全体にわたって実装することを確実にするものです。データに対する制御を維持し、リスクを軽減し、業界の規制へのコンプライアンスを確保するには、このフレームワークが不可欠となります。
クラウドガバナンスとは?
クラウドガバナンスには、クラウドセキュリティを効果的に管理するための体系的なポリシーと制御のセットを策定することが含まれます。クラウドガバナンスの対象となるのは、データ管理、リスク管理、コンプライアンスなどの主な領域です。強力なガバナンスフレームワークがないと、組織はクラウドインフラストラクチャの可視性を失い、設定ミスやセキュリティのギャップが生じるリスクが高まります。
クラウドガバナンスフレームワークの主要コンポーネント
クラウドセキュリティガバナンスフレームワークは、データセキュリティ、アクセス制御、コンプライアンスを管理し、クラウド環境全体を監視するためのポリシーを確立します。このフレームワークでは、データの暗号化とアクセスの適切な管理を通じて、データを確実に保護するために、プライバシーと最小特権アクセスを適用するDSPMやCIEMなどのツールを使用できます。
さらに、PCI DSSやISO 27001などの業界標準へのコンプライアンスを維持するためには、定期的な監査も必要となります。継続的モニタリングとインシデント対応計画でAIを活用したツールを導入すると、脅威をリアルタイムで検知して緩和するのに役立ちます。この統合アプローチは、複雑なマルチクラウド環境やハイブリッド環境においては特に重要です。
Expert Tip
クラウド環境では、複雑なマルチクラウドやハイブリッド構成がよく採用されるため、ガバナンスの維持が難しくなります。異なるクラウドプラットフォーム間でセキュリティ対策の一貫性を保つには、統一されたガバナンス戦略が必要です。包括的なクラウドセキュリティガバナンスフレームワークを構築することで、組織はリスクを管理し、クラウドリソースの制御を維持しながら、業界標準へのコンプライアンスを確保できます。
CrowdStrike Falcon Cloud Securityの導入
クラウドストライクは、あらゆるタイプのクラウド環境においてデータ、アプリケーション、ワークロードを保護するために設計された、包括的なクラウドセキュリティソリューションを提供しています。パブリック、プライベート、ハイブリッドクラウドのいずれを利用しているかに関わらず、CrowdStrike Falcon® Cloud Securityを統合プラットフォームとして活用することで、組織はエンドツーエンドでのセキュリティを実現できます。
クラウドストライクの強力なクラウドセキュリティツールを利用することで、組織はクラウド環境を保護できるだけでなく、リアルタイムの脅威インテリジェンスとプロアクティブなインシデント対応アプローチによるメリットを享受できます。
クラウドセキュリティを簡素化し、侵害を阻止します。
CrowdStrike Falcon® Cloud Securityを選ぶ理由
- プロアクティブセキュリティ:インフラストラクチャ、アプリケーション、API、データ、AI、SaaSにわたるCSPM(クラウドセキュリティポスチャ管理)を単一のセンサーで統合
- 重要な点を特定:業界をリードする脅威インテリジェンス、エンドツーエンドの攻撃パス、ExPRT.AIを活用して、アラートノイズを95%削減
- クロスドメイン保護:エンドポイントや盗難されたアイデンティティを介して攻撃を開始する巧妙な攻撃者がハイブリッドクラウド環境を侵害する前に阻止
- クラウドランタイム保護:クラス最高のCWP(クラウドワークロード保護)とCDR(クラウド検知・対応)を展開し、ハイブリッドクラウド環境全体でアクティブな脅威を89%2高速に検知して対応
- 統合運用:強化された可視性とリスクの優先順位付けにより、運用サイロを解消し、効果的な修復を実現
クラウドセキュリティに関するよくある質問
Q:クラウドセキュリティの3つのカテゴリは何ですか?
A:クラウドセキュリティの主な3つのカテゴリは、インフラストラクチャセキュリティ、データセキュリティ、およびIAM(アイデンティティおよびアクセス管理)です。
Q:クラウドセキュリティとは何ですか?
A:クラウドセキュリティは、サイバー脅威から保護しながら、データの機密性、整合性、可用性を確保します。
Q:クラウドセキュリティの例にはどのようなものがありますか?
A:例としては、MFA(多要素認証)、暗号化、クラウドファイアウォール、CSPM(クラウドセキュリティポスチャ管理)などがあります。
Q:クラウドセキュリティはサイバーセキュリティと同じものですか?
A:クラウドセキュリティはクラウドベースのアセットのセキュリティ保護に重点を置いていますが、サイバーセキュリティはすべてのITセキュリティを包括する広範な用語です。
Q:クラウドセキュリティの主要なコンポーネントは何ですか?
A:主要なコンポーネントには、IAM、暗号化、コンプライアンスのモニタリング、ワークロードセキュリティ、継続的な脅威検知などがあります。
ブレット・ショウ(Brett Shaw)は、クラウドストライクのシニアプロダクトマーケティングマネージャーとして、クラウドセキュリティとクラウドパートナーシップを担当しています。ITとセキュリティの分野で10年以上の経験を持ち、新技術や業界トレンドを利用したベストプラクティスの開発に関して専門家を支援しています。同氏はこれまで、Proofpoint、FireEye、VMwareで役職に就いていました。ウィーバー州立大学で経営学修士号 (MBA) を取得しています。
