クラウド セキュリティとは
クラウド セキュリティとは、クラウド環境内のアプリケーション、データ、インフラストラクチャの保護に使用されるサイバーセキュリティ ポリシー、ベスト プラクティス、制御、技術のことです。特に、クラウド セキュリティは、内部および外部の脅威からのストレージとネットワークの保護、アクセス管理、データ ガバナンスとコンプライアンスを保証します。
クラウド コンピューティングは、イノベーションを加速し、今日の消費者の期待に応えるために必要なアジリティと柔軟性を手に入れたいと考えている企業にとって、最適なテクノロジーとなっています。しかし、より動的なクラウド環境に移行するには、オンライン インフラストラクチャ、アプリケーション、プラットフォーム全体でデータを安全に保つための新しいセキュリティ手法が必要です。
Google Cloud のセキュリティ モデルと、Google が高度なセキュリティ プロダクトとソリューションによりセキュリティ上の困難な課題の解決にいかに貢献しているかをご覧ください。
クラウド セキュリティの定義
クラウド セキュリティは、クラウドベースのアプリケーション、データ、インフラストラクチャを保護するための一連のサイバーセキュリティ対策です。この例として、不正アクセス、オンライン攻撃、インサイダー脅威からクラウド環境を保護するために、セキュリティ ポリシー、セキュリティ手法、セキュリティ対策のほか、Identity and Access Management や データ損失防止(DLP)ツールなどの他のテクノロジーを採用することが挙げられます。
クラウド セキュリティの仕組み
クラウド セキュリティは主に、ポリシー、プロセス、テクノロジーをまとめて実装する方法に重点を置いており、データ保護、規制遵守のサポート、ユーザーとデバイスのプライバシー、アクセス、認証の管理を行うことができます。
クラウド サービス プロバイダ(CSP)は通常、共有責任モデルに従います。つまり、クラウド コンピューティング セキュリティの実装はクラウド プロバイダとユーザーの両方の責任となります。これは、クラウド プロバイダに属するセキュリティ タスクとユーザーの義務を定義する責任の枠組みと考えることができます。復元力の高いクラウド セキュリティ戦略を構築するためには、プロバイダのセキュリティの責任範囲がどこまでで、どこからがユーザーの責任となるのかを理解することが重要です。
大まかに言うと、CSP はクラウドとそのコア インフラストラクチャに常に責任を負い、お客様はネットワーク制御、ID およびアクセス管理、データ、アプリケーションなど、クラウド内で実行されているものをすべて保護することが期待されます。
共有責任モデルは、使用するサービス プロバイダと使用するクラウド コンピューティング サービスモデルによって異なります。プロバイダが管理するほど、保護を強化できます。
一般的な仕組みは次のとおりです。
| クラウド コンピューティング サービスモデル | ユーザーの責任 | CSP の責任 |
| Infrastructure as a Service(IaaS) | ユーザーがデータ、アプリケーション、仮想ネットワーク制御、オペレーティング システム、ユーザー アクセスを保護します。 | クラウド プロバイダがすべてのパッチ適用と構成を含むコンピューティング、ストレージ、物理ネットワークを保護します。 |
| Platform as a Service(PaaS) | ユーザーがデータ、ユーザー アクセス、アプリケーションを保護します。 | クラウド プロバイダがコンピューティング、ストレージ、物理ネットワーク、仮想ネットワーク制御、オペレーティング システムを保護します。 |
| Software as a service (SaaS) | データとユーザー アクセスの保護はユーザーが担います。 | クラウド プロバイダがコンピューティング、ストレージ、物理ネットワーク、仮想ネットワーク制御、オペレーティング システム、アプリケーション、ミドルウェアを保護します。 |
クラウドのセキュリティが重要な理由
オンプレミス環境からクラウドに移行する企業が増え、データ ガバナンスとコンプライアンスについて厳しい規制が敷かれる中、セキュリティのアプローチを見直すことが不可欠です。
ハイブリッドでマルチクラウド化が進む世界において、希望する場所と時期に、これまで以上に自由に構築を行えるようになっています。ただしこれは、何者かによるネットワークへのアクセスを阻止するよりも、セキュリティが非常に複雑になっていることを意味します。残念なことに、多くの組織ではセキュリティを後で考えるものとして扱いがちであり、加速するデジタル トランスフォーメーションを追いかけるばかりで、ベスト プラクティスをあきらめてしまうこともあります。その結果、攻撃者はクラウドベースの標的を簡単に大きな利益を得られる対象と見なし、それに応じて脆弱性を悪用しようと戦術を適応させます。
クラウド セキュリティで攻撃と脆弱性の完全な防止を保証することはできませんが、適切に設計されたクラウド セキュリティ戦略は、侵害の防止や損害の軽減、コンプライアンスの改善、より強力なお客様の信頼の構築に大いに役立ちます。
クラウドのセキュリティ リスクと課題
クラウドは、インサイダー脅威、データ侵害、データ損失、フィッシング、マルウェア、DDoS 攻撃、脆弱な API など、ユーザーが従来の環境で直面する可能性のある同様のセキュリティ リスクに悩まされています。
しかし、ほとんどの組織は次のようなクラウド セキュリティの課題に直面する可能性があります。
可視化の欠如
クラウドベースのリソースは、企業ネットワーク外に配置され、サードパーティが所有するインフラストラクチャで動作します。そのため、従来のネットワーク可視化ツールはクラウド環境には適しておらず、すべてのクラウド アセット、これへのアクセス方法、これへのアクセス権を持つユーザーを把握することは困難です。
構成ミス
クラウド セキュリティの設定の誤りは、クラウド環境におけるデータ侵害の主要な原因の一つです。クラウドベースのサービスはアクセスやデータ共有を簡単に行えるように作られていますが、多くの組織はクラウド インフラストラクチャを保護する方法について十分に理解していない可能性があります。そのことが、デフォルトのパスワードをその使用する、データ暗号化を有効にしない、権限管理を誤って管理するなどの構成ミスにつながる可能性があります。
アクセス管理
クラウドのデプロイは、公共のインターネットから直接アクセスできるため、あらゆる場所やデバイスから簡単にアクセスできます。それと同時に、攻撃者は認証情報の侵害や不適切なアクセス制御によって承認済みリソースを簡単に入手できます。
動的なワークロード
クラウド リソースは、ワークロードのニーズに応じてプロビジョニングし、動的にスケールアップまたはスケールダウンできます。ただし、従来のセキュリティ ツールの多くは、絶えず変化し、数秒で追加または削除できる一時的なワークロードを含むフレキシブル環境にポリシーを適用することはできません。
コンプライアンス
クラウドの導入に際しては、セキュリティ侵害が発生していなくても違反と認定されることのある、規制や内部コンプライアンスのより一層の強化が求められます。クラウド環境でコンプライアンスを管理することは、継続的かつ困難なプロセスです。データとそのアクセス方法を完全に制御できるオンプレミスのデータセンターとは異なり、企業がすべてのクラウド アセットと対策を確実に識別し、それらを該当の要件と対応付け、すべてを適切に文書化することははるかに困難です。
クラウド セキュリティのメリット
クラウド セキュリティはしばしばクラウド導入の障壁とされてきましたが、現実には、クラウドの安全性はオンプレミス セキュリティと同等です。実際、クラウド コンピューティング セキュリティには、企業にとって、全体的なセキュリティ態勢を改善できる多くの利点があります。
大手クラウド プロバイダは、安全性を重視した設計のインフラストラクチャに加え、ゼロトラスト ネットワーク アーキテクチャから Identity and Access Management、多要素認証、暗号化、継続的なロギングとモニタリングまですべてを含む、プラットフォームとそのサービスに直接組み込まれた多層セキュリティを備えています。さらに、クラウドにより、広範囲でのセキュリティの自動化と管理が可能になります。
その他の一般的なクラウド セキュリティのメリットは次のとおりです。
存在感の強化
統合されたクラウドベース セキュリティ スタックだけが、侵害やその他の潜在的な脅威から保護するために不可欠なクラウド リソースとデータを一元的に可視化できます。クラウド セキュリティは、クラウド環境で何が起こっているかを正確に理解するため、イベントをロギング、モニタリング、分析するためのツール、テクノロジー、プロセスを提供します。
一元化されたセキュリティ
クラウド セキュリティでは、クラウドベースのネットワークをまとめて保護し、多数のデバイス、エンドポイント、システムの効率的かつ継続的なモニタリング、分析を実現します。また、ソフトウェアの更新やポリシーを 1 か所で一元管理でき、障害復旧計画の策定と実施も行えます。
コストの削減
クラウド セキュリティでは、セキュリティの強化や、セキュリティ アップデートと構成の処理に貴重なリソースを使用するための専用ハードウェアに投資する必要はありません。CSP は、人手のほとんどかからない自動保護機能備えた高度なセキュリティ機能を提供します。
データ保護
優れたクラウド コンピューティング プロバイダは、データ セキュリティを念頭に置いて設計し、強固なアクセス制御、保存時および転送時のデータの暗号化、場所を問わずクラウドデータを保護するデータ損失防止(DLP)を提供します。
クラウド コンプライアンス
クラウド プロバイダは、国際的なコンプライアンス基準と業界のコンプライアンス基準の両方を満たすために最大限の努力を払っており、多くの場合、セキュリティ対策、プライバシー対策、コンプライアンス対策の厳格な監査を独自に受けています。
高度な脅威検出
評判の高い CSP はまた、最先端のテクノロジーと高度なスキルを持つ専門家に投資して、現実の脅威と未知の脅威の両方を現実世界とネットワーク内でリアルタイムに検出できるリアルタイムのグローバル脅威インテリジェンスを提供しています。
クラウド セキュリティ ソリューションの種類
クラウド セキュリティは進化し続けており、新たなに出現するセキュリティ上の脅威にも適応しています。その結果、現在、さまざまなタイプのクラウド セキュリティ ソリューションが市販されていますが、以下のリストはすべてを網羅しているわけではありません。
- Identity and Access Management(IAM): IAM サービスとツールにより、管理者は特定のクラウドベース リソースやオンプレミス リソースにアクセスできるユーザーを一元的に管理、制御できます。IAM を使用すると、サービスに対するユーザーの操作を積極的にモニタリングして制限できるため、組織全体にポリシーを適用できます。
- データ損失防止(DLP): DLP を使用すると、規制対象のクラウドデータを自動的に検出、分類、匿名化する機能を提供することで、保存や処理するデータの可視化が可能になります。
- セキュリティ情報およびイベント管理(SIEM): SIEM ソリューションは、セキュリティ情報とセキュリティ イベント管理を組み合わせて、クラウド環境における脅威に対する自動モニタリング、検出、インシデント対応を実現します。SIEM ツールを使用すると、AI と ML のテクノロジーにより、アプリケーションとネットワーク デバイス全体で生成されたログデータを調査して分析し、潜在的な脅威が検出された場合に迅速に対応できます。
- 公開鍵基盤(PKI): PKI は、デジタル証明書を使用して安全で暗号化された情報交換を管理するために使用されるフレームワークです。通常、PKI ソリューションはアプリケーションの認証サービスを提供し、データが転送中に侵害されていないか、機密性を保持しているかを確認します。組織はクラウドベースの PKI サービスを使用することで、ユーザー、デバイス、サービスの認証に使用されるデジタル証明書の管理とデプロイを行うことができます。