クラウドネイティブなセキュリティとは?
クラウドネイティブなアプローチでは、シームレスなスケーラビリティ、フルマネージドインフラストラクチャ、効率的な展開、セキュリティの強化が実現します。クラウドプロバイダーは、責任共有モデルを通じてクラウドプラットフォームのセキュリティを管理しますが、クラウド内のリソースを保護する責任は組織に完全に委ねられています。
クラウドネイティブなセキュリティは、現代のクラウド環境の動的かつ複雑なニーズに包括的に対応する技術とプラクティスのコレクションです。クラウドネイティブなセキュリティは基本的な原則となっていますが、ゼロから実装するのは難しいことがあります。
この記事では、クラウドネイティブなセキュリティが、従来のオンプレミスのセキュリティから、より統合されたモデルへの移行をどのように体現しているかを探ります。また、脅威検知、コンプライアンスの自動化、脆弱性管理など、CNAPP(クラウドネイティブアプリケーション保護プラットフォーム)の機能が、クラウドセキュリティポスチャに影響を与える重要なセキュリティ課題にどのように対処するかについても解説します。
ユーザー事例:Mercury Financial
Mercury Financialは、テキサス州を拠点とするクレジットカードおよび消費者金融企業で、クラウドネイティブ環境で運営されています。統合されたサイバーセキュリティプラットフォーム上で製品、サービス、脅威インテリジェンスの完全なスイートを提供することで、クラウドストライクがセキュリティの文化の構築にどのように貢献したかをご確認ください。
今すぐダウンロードクラウドネイティブなアプローチの概要
クラウドネイティブなアプローチでは、シームレスで迅速、かつ回復力のあるソフトウェアをクラウドで構築、テスト、展開するための、完全に最適化されたプロセスが必要です。2000年代初頭にクラウドネイティブ革命が始まった時点では、オンプレミスデータセンターには、さまざまな地域間でのトラフィックの急増やレイテンシーなどの課題に対処できる設備が整っていませんでした。それ以来、開発者は、従来のモノリシックなインフラストラクチャから離れて、ソフトウェア生産プロセス全体を根本的に再構築しました。この革命から生まれたテクノロジーは、現在、クラウドネイティブの中核的な概念となっています。
すべてのクラウドネイティブアプリケーションは、次の概念のいくつか、もしくはすべてを利用しています。
- コンテナ化
- マイクロサービス
- 宣言型API
- DevOps
- IaC(コードとしてのインフラストラクチャ)
クラウドネイティブな環境に対するサイバー脅威
迅速にスケールアップおよびスケールダウンできるサーバーをレンタルすることで、柔軟性とコスト削減が実現します。しかし、新たにプロビジョニングされたクラウドリソースは潜在的な脆弱性を引き起こす可能性があります。このように、コンテナ化されたマイクロサービスインフラストラクチャの弾力的かつ動的な特性により、攻撃対象領域が拡大し、組織のセキュリティ課題が一層複雑になります。インフラストラクチャの規模や構成、種類は1日を通じて変動することがあり、セキュリティ設定はその変動に対応しなければなりません。
また各ツールには、不正アクセスを防ぐために独自のセキュリティ設定が必要です。1つのコンポーネントが侵害された場合に被害の規模を最小限に抑えるために、強固なネットワークセグメンテーションが必要です。
クラウドネイティブな環境に対する一般的な脅威
クラウドネイティブな環境は多くのメリットをもたらしますが、同時に特有のセキュリティ上の課題も伴います。強固な保護を確保するためには、これらの課題に対処することが必要です。これらの脅威を理解し、軽減することは、クラウドネイティブなアプリケーションのセキュリティと整合性を保つために極めて重要です。
- コンテナイメージの脆弱性:侵害を防ぐために、コンテナベースイメージの脆弱性は速やかに修正する必要があります。
- 安全でないAPI:APIを使用する際の認証不足、認可不足、データ検証の不十分さは、セキュリティ上の潜在的な懸念点となります。
- 可視性とモニタリングの欠如:クラウド環境では、多くの相互接続されたコンポーネントからの攻撃を検知するために、オブザーバビリティ(可観測性)のための適切なテレメトリとモニタリングが必要です。
- 設定ミス:クラウドの設定は、IAM(アイデンティティおよびアクセス管理)ツールからポートファイアウォール、ネットワークルートテーブルに至るまで多岐にわたり、どれか1つに設定ミスがあると、セキュリティインシデントが発生する可能性があります。
- インサイダー脅威:組織のクラウド環境にアクセスできる従業員は、偶発的または意図的にセキュリティインシデントを引き起こす可能性があります。したがって、最小特権の原則 (POLP) やゼロトラストのポリシーを適用することが非常に重要です。
- データ侵害:グローバル企業のデータの60%以上がクラウドに保存されています。このようなデータは、悪意のある攻撃やデータ侵害の主要な標的となっています。
- コンプライアンスと規制の問題:クラウド環境でのセキュリティの障害は容易に発生し、データプライバシーに関する法律や規制に違反すると、高額な罰金や制裁が科せられることがあります。
Expert Tip
クラウドネイティブインフラストラクチャにおけるこれらのセキュリティの問題に対処するには、セキュアコンテナイメージスキャン、セキュアAPI、アクセス制御、ロギングとモニタリングなどの制御を実装する必要があります。
クラウドネイティブなセキュリティの主要コンポーネント
堅牢なクラウドセキュリティを実現するには、クラウド環境のいくつかの重要な分野でベストプラクティスを実施することが求められます。
IAM(アイデンティティおよびアクセス管理)
IAMツールは、POLPに従ってユーザーとサービスのクラウドリソースへのアクセスを制御します。IAMポリシーは、正確できめ細かいコントロールを提供し、ユーザーがリソースの特定のコンポーネントに、必要なときだけアクセスできるようにします。これらのポリシーは通常、ロールに関連付けられ、ロールは必要に応じてユーザーやサービスに割り当てられます。
ネットワークセキュリティ
クラウドは基本的に大規模なコンピューターネットワークであり、1つの侵害が深刻な影響をもたらす可能性があります。ネットワークセキュリティのベストプラクティスには、次のようなものがあります。
- インスタンスベースおよびサブネットベースのファイアウォールを適切に設定する
- トラフィックが適切なソースに向かうようにルートテーブルを設定する
- 厳密な内向きルールと外向きルールを定義する
- ゼロトラストポリシーの全体的な実装
アプリケーションのセキュリティ
クラウドのアプリケーションセキュリティには、認証、データ暗号化、適切なエラー処理など、セキュリティのベストプラクティスをコードベースに実装することが含まれます。また、組織はアプリケーションを定期的にスキャンして依存関係の脆弱性を確認し、脆弱性が特定された場合には適切なパッチを適用する必要があります。
データ保護
データ保護では、ストレージに保存されているデータと転送中のデータの両方を保護する必要があります。保存データを暗号化することで、侵害が発生した場合に攻撃者がデータから情報を抽出することを防げます。転送中のデータに対しては、HTTPSなどのプロトコルを使用してデータが暗号化されるため、プロキシ攻撃が無効化されます。
IaCスキャン
IaCスキャンツールは、クラウドインフラストラクチャのテンプレートやコードを自動でレビューし、脆弱性や設定ミスを特定します。これらのツールは、IaC定義がセキュリティのベストプラクティスに準拠するように、展開前にセキュリティポリシーの適用を支援します。
クラウドワークロード保護
クラウドワークロード保護とは、ランタイム時にワークロードをモニタリングして保護することで、クラウドベースのアプリケーションやサービスを安全に保つことを指します。これには、脅威の検出と対応、アプリケーションの安全な実行の確保、脆弱性を軽減するためのパッチ適用が含まれます。
CSPM(クラウドセキュリティポスチャ管理)
CSPMはクラウド環境を継続的に監視し、設定ミスやコンプライアンス違反を特定して修正します。マルチクラウド環境全体を可視化し、またセキュリティリスクの検知と修正を自動化することで、組織が強力なセキュリティポスチャを維持できるよう支援します。
コンテナセキュリティ
本番環境で稼働している各コンテナをスキャンし、脅威や脆弱性を検出することが重要です。また、アプリケーションで必要なポートのみを公開するようにしてください。コンテナセキュリティのベストプラクティスは、依存関係によって引き起こされる潜在的な脆弱性を最小限に抑えるために、可能な限り最小構成のイメージ(理想的にはアプリケーションで許可されている場合はscratchイメージ)を使用することです。アプリケーションに必要なポートのみを公開するようにしてください。
Kubernetesのセキュリティ
Kubernetesをセキュリティで保護するには、アクセスが厳しく制限されるようにクラスターが適切に構成されていることを確認してください。OPA Gatekeeperなどのツールを使用して、特定のポリシーを適用します。
クラウドネイティブなセキュリティのベストプラクティス
最適なクラウドセキュリティを実現するには、組織全体で取り組む必要があります。次のようなクラウドセキュリティの基本的な機能を実装することが重要です。
- リアルタイムの監視とデータ処理
- 定期的なセキュリティ監査とコンプライアンスチェック
- 組織全体でのセキュリティ教育
セキュアなクラウドネイティブアプローチを実現するには、大きなパラダイムシフトが求められるため、多くの組織がセキュリティポスチャをより効果的に管理するためのツールを活用しています。
CNAPPの活用
CNAPPは、複数のツールを統合したオールインワンのプラットフォームです。脅威のモニタリング、検知、修復を簡素化および強化するCNAPPは、高水準のクラウドネイティブなセキュリティを実現するための最適なツールとなっています。
CNAPPの機能と特徴
CNAPPは、クラウド環境を保護するために設計された包括的な機能セットを提供します。
- リアルタイムの脅威検知:継続的に監視し、発生するセキュリティリスクを特定します。
- 自動インシデント対応:人間の介入なしに迅速かつ効果的に脅威に対応します。
- 包括的なコンプライアンス監査と管理:クラウドアプリケーションの規制基準へのコンプライアンスを評価し、コンプライアンスを証明するプロセスを簡素化します。
CNAPPのメリット
CNAPPは、ルーチン作業を自動化し、フォールスポジティブを排除することで、セキュリティチームの負担を軽減します。この自動化により運用が効率化され、日常的な作業の負担が軽減されるため、セキュリティアナリストは人間の専門知識を必要とする複雑で重大な問題に集中することができます。
CrowdStrike Falcon Cloud Securityで環境を保護する
クラウドネイティブなアプローチは新たなスタンダードとなっているものの、クラウドネイティブソフトウェアの普及が、新たに進化するサイバー脅威を引き起こす原因となっています。
クラウドネイティブセキュリティに求められるレベルを実現するには高度な技術が必要であり、そのためCNAPPをサイバーセキュリティツールセットに加える重要性が高まっています。CNAPPは、すべてのクラウドセキュリティセグメントに対応する包括的な機能を提供します。CrowdStrike Falcon® Cloud Securityは、クラウドネイティブスタック全体に対する侵害を防ぐ目的で開発された業界をリードするCNAPPです。
クラウドセキュリティを簡素化し、侵害を阻止します。
CrowdStrike Falcon® Cloud Securityを選ぶ理由
- プロアクティブセキュリティ:インフラストラクチャ、アプリケーション、API、データ、AI、SaaSにわたるCSPM(クラウドセキュリティポスチャ管理)を単一のセンサーで統合
- 重要な点を特定:業界をリードする脅威インテリジェンス、エンドツーエンドの攻撃パス、ExPRT.AIを活用して、アラートノイズを95%削減
- クロスドメイン保護:エンドポイントや盗難されたアイデンティティを介して攻撃を開始する巧妙な攻撃者がハイブリッドクラウド環境を侵害する前に阻止
- クラウドランタイム保護:クラス最高のCWP(クラウドワークロード保護)とCDR(クラウド検知・対応)を展開し、ハイブリッドクラウド環境全体でアクティブな脅威を89%2高速に検知して対応
- 統合運用:強化された可視性とリスクの優先順位付けにより、運用サイロを解消し、効果的な修復を実現
ブレット・ショウ(Brett Shaw)は、クラウドストライクのシニアプロダクトマーケティングマネージャーとして、クラウドセキュリティとクラウドパートナーシップを担当しています。ITとセキュリティの分野で10年以上の経験を持ち、新技術や業界トレンドを利用したベストプラクティスの開発に関して専門家を支援しています。同氏はこれまで、Proofpoint、FireEye、VMwareで役職に就いていました。ウィーバー州立大学で経営学修士号 (MBA) を取得しています。
