クラウドセキュリティフレームワーク：ビジネスに最適なものの選び方

クラウドはビジネスに革命をもたらしましたが、コンプライアンスの複雑化という課題ももたらしました。クラウドインフラストラクチャのセキュリティポスチャを管理することは、コンプライアンス義務に対処しながらクラウド運用を維持するために重要です。

2024年版グローバル脅威レポートで明らかにされたように、クラウドへの侵入は2023年に75%増加し、「クラウドを意識した」脅威アクターは前年比で110%増加しました。攻撃者の手法は、初期アクセス、ラテラルムーブメント、権限昇格、防衛回避、データ収集など、ますます巧妙化しています。

クラウドセキュリティフレームワークがないと、組織は、データが適切に保護されているかどうかを判断するために必要な詳細な可視性を欠くことになります。この可視性を維持できなければ、データ流出、不正アクセス、その他のセキュリティ上の脅威に対して脆弱になります。適切なフレームワークを選択し、リスク評価、セキュリティコントロール、インシデント対応などのベストプラクティスを実装することで、リスクを軽減してクラウド内のデータを保護できるようになります。

また、クラウドセキュリティフレームワークは、クラウドインフラストラクチャのすべての重要なコンポーネントのコンプライアンスだけでなく安全性も保証して、サイバー攻撃の機会を減らします。組織のコンプライアンス要件にマッピングされたクラウドセキュリティフレームワークを活用することで、クラウドにおける関連規制要件に対応する適切なセキュリティおよびプライバシー制御を効果的に実装できます。

この記事では、クラウドコンピューティング環境におけるデータとアプリケーションのセキュリティとコンプライアンスのサポートに、クラウドセキュリティフレームワークがどのように役立つかを探ります。

クラウドセキュリティフレームワークとは

クラウドセキュリティフレームワークは、組織がクラウドコンピューティング環境内のデータ、アプリケーション、インフラストラクチャのセキュリティに取り組む際に使用する一連のガイドライン、ベストプラクティス、および制御です。これらは、潜在的なリスクを特定し、それらを軽減するセキュリティ対策を実装するための、構造化されたアプローチを提供します。

クラウドセキュリティフレームワークは、コンプライアンスとガバナンスの要件への対処に必須のセキュリティ面に焦点を当てています。ただし、コンプライアンスやガバナンスの実現よりも、セキュリティの維持に重点をおいています。これらのフレームワークの一部は、関連するセキュリティ標準や規制を満たすうえで必要なセキュリティコントロールを提供しますが、コンプライアンスに関してはすべてを網羅しているわけではありません。

クラウドコンプライアンスフレームワークとクラウドガバナンスフレームワーク

クラウドセキュリティフレームワーク、クラウドコンプライアンスフレームワーク、ガバナンスフレームワークは似ていますが、クラウドコンピューティング環境ではそれぞれ異なる役割を果たします。

クラウドセキュリティフレームワークは、責任共有モデルや潜在的なリスクの特定と軽減の促進など、クラウド固有のセキュリティ上の課題に対応します。

一方、クラウドコンプライアンスフレームワークは、HIPAA、PCI-DSS、GDPRなどの特定のコンプライアンス要件に焦点を当てて、組織がクラウドサービスの法的要件および規制要件に準拠することを保証します。このフレームワークは、コンプライアンスを達成するために必要な制御と対策の概略を示します。

ガバナンスフレームワークは範囲が広く、クラウド環境を含むITシステムの全体的な管理と監視に対応します。このフレームワークでは、意思決定、リスク管理、コンプライアンスに関するポリシー、手順、ガイドラインを定義し、ITリソースを効果的かつ効率的に使用するためのフレームワークを提供します。

この3つのフレームワークには重複する部分もありますが、それぞれがクラウド環境の管理とセキュリティ保護において別個の役割を果たします。

最も一般的なクラウドフレームワーク

クラウドコンピューティングサービスを採用する組織が増えるにつれて、データとアプリケーションのセキュリティとコンプライアンスの確保がますます困難になっています。クラウドセキュリティフレームワークは、組織が潜在的なリスクを特定し、それらのリスクを軽減するセキュリティ対策を実装するのに役立つガイダンスと制御を提供します。

すべてのフレームワークとそれに関連する要件が、すべての業界に関連しているわけではありません。さらに、企業コンプライアンスフレームワークを採用する組織は、クラウド内のアプリケーションに関してもこれらの目標を達成する必要があります。このセクションでは、組織がクラウドサービスを使用する際にさまざまなセキュリティとプライバシーの規制に準拠するのに役立つ、主要なフレームワークについて説明します。

クラウドセキュリティフレームワーク

• MITRE ATT&CK
• Center for Internet Security (CIS)
• CSA STAR
• ISO/IEC 27017:2015
• その他のフレームワーク

MITRE ATT&CK

MITRE ATT&CKは、フレームワークとして、攻撃のさまざまな段階を標準化しています。制御だけに焦点を当てるのではなく、クラウドでハッカーが利用する戦術と手法を対象にしています。このフレームワークを使用すると、組織は潜在的な攻撃ベクトルを理解し、検知と対応機能を向上させることで、クラウドのセキュリティポスチャを強化できます。

CIS

Center for Internet Security (CIS) は、セキュリティベースラインを作成するためのコンプライアンス標準として機能する標準化された制御とベンチマークを提供するものとして、業界全体でよく知られています。これらのベンチマークは、当初はオンプレミスシステムを対象としていましたが、主要なクラウドプロバイダー向けのテクノロジーも含むように進化しました。

CIS標準をユニークなものにしている理由の1つは、本番環境で信頼され実績のある防御策に基づいて、実務者のコンセンサスで構築されていることです。これにより、より効果的な制御セットが実現されています。

CSA STAR

Cloud Security AllianceのSecurity Trust Assurance and Risk (CSA STAR) フレームワークは、クラウドセキュリティのベストプラクティスを提供し、クラウドサービスプロバイダーのセキュリティポスチャを検証します。フレームワーク自体は、Cloud Control Matrix (CCM) の一部として、クラウドプロバイダー向けのクラウド固有のセキュリティコントロールの概要を示しています。さらに、これらのクラウドでアプリケーションを実行するお客様向けに、CCMコンプライアンスを評価するための質問リストも提供されています。

ISO/IEC 27017:2015

ISO 27001には、会社全体で所有および取り扱うデータの保護に関連する、リスク管理フレームワークの導入に役立つガイドラインが含まれています。

ISO 27017は、クラウド固有の情報セキュリティについてガイダンスを提供する、クラウド固有のフレームワークです。このフレームワークで提供されるセキュリティコントロールは、ISO/IEC 27002およびISO/IEC 27001標準のガイダンスを補完するものです。また、このフレームワークは、クラウドサービスプロバイダーとアプリケーションの両方について、明確なセキュリティコントロールと実装のガイダンスを提供します。

その他のフレームワーク

クラウドサービスプロバイダー自身も、いくつかのセキュリティと規制のフレームワークからのクラウド固有の制御を組み合わせた、独自のフレームワークを公開しています。これには、AWS Foundation Security Best Practices StandardやMicrosoftクラウドセキュリティベンチマークなどのフレームワークが含まれます。

企業コンプライアンスと標準フレームワーク

• GDPR（EU一般データ保護規則）
• FedRAMP
• ISO 27001
• PCI DSS（ペイメントカード業界データセキュリティ基準）
• HIPAAとHITECH
• サーベンス・オクスリー法 (SOX)
• カリフォルニア州消費者プライバシー法 (CCPA)
• 連邦情報セキュリティ近代化法 (FISMA)
• NERC CIP
• NIST CSF
• System and Organization Controls 2 (SOC 2)
• サイバーセキュリティ成熟度モデル認証2.0（CMMC 2.0）
• 汎用フレームワーク

GDPR（EU一般データ保護規則）

GDPRは、EU居住者の個人データを取り扱う組織に課せられるプライバシーおよびデータ保護に関する包括的な規制です。これには、クラウドサービスの使用に関連する、特定のセキュリティとプライバシーについての考慮事項が含まれています。

これらの制御には、データ保護影響評価 (DPIA)、データに対するデータ主体の権利の維持、データを保護するためのセキュリティコントロール、EU外部へのデータ転送を制限するためのデータ転送保護手段が含まれます。

連邦リスクおよび認証管理プログラム (FedRAMP)

FedRAMPは、クラウドセキュリティフレームワークの重要なコンポーネントであり、特に米国政府機関との取引を目指しているクラウドサービスプロバイダーにとって不可欠なものです。これは、クラウドでの評価、承認、モニタリングに関する政府の標準に非政府機関が確実に準拠できるように、セキュリティコントロールの実装方法を標準化したものです。

ISO 27001

国際標準化機構 (ISO) によるISO 27001は、情報セキュリティマネジメントシステム (ISMS) のライフサイクル全体を標準化した、事実上の国際的ガイドラインのセットです。これは、機密情報を管理するための構造化されたアプローチを組織が利用できるようにするものです。

ISO 27001は、リスク評価の実施、セキュリティコントロールの実装、セキュリティ対策の継続的な改善など、クラウドコンピューティングの特定のセキュリティとプライバシーに関する考慮事項を組織に提供します。

PCI DSS（ペイメントカード業界データセキュリティ基準）

PCI DSSは、他のほとんどの標準とは異なり、政府機関ではなく、ペイメントカード業界によって策定された標準です。この標準は、加盟店やサービスプロバイダーがクレジットカードデータを安全に処理する方法についてベースラインを設定し、データ侵害から保護するために必要なセキュリティコントロールの概要を明示的に示しています。この標準は、範囲の決定、セキュリティコントロール、サードパーティのサービスプロバイダー管理、コンプライアンス検証など、いくつかの主要コンポーネントで構成されています。

HIPAA（医療保険の相互運用性と説明責任に関する法律）/経済的および臨床的健全性のための医療情報技術に関する法律 (HITECH法)

HIPAAとHITECHは、患者の電子保護対象保健情報 (ePHI) を保護するためのセキュリティとプライバシーの標準を確立した米国連邦法です。これらの法律に対するコンプライアンスは、医療機関がオンプレミスとクラウドでePHIの機密性、整合性、可用性を確保するために重要です。リスク評価、セキュリティコントロール、プライバシー制御、ビジネスアソシエイト契約、コンプライアンス検証の組み合わせが使用されます。

サーベンス・オクスリー法 (SOX)

SOXは、財務報告とコーポレートガバナンスの要件を規定した米国の連邦法です。SOXは、財務報告に対する適切な内部統制を確立および維持することを企業に求めて、企業の財務情報の正確性と完全性を保証します。

組織が遵守する必要があるSOXの中核となるコンポーネントには、リスク評価、継続的な管理活動、機密通信の保護、財務報告に関する内部統制のモニタリングがあります。これらのコンポーネントにより、企業は、企業の評判、財務の安定性、および全体的な社会的信頼を損なう可能性のある不正行為、虚偽記載、およびその他の財務上の違法行為を検知して防止するための適切な対策を講じることができます。

カリフォルニア州消費者プライバシー法 (CCPA)

CCPAは、GDPRに似たプライバシー法ですが、カリフォルニア州居住者の個人情報を保護するためのものです。これは、個人データを保護するための合理的なセキュリティ対策を確立することを企業に求めるものです。コンプライアンスには、データのインベントリとマッピング、リスク評価、堅牢なセキュリティコントロール、インシデント対応計画、ポリシー遵守の監査証跡の維持の組み合わせが含まれます。

連邦情報セキュリティ近代化法 (FISMA)

FISMAは、連邦政府機関を対象とした米国の法律であり、情報セキュリティプログラムの策定を目的としています。FISMAでは、データ保護に対してリスクベースのアプローチを採用し、政府機関が従うべき最低限のセキュリティベースラインを設定しています。FISMAは、セキュリティの分類、リスク評価、セキュリティコントロール、継続的モニタリング、コンプライアンス検証という5つの重要なコンポーネントを使用して、連邦政府のデータおよび情報システムを保護することを目的としています。

北米電力信頼度協議会重要インフラ保護 (NERC CIP)

NERC CIP標準は、北米の電力網をサイバー攻撃から保護することを目的に設計されています。これらは、発電施設、送配電システム、電力会社など、大規模電力システム (BES) に対する責任を負うすべての組織に適用されます。その中核となるコンポーネントには、リスク管理、セキュリティコントロール、インシデント対応プログラム、コンプライアンス検証が含まれています。

米国国立標準技術研究所のサイバーセキュリティフレームワーク (NIST CSF)

NIST CSFは、クラウドベースのシステムをセキュリティで保護するための包括的なガイドラインとベストプラクティスのセットです。クラウドコンピューティングに関連するセキュリティリスクの評価と管理を、特定、保護、検知、対応、復旧の各中核機能を通じて支援します。これらの柱には、クラウド環境におけるサイバーセキュリティリスクを効果的に管理するための多くの制御が含まれています。

System and Organization Controls 2 (SOC 2)

SOC 2フレームワークは、クラウドサービスプロバイダーのセキュリティ、可用性、処理の整合性、機密性、プライバシーを評価するための、米国公認会計士協会 (AICPA) からのガイドラインを提供します。

SOC 2コンプライアンスには、ポリシーと手順、リスク評価、セキュリティコントロール、および独立した監査に関するSOC 2要件を満たしていることを確認するための、クラウドサービスプロバイダーのシステムと制御の独立した監査が含まれます。

サイバーセキュリティ成熟度モデル認証2.0（CMMC 2.0）

CMMCは、米国国防総省 (DoD) によって、DoDと協力している請負業者とサプライヤーが適切なサイバーセキュリティ対策を講じていることを確認するために作成されました。このフレームワークは、サプライヤーが実装する独立した監査を受けたセキュリティコントロールの範囲に基づいて、複数のレベルに分けられています。これらのレベルは、国防総省の契約において、定められた基準を達成していない組織が入札できないようにするために使用されます。

CMMC 2.0には、クラウドセキュリティコントロール、サードパーティによる制御の検証、モニタリング、コンプライアンス認証に関するクラウドセキュリティの具体的な要件が含まれています。

汎用フレームワーク

COBIT 5やCOSOをはじめとする、その他のフレームワークは、セキュリティガイダンスを提供していますが、クラウド固有のガイダンスは提供していません。これらのフレームワークはより汎用的であるため、セキュリティガイダンスに関するアドバイスを適用するには、クラウド環境に合わせた変更が必要になる場合があります。これらのフレームワークは、リスクと脆弱性を評価して制御のベースラインを確立し、コンプライアンス義務を満たすという共通のテーマに従っています。

ベストプラクティス

ビジネスのニーズに合ったクラウドセキュリティフレームワークを選択する際には、規制要件を満たすための適切な制御が実装されていることを確認することが重要です。クラウドリソースを保護するために、各フレームワークが独自の方法を使用している場合がありますが、次に示したように、すべての企業が従うべきいくつかの標準的なベストプラクティスが存在します。

• 潜在的な脅威と脆弱性を特定し、対応作業に優先順位を付け、リスクから保護するための適切なセキュリティコントロールを確立するために、リスク評価戦略を確立します。
• リスクを緩和し、規制要件へのコンプライアンスを維持するために、ポリシーと手順を適用します。
• 早期検知を促進し、脅威への迅速な対応を推進して、攻撃が拡大する前に阻止することで影響を最小限に抑えるために、モニタリングを実装します。

企業は、コンプライアンス慣行を継続的にレビューすることで、規制や業界のセキュリティの脅威の変化について最新の情報を得ていることを確認する必要があります。これらのベストプラクティスを実装することで、企業は、堅牢なセキュリティとプライバシーのフレームワークを確立し、クラウド環境を保護して、コンプライアンス要件に対応することができます。

クラウドストライクによる規制ニーズへの対応支援

クラウドストライクは、コンプライアンスおよび認証のフレームワークがお客様にとって非常に重要であることを理解しています。クラウドストライクは、このような要件を満たすお手伝いをし、お客様は安全かつ円滑な運営に自信を持つことができます。クラウドストライクの能力と技術を通じてデータセキュリティ確保と規制要件充足を目指すお客様にとって、外部機関による認証・認定は非常に重要です。

世界で最も包括的なCDR（クラウド検知・対応）を提供し、さまざまな業界や規制に特化したセキュリティポスチャとコンプライアンスを実施できるのは、クラウドストライクだけです。CrowdStrike Falcon® Cloud Securityは、クラウドワークロード、コンテナ、サーバーレス環境に対して99%という最高のMITRE ATT&CK検知カバレッジを誇り、ワークロードとコンテナ向けに設計された24時間365日体制のMDR（マネージド検知・対応）およびクラウド脅威ハンティングソリューションを備えています。CNAPP機能は、ランタイム前のコンテナイメージスキャンと、コントロールプレーンからのデータと完全に統合されたランタイム保護の両方を提供します。また、市場をリードする脅威インテリジェンスが完全に統合されているため、リアルタイムの検知と対応も手にすることができます。

CrowdStrike Falcon® Cloud Securityは、業界唯一のクラウドネイティブアプリケーション保護プラットフォーム (CNAPP) です。ワンクリックで展開できる単一のプラットフォームで、マルチクラウドおよびハイブリッド環境向けに統一された可視性とセキュリティを提供します。また、一貫性のあるセキュリティポリシーを提供することで、オンプレミス、ハイブリッド、マルチクラウド環境全体のコンプライアンスの確立を支援します。