クラウドセキュリティのベストプラクティス
クラウドセキュリティは、クラウドで運用しているほとんどの組織、特にハイブリッドまたはマルチクラウド環境で運用している組織にとって大きな優先事項になっています。このブログでは、サイバー攻撃から環境を保護するために、組織がクラウドの導入プロセスを通じて実装できる、クラウドセキュリティの20の推奨ベストプラクティスを紹介します。
クラウドセキュリティが重要な理由
クラウドでは、従来のデータセンターにはない柔軟性と効率性を実現できるため、組織はミッションクリティカルなワークロードにクラウドプラットフォームを導入するようになっています。
クラウドにおけるデジタルトランスフォーメーションを進める際、組織が懸念する主要な事項の一つがセキュリティです。というのも、クラウドセキュリティには、従来のセキュリティソリューションやアプローチとは異なるパラダイムシフトが伴うためです。さらに、攻撃ベクトルは日々進化し続けているため、クラウドではデータ侵害やマルウェア攻撃が一般的になりつつあります。クラウド上のワークロードを保護するために、適切なツールやベストプラクティスを導入できるよう、クラウドセキュリティを理解することが重要です。クラウドセキュリティをより深く理解することで、組織のクラウド導入の進展に応じて、セキュリティ慣行の成熟度を高めていくことが可能になります。
CNAPPの完全ガイド
クラウドストライクの『CNAPPの完全ガイド』をダウンロードして、クラウドネイティブアプリケーション保護プラットフォームが最新のクラウドセキュリティ戦略の重要な要素である理由、そしてそれらを開発ライフサイクルに統合する最適な方法をご確認ください。
今すぐダウンロードクラウドセキュリティの20のベストプラクティス
組織がクラウドを使い始める際には、必ず押さえておくべきセキュリティ上の重要なポイントがいくつかあります。
クラウドセキュリティのベストプラクティスとは
- 責任共有モデルを理解する
- 境界を保護する
- 設定ミスを監視する
- IAM(アイデンティティおよびアクセス管理)を使用する
- セキュリティポスチャの可視性を有効にする
- クラウドセキュリティポリシーを実装する
- コンテナを保護する
- 脆弱性評価と修復を実行する
- ゼロトラストアプローチを実装する
- サイバーセキュリティトレーニングプログラムを実施する
- ログ管理と継続的モニタリングを使用する
- ペネトレーションテストを実施する
- データを暗号化する
- コンプライアンス要件に対応する
- インシデント対応計画を策定する
- すべてのアプリケーションを保護する
- データセキュリティポスチャを常に念頭に置く
- サイバーセキュリティソリューションを統合する
- CDR(クラウド検知・対応)アプローチを活用する
- CrowdStrike Falcon Cloud Securityで保護を維持する
1. 責任共有モデルを理解する
AWS、Azure、Google Cloudなどの主要なクラウドサービスプロバイダー (CSP) は、すべて責任共有モデルに基づいてクラウドセキュリティを管理しています。セキュリティの一部の側面(基盤となるハードウェアセキュリティなど)はサービスプロバイダーが担いますが、インフラストラクチャ層やアプリケーション層でのセキュリティ確保は、顧客側の責任とされています。
IaaS(サービスとしてのインフラストラクチャ)の展開においては、定期的なパッチ適用、ファイアウォール設定、ウイルスとマルウェアからの保護の有効化などの対策で仮想マシン (VM) のオペレーティングシステム (OS) をセキュリティ保護することが含まれます。PaaS(サービスとしてのプラットフォーム)の導入においては、VMレベルの保護はクラウドプロバイダーが管理しますが、顧客は引き続きアプリケーションとデータの保護を管理する必要があります。SaaS(サービスとしてのソフトウェア)の展開においては、アプリケーション開発全体でのセキュリティコントロールの大部分はクラウドプロバイダーが管理しますが、使用方法とアクセスのポリシーは顧客が処理します。
クラウドサービスプロバイダーは、以下に示す責任共有マトリックスを確認し、ネイティブまたはサードパーティのセキュリティツールとサービスを使用して、アプリケーションに関連する制御を有効にすることが重要です。
| 要素 | SaaS | PaaS | IaaS |
|---|---|---|---|
| アプリケーションセキュリティ | CSP | ユーザー | ユーザー |
| プラットフォームセキュリティ | CSP | CSP | ユーザー |
| インフラストラクチャ | CSP | ユーザー | CSP |
| エンドポイントセキュリティ | ユーザー | ユーザー | ユーザー |
| データセキュリティ/データ保護 | ユーザー | ユーザー | ユーザー |
| ネットワークセキュリティ | CSP | CSP | ユーザー |
| ユーザーセキュリティ | ユーザー | ユーザー | ユーザー |
| コンテナとクラウドワークロード | ユーザー | ユーザー | ユーザー |
| APIとミドルウェア | CSP | ユーザー | ユーザー |
| コード | ユーザー | ユーザー | ユーザー |
| 仮想化 | CSP | CSP | ユーザー |
2. 境界を保護する
クラウドネットワークはソフトウェア定義ネットワーク (SDN) に基づいているため、多層セキュリティガードレールを柔軟に実装できます。さまざまな仮想ネットワーク間のワークロードの基本的なセグメンテーションから開始し、それらの間で必要な通信のみを許可する必要があります。さらに、ネットワーク層またはアプリケーション層のファイアウォールを使用して、アプリケーションへの受信トラフィックを制限します。
SQLインジェクション、データ流出、クロスサイトスクリプティングなどの攻撃は、アプリケーションセキュリティの主な懸念事項です。OWASP脅威検知ルールに基づくWebアプリケーションファイアウォール (WAF) がこれらの検知と防御に役立ちます。クラウドでの組織的なDDoS攻撃からワークロードを保護するには、多層DDoS防御戦略が不可欠です。すべてのクラウドサービスプロバイダーは、このような攻撃を検知して防御するために、アプリケーションのフロントエンドに統合できるDDoS保護ツールを提供しています。
侵入する脅威や悪意のある攻撃に対するゲートキーパーとして機能する、効率的なファイアウォールをネットワーク境界に展開する必要があります。クラウドネイティブなファイアウォールサービスや、侵入検知、パケット検査、トラフィック分析、脅威検知を実行する高度なサードパーティツールを展開できます。また、アーキテクチャで個別の侵入検知システム (IDS) または侵入防止システム (IPS) を選択して、クラウド展開の境界セキュリティを強化することもできます。
3. 設定ミスを監視する
クラウドワークロードへの侵入が成功する原因は、ほとんどの場合、サービスの設定ミスや手動設定のミスが原因です。CSPM(クラウドセキュリティポスチャ管理)ソリューションをアーキテクチャに組み込んで、クラウド展開で生じる可能性がある設定ミスを監視する必要があります。
CSPMソリューションは、一連のベストプラクティスガイドラインに照らして展開を評価することで価値を付加します。これらのベストプラクティスは、組織固有の標準である場合もあれば、セキュリティとコンプライアンスの主要なベンチマークに合わせて調整されている場合もあります。CSPMソリューションは、クラウドのすべてのワークロードのセキュリティについて、現在の状態を定量化するセキュリティスコアを提供します。健全なセキュリティスコアは、クラウド展開が安全であることを示します。また、これらのツールは、お客様が必要な是正措置を講じることができるように、標準的な慣行から逸脱している場合にフラグを設定します。
4. IAM(アイデンティティおよびアクセス管理)を使用する
クラウドワークロードの場合は、コントロールプレーンが重要な鍵となっているため、コントロールプレーンのセキュリティが極めて重要です。クラウドプラットフォームにネイティブなIAM(アイデンティティおよびアクセス管理)サービスを使用して、クラウドリソースへのロールベースのきめ細かなアクセス制御を実装する必要があります。
クラウドプラットフォームには、Active DirectoryなどのオンプレミスソリューションとクラウドネイティブなIAM(アイデンティティおよびアクセス管理)サービスを簡単に統合するためのツールも用意されており、クラウドでホストされるワークロードでSSO(シングルサインオン) のシームレスな操作性を実現できます。IAMコントロールに関しては、経験則として、最小特権の原則に従うこと、つまり、ユーザーが各自の作業に必要なデータとクラウドリソースのみにアクセスできるようにすることです。
詳細
DevOpsチームと、企業が現在保護する必要がある複数のクラウドのニーズを満たすには、クラウドプロバイダーや展開モデルに関係なく、ホストとコンテナのセキュリティコントロールとコンプライアンスを自動化する統合プラットフォームが必要です。クラウドセキュリティの取り組みを成功させるには、効果的なセキュリティのための適切な要素が必要になります。
5. セキュリティポスチャの可視性を有効にする
クラウド環境が拡大するにつれ、侵害が報告されないままになってしまう可能性が高まります。適切なツールを導入することで、大いに必要とされるセキュリティポスチャの可視化を実現し、プロアクティブなセキュリティ管理が可能になります。
すべての主要なクラウドプラットフォームには、データ流出、イベント脅威、IAMアカウントのハイジャック、クリプトマイニングの検知などの機能を提供できる、ネイティブCSPMソリューションのAdvanced/Premiumティアがあります。ただし、これらの機能は、多くの場合、それぞれのクラウドプラットフォームに限定されていることに注意してください。ハイブリッドまたはマルチクラウドの展開では、セキュリティポスチャを可視化できる専用ツールを組み込むことをお勧めします。
6. クラウドセキュリティポリシーを実装する
組織は、組織全体に制限を実装し、セキュリティを確保するために、クラウドセキュリティポリシーを定義する必要があります。例えば、パブリックIPでワークロード展開を制限したり、内部のサーバー間のトラフィックフローを抑制したり、コンテナワークロードのトラフィックパターンを監視したりします。
実装のアプローチは、サービスプロバイダーによって異なります。Azureでは、Azureポリシーを使用できます。Google Cloudでは、組織のポリシーを使用できます。セキュリティポリシーの利点は、クラウド展開の際に、コンプライアンス標準が全体に自動適用されることです。
7. コンテナを保護する
コンテナセキュリティには、コンテナとオーケストレーションプラットフォームの両方の保護が含まれます。Kubernetesはクラウドで最も頻繁に使用されるソリューションです。コンテナ化されたワークロードに業界標準のセキュリティベースラインを作成し、逸脱を継続的モニタリングして報告する必要があります。
組織には、ランタイム中に発生するものも含めて、コンテナ内の悪質なアクティビティを検知できるツールが必要です。コンテナ関連のアクティビティを可視化し、不正なコンテナを検知して解体できるセキュリティ技術の必要性は、いくら強調してもし過ぎることはありません。脅威の状況は常に変化しているため、高度なAIと機械学習 (ML) を活用して、シグネチャに依存せずにマルウェアを検出するテクノロジーを採用するのが最善です。
8. 脆弱性評価と修復を実行する
ウイルスやマルウェアの攻撃からワークロードを保護するために、リアルタイムの脆弱性スキャンおよび修復サービスが必要です。このサービスは、VMやコンテナに展開されたワークロードをサポートする必要があります。
ワークロードの脆弱性を継続的にスキャンし、レポートをまとめて、結果をダッシュボードに表示し、問題を自動修復できる脆弱性管理ソリューションを検討してください。
9. ゼロトラストアプローチを実装する
ゼロトラスト(別名「侵害想定」)アプローチは、クラウドセキュリティを実現するための最高のスタンダードです。それには、サービスが組織のセキュリティ境界内にある場合でも、サービス間の信頼を想定しないことを意味します。
ゼロトラストアプローチの主要原則は、セグメント化と、1つのアプリケーション内の異なるサービス間で最小限の通信のみを許可するということです。この通信には、承認済みアイデンティティのみを使用する必要があります。アプリケーション内部で行われる通信や外部リソースとのいかなる通信も、監視し、ログを記録して、異常がないか分析する必要があります。これは、管理者権限アクティビティにも適用されます。ここでは、ネイティブまたはサードパーティの監視およびログ記録ツールを採用できます。
詳細
「見えないものは保護できない」ということわざは真実です。クラウド環境がより複雑になり分散化するにつれて、クラウドアクティビティを包括的に把握することは、エンタープライズセキュリティにとって不可欠な要素となっています。
10.サイバーセキュリティトレーニングプログラムを実施する
さまざまなタイプの攻撃者からクラウドを保護するための優れたツールはいくつか存在しますが、多くのセキュリティリーダーは、サイバーセキュリティには予防的に対応する方が良いということを知っています。
サイバーセキュリティを組織の文化に組み込み、従業員やその他の利害関係者にとっての優先事項にするための有効な出発点は、従業員向けの包括的なセキュリティトレーニングプログラムを実施することです。このプログラムには、その業界で確認されている攻撃者と、彼らが攻撃を実行する方法に関する情報が含まれている必要があります。
さらに、フィッシングはハッカーが企業のネットワーク、さらには機密情報にまで不正にアクセスする最も一般的な方法の1つであることから、フィッシングの試みを識別するために設計されたトレーニングを組み込んでください。
11. ログ管理と継続的モニタリングを使用する
企業にとっては、クラウドインフラストラクチャ内でログ作成機能を有効にして、ネットワークの完全な可視性を確保し、必要に応じて異常なアクティビティを迅速に特定して修復することが不可欠です。ログ管理プラットフォーム内で通知をオンにして、異常なアクティビティをリアルタイムで確認できるようにしてください。
12. ペネトレーションテストを実施する
脆弱性評価の実施に加えて、ペンテストとも呼ばれるペネトレーションテストを実施する必要があります。ペンテストを実施すると、組織のセキュリティ対策がアプリケーションおよび環境を保護するのに十分であるかどうかを判断するのに役立ちます。これは、善意のハッカーが実際の攻撃をシミュレートするために攻撃者として行動することから、「倫理的ハッキング」とも呼ばれています。
Expert Tip
クラウドストライクのペンテストサービスで、現在のクラウドセキュリティ対策がクラウドインフラストラクチャの保護に十分かどうかを確認してください。
13. データを暗号化する
クラウドデータの暗号化は、堅牢なクラウドセキュリティ戦略の鍵です。これにより、権限のないユーザーからデータを隠すことで、クラウドベースのアプリケーション間でのシームレスで安全なデータフローが可能になります。最適な保護を確保するため、データは、クラウド自体の中でも、転送中でも暗号化されている必要があります。
データ暗号化サービスを提供するクラウドプロバイダーは複数存在します。無料のものも有料のものもありますが、どのソリューションを採用する場合でも、ボトルネックやその他の非効率性を回避するため、現在のプロセスに組み込めるかどうかを確認してください。
14. コンプライアンス要件に対応する
他の製品やサービス、プロセスと同様に、クラウドセキュリティのソリューションと戦略では、クラウドとデータのコンプライアンス要件を最優先に考える必要があります。コンプライアンスを維持することは、顧客保護を確実に行うために法令で定められた基準を満たすことを意味します。
業界にもよりますが、企業はクレジットカード番号、社会保障番号、住所、健康情報など、機密性の高い顧客情報を多数保有しています。強力なクラウドセキュリティソリューションや戦略では、プロセスのすべてのステップにおいてコンプライアンスが常に考慮されています。
15. インシデント対応計画を設定する
サイバーセキュリティに関しては、侵害が発生した場合のインシデント対応計画がある組織は、状況を修復し、事業の中断を回避して、失われたデータを回復するための態勢が整っています。
インシデント対応計画は、攻撃を受けた場合にセキュリティチームが最も効果的な方法で行動できるよう設計されています。この計画は、各チームメンバーが各シナリオで何をするべきかを理解できるよう、厳格な役割と責任が含まれた修復フレームワークと考えてください。侵害をできるだけ早くチームに通知できるように、通知を有効にしてください。
Expert Tip
CrowdStrike Incident Response Servicesで、アクティブな侵害を阻止し、デジタルフォレンジック調査を推進してください。
16. すべてのアプリケーションを保護する
継続的インテグレーション/継続的デリバリー (CI/CD) とクラウドにより、世界中の組織はかつてない速さでアプリケーションを開発、提供、更新できるようになりました。アプリケーションコードの継続的な変更により、セキュリティチームには常にリスクの管理が求められます。実稼働前にアプリケーションのセキュリティテストを十分に行っても、検出できない脆弱性や表面化しない設定ミス、考慮されていない環境変数が残ることがあります。
ASPM(アプリケーションセキュリティポスチャ管理)ツールは、アプリケーションの脆弱性を特定し、リスクを評価し、緩和策の優先順位を付けるのに役立ちます。また、機密データを保護し、データ侵害を防ぎ、環境が業界規制に準拠していることを確認するのにも役立ちます。
17. データセキュリティポスチャを常に念頭に置く
データはあらゆる場所に存在し、企業の成長とイノベーションを支えています。しかし、そのダイナミックで制御しづらい性質ゆえに、脅威アクターにとって格好のターゲットとなります。機密データがクラウド環境を横断し、管理されていないデータストアやシャドーデータストアを行き来する中で、漏洩のリスクが非常に大きくなります。DSPM(データセキュリティポスチャ管理)ソリューションを導入することで、個人を特定できる情報 (PII)、カード決済業界 (PCI) 規制対象の情報、保護対象保健情報 (PHI) などの機密データを検出して分類し、紛失、盗難、誤用、不正アクセスから守ることができます。
DSPMソリューションは、データがどこに存在していても、または移動しても、機密データや規制対象データが適切なセキュリティポスチャを維持できるようにすることで、セキュリティチームにクラウドデータを保護するアプローチを提供します。
18. サイバーセキュリティソリューションを統合する
Gartnerによると、「組織によっては、こうした機能を提供するために10以上のツールを実装しなければならない場合もあります。しかし、組織がCNAPPサービスへの統合に移行しているのには理由があります。」サイバーセキュリティプラットフォームの統合により、さまざまなセキュリティツールやシステムが単一のプラットフォームに統合され、運用の効率化、セキュリティの強化、開発プロセスの円滑化が実現します。この簡素化により、複雑さが減少し、一貫したセキュリティポリシーが提供され、効率的なリスク管理が実現します。開発ライフサイクル全体にセキュリティテストを組み込むことで、問題を早期に検知し、展開を迅速化できます。さらに、統合により重複する機能が排除され、ランタイムから開発へのフィードバック、またはその逆が可能になり、可視性が向上して全体的な保護が強化されます。
19. CDR(クラウド検知・対応)アプローチを活用する
企業は、クラウド環境に関連する一般的な課題に対処するために、CDR(クラウド検知・対応)セキュリティアプローチの採用へと舵を切りつつあります。このアプローチでは、脅威の検知、迅速なインシデント対応、そしてクラウドのスケーラビリティ、イノベーション、データ主権を支援するためのサービスの統合に重点が置かれています。
20. CrowdStrike Falcon® Cloud Securityで保護を維持する
CrowdStrike Falcon® Cloud Securityによって、これまで考慮してきたセキュリティ制御すべてを1つのソリューションに統合し、セキュリティ運用を合理化できます。このプラットフォームは、エンドポイント、クラウドワークロード、アイデンティティ、データの保護や監視に使用される幅広いポイント製品を統合し、エンドツーエンドのカバレッジを提供し、複雑さを排除します。
統合されたビューにより、防御側は複数のコンソールを切り替えることなく、攻撃者の振る舞いや攻撃の進行状況を理解して追跡し、リスクを確実に可視化できます。クラウドストライクの統合型のアプローチは、クラウドネイティブエージェントによる監視機能と、ソフトウェアの展開が困難な場所でのエージェントレスカバレッジを組み合わせたものです。Falcon Cloud Securityは、単一のエージェント、コンソール、UIを使用して、クラウドアセット全体の完全な可視化を実現します。
また、異種のツール群をFalcon Cloud Securityのクラウドネイティブなアプリケーション保護プラットフォーム (CNAPP) 機能に置き換えることで、ライセンスに関連する運用オーバーヘッドが削減され、セキュリティグループは多数のアカウント、リージョン、プロジェクト、仮想ネットワークにポリシーを迅速にプッシュできます。
ダナ・ラヴェ(Dana Raveh)は、クラウドストライクのデータおよびクラウドセキュリティを担当する、プロダクトマーケティング・ディレクターです。クラウドストライクに入社する前は、Seemplicity SecurityやFlow Security(クラウドストライクにより買収)などのサイバーセキュリティ新興企業でマーケティングチームを率い、マーケティング担当副社長を務めました。また、Checkmarx社など数多くのグローバル企業で製品管理および製品マーケティングを担当。ユニバーシティ・カレッジ・ロンドンで認知神経科学の博士号を取得しています。
