クラウド セキュリティとは

クラウド コンピューティングとは、インターネット経由でソフトウェア、ハードウェア、ストレージを提供するホスティング型サービスです。迅速なデプロイメント、柔軟性、低い初期コスト、そしてスケーラビリティといった利点により、クラウドコンピューティングはあらゆる規模の組織でほぼ普及しており、多くの場合、ハイブリッドおよびマルチクラウドのインフラストラクチャアーキテクチャの一部となっています。

クラウドセキュリティとは、クラウドのデータ、アプリケーション、インフラストラクチャを脅威から保護するテクノロジー、ポリシー、コントロール、サービスのことを指します。

デモをリクエストする Cloud Security Report

クラウド セキュリティとは

クラウド セキュリティは共同責任

クラウドセキュリティは、クラウドプロバイダーと利用者の間で共有される責任です。共有責任モデルには基本的に3つの責任カテゴリーがあります。すなわち、 常に プロバイダーが負う責任、 常に 常に顧客が負う責任、 そしてサービスモデル(Infrastructure as a Service:IaaS、Platform as a Service:PaaS、Software as a Service:SaaS、例えばクラウドメール) に応じて変わる責任です。.

常時プロバイダーに課されるセキュリティの責任は、 常に インフラそのものの保護に加え、コンピュートインスタンスが稼働する物理ホストや物理ネットワーク、ストレージやその他のリソースへのアクセス、パッチ適用、設定管理に関連しています。

常時プロバイダーに課されるセキュリティの責任は、 常に 常に顧客が負うセキュリティ責任には、ユーザーおよびそのアクセス権限の管理(アイデンティティおよびアクセス管理)、クラウドアカウントの不正アクセスからの保護、クラウド上のデータ資産の暗号化および保護、さらにセキュリティ態勢(コンプライアンス)の管理が含まれます。

高度なクラウドセキュリティの課題上位7項目

パブリッククラウドには明確な境界が存在しないため、従来とは根本的に異なるセキュリティ上の現実が生じます。これは、自動化された継続的インテグレーション・継続的デプロイメント (CI/CD) や、分散型などの最新クラウドアプローチを採用することで、さらに複雑になります。 サーバーレス アーキテクチャや、Functions as a Serviceのような一時的な資産、 コンテナー.

いくつかの先進的な クラウドネイティブなセキュリティ に関連し、現在クラウド指向の組織が直面している課題と多層的なリスクには、次のようなものがあります。

  1. 攻撃対象の増加

    パブリッククラウド環境は、セキュリティが不十分なクラウドのイングレスポートを悪用し、クラウド内のワークロードやデータへ不正にアクセスしたり妨害したりするハッカーにとって、規模が大きく非常に魅力的な攻撃対象となっています。マルウェアやゼロデイ攻撃、アカウント乗っ取りをはじめとする多くの悪意ある脅威が、いまや日常的に発生しています。

  2. 可視性と追跡機能の欠如

    IaaSモデルでは、クラウドプロバイダーがインフラストラクチャ層を完全に管理し、顧客にその制御権を公開することはありません。可視性や制御の欠如は、PaaSおよびSaaSのクラウドモデルではさらに深刻になります。クラウドの顧客は、しばしばクラウド資産を効果的に識別・定量化したり、クラウド環境を可視化したりすることができません。

  3. 常に変化するワークロード

    クラウド資産は、大規模かつ高速で動的にプロビジョニングされ、廃止されています。従来のセキュリティツールでは、ワークロードが絶えず変化し、一時的に生成・終了するような柔軟で動的な環境では、保護ポリシーを適切に適用することができません。

  4. DevOps、 DevSecOps 、自動化

    高度に自動化された DevOps CI/CD の文化を取り入れた組織では、開発サイクルの早い段階で適切なセキュリティ管理を特定し、コードやテンプレートに組み込む必要があります。ワークロードを本番環境にデプロイした 後に 実施されるセキュリティ関連の変更は、組織のセキュリティ態勢を損なうだけでなく、市場投入までの時間を長引かせる可能性があります。

  5. きめ細かな特権とキーの管理

    多くの場合、クラウドユーザーの役割は非常に緩く設定されており、意図されている以上、または業務上必要以上の広範な権限が付与されています。一般的な例としては、トレーニングを受けていないユーザーや、データベース資産の削除・追加の業務上必要性がないユーザーに、データベースの削除や書き込み権限を与えてしまうケースが挙げられます。アプリケーションレベルでは、キーや権限が不適切に設定されることで、セッションがセキュリティリスクにさらされる可能性があります。

  6. 複雑な環境

    近年、企業で採用されるハイブリッドおよび マルチクラウド 環境において、一貫したセキュリティ管理を行うには、パブリッククラウドプロバイダー、 プライベート・クラウド プロバイダー、オンプレミス環境 (地理的に分散した組織向けの支店オフィスのエッジ保護を含む) すべてでシームレスに機能する手法とツールが必要です。

  7. クラウド コンプライアンスとガバナンス

    すべての主要なクラウドプロバイダーは、PCI 3.2、NIST 800-53、HIPAA、GDPRなど著名な認定プログラムの多くと連携しています。ただし、ワークロードおよびデータプロセスが適切に準拠していることを確認するのはお客様の責任です。視認性の低さとクラウド環境の変化の速さを考えると、継続的なコンプライアンスチェックを行い、誤設定に関するリアルタイムのアラートを発するツールを使用しない限り、コンプライアンス監査の実施はほぼ不可能です。

ゼロトラストと導入のメリット

ゼロトラストという用語は、 Zero TRUST 2010年、当時Forrester ResearchのシニアアナリストであったJohn Kindervag氏によって初めて導入されました。クラウドセキュリティにおけるゼロトラストの基本原則は、ネットワーク内外のあらゆるユーザーやシステムを自動的に信頼せず、すべてを認可・検査・保護することで検証することです。

例えば、ゼロトラストは、ユーザーが職務を遂行するために必要なリソースへのアクセスのみを許可する最小権限のガバナンス戦略を推進します。同様に、開発者に対して、Web向けアプリケーションが適切に保護されていることを確認するよう求めています。例えば、開発者がポートを適切にブロックしていなかったり、「必要に応じて」の権限管理を実装していなかったりすると、アプリケーションを乗っ取ったハッカーが、データベースのデータを取得・改ざんする権限を持ってしまう可能性があります。

さらに、ゼロトラストネットワークはマイクロセグメンテーションを利用して、クラウドネットワークセキュリティをよりきめ細かいものにしています。マイクロセグメンテーションは、データセンターやクラウド環境にセキュアゾーンを作り出し、ワークロードを互いに分離するとともに、各ゾーン内の資産を保護し、ゾーン間のトラフィックに対してもポリシーを適用して保護します。

堅牢なクラウドセキュリティの6つの柱

クラウドプロバイダ、例えば Amazon Web Services (AWS)、 Microsoft Azure (Azure)、および Google Cloud Platform (GCP)は多くのクラウドネイティブのセキュリティ機能とサービスを提供していますが、エンタープライズグレードのセキュリティを実現するには、サードパーティの補助的なソリューションが不可欠です。 クラウドワークロード保護、クラウド環境での漏洩、データ漏洩、標的型攻撃からクラウド ワークロードを保護します。統合されたクラウドネイティブおよびサードパーティ製のセキュリティスタックだけが、以下の業界ベストプラクティスを実現するために必要な、高度な可視性とポリシーに基づく詳細な管理機能を提供します。

  1. 複雑なインフラストラクチャにわたるきめ細かなポリシーベースのIAMと認証制御

    個々のIAMレベルで管理するのではなく、グループやロール単位で作業することで、ビジネス要件の変更に応じたIAM定義の更新を容易にできます。グループや役割には、そのタスクを実行するために必要な資産やAPIへの最小限のアクセス権限のみを付与してください。特権が広範囲に及ぶほど、認証レベルも高くなります。また、IAMの適切な管理、強力なパスワードポリシーの適用、権限のタイムアウト設定などを怠らないようにしてください。

  2. ゼロトラスト クラウド向けのネットワーク セキュリティ 管理(論理的に隔離されたネットワークおよびマイクロセグメント間)

    ビジネスに不可欠なリソースやアプリケーションは、クラウドプロバイダーのネットワーク内で論理的に分離された領域に配置されます。例としては、AWSやGoogleのVirtual Private Cloud、AzureのvNETなどがあります。サブネットを使用して各ワークロードを相互にマイクロセグメント化し、サブネットゲートウェイできめ細かなセキュリティポリシーを適用します。ハイブリッドアーキテクチャでは、専用のWANリンクを使用し、静的なユーザー定義ルーティングを設定することで、仮想デバイスや仮想ネットワークとそのゲートウェイ、さらにパブリックIPアドレスへのアクセスをカスタマイズします。

  3. 変更管理やソフトウェア更新などの仮想サーバー保護ポリシーとプロセスの適用:

    クラウドセキュリティのベンダーは、強力なクラウドセキュリティ態勢(ポスチャー)管理を提供しており、 クラウド セキュリティ ポスチャー管理仮想サーバーをプロビジョニングする際に、ガバナンスやコンプライアンスのルールやテンプレートを一貫して適用し、設定の逸脱を監査し、可能な限り自動で修正を行います。

  4. すべてのアプリケーション (特にクラウドネイティブの分散アプリケーション) を次世代Webアプリケーションファイアウォールで保護

    これにより、Webアプリケーションサーバーとの間のトラフィックを詳細に検査・制御し、トラフィックの変化に応じてWAFルールを自動で更新するとともに、ワークロードを実行するマイクロサービスにより近い場所で展開されます。

  5. データ保護の強化

    すべてのトランスポート層での暗号化による強化されたデータ保護、安全なファイル共有と通信、継続的なコンプライアンスリスク管理に加え、誤って設定されたバケットの検出や孤立したリソースの終了など、データストレージリソースの適切な管理・衛生状態の維持を行います。

  6. 脅威インテリジェンス :既知および未知の脅威をリアルタイムで検出・修復

    サードパーティのクラウドセキュリティベンダーは、集約されたログデータを資産管理システムや構成管理システム、脆弱性スキャナなどの内部データ、および脅威インテリジェンスフィード、ジオロケーションデータベースなどの外部データとインテリジェントに相互参照することで、クラウドネイティブなログの大規模で多様なストリームにコンテキストを追加します。また、脅威の状況を視覚化して照会し、インシデント対応時間を短縮するのに役立つツールも提供します。AIベースの異常検出アルゴリズムは、未知の脅威を捕捉するために適用され、その後フォレンジック分析を経てそのリスクプロファイルを決定します。侵入やポリシー違反に関するリアルタイムのアラートにより、修復までの時間が短縮され、場合によっては自動修復ワークフローがトリガーされることもあります。

チェック・ポイント CloudGuardソリューションについて詳しくはこちら

チェック・ポイントの統合型 CloudGuard クラウドセキュリティプラットフォームは、クラウドプロバイダーのネイティブなセキュリティサービスとシームレスに統合し、クラウドユーザーが共有責任モデルにおける自身の役割を果たしつつ、クラウドセキュリティのすべての柱にわたってゼロトラストポリシーを維持できることを保証します。その柱とは、アクセス制御、 ネットワーク セキュリティ、仮想サーバーのコンプライアンス、ワークロードとデータ保護、脅威インテリジェンス。

クラウドセキュリティの柱を示す図