クラウドセキュリティとは

クラウドセキュリティとは？

クラウドセキュリティは、単独で成り立つものではなく、IT 管理者、クラウドのプロセスやポリシー、クラウドに存在するデータやアプリケーションを保護するセキュリティソリューションなど、複数の要素で構成されるエコシステムです。クラウドセキュリティの対策は、データの保護だけでなく、規制の遵守のサポートや、顧客のプライバシーの確保、認証ルールの設定といったさまざまな目的を果たすために導入されます。

クラウドセキュリティは完全にカスタマイズ可能で、ビジネス独自のニーズを満たします。また、構成や認証ルールは一元的に変更・管理できます。事業は信頼できるクラウドセキュリティ戦略を配備することで、貴重な時間をクラウド環境の管理に費やす必要がなくなります。

顧客や企業の秘密性の高いデータがクラウドに保存されており、また、クラウドに移行する組織は増加しているため、クラウドセキュリティ戦略の導入は欠かせないものとなっています。ここ数年でセキュリティ犯罪は進化し、組織に対して高度で検知が困難な攻撃を仕掛けてくるようになりました。どのようなクラウドを選択しても、攻撃者の手口はさらに巧妙化し、大手企業のクラウドであったとしても確実に侵入しようとします。

クラウドセキュリティが重要な理由

どのような組織にとっても、データとアプリケーションのセキュリティは重要です。特にクラウド環境においては、セキュリティを最優先事項としなければなりません。クラウドの需要は高まる一方であり、デジタルトランスフォーメーションを受け入れて成功を収めた企業の多くにとって、「クラウドファースト」は急速に優先事項となっています。

あらゆる業界や地域において、クラウドは企業規模を問わず、多数の利点を提供します。適切なセキュリティツールとソリューションを利用することで、クラウドのメリットを活用し、俊敏性、柔軟性、顧客対応、コスト効率を向上できます。最適な方法でクラウド環境をセキュリティ保護することによって、クラウドが提供するあらゆるメリットを活用し、データやアプリケーションが保護されているという安心を得ることができます。

この他にも、クラウドセキュリティによって以下のことを実現できます。

• データ侵害のリスクを低減する

• 従業員のリモートワークを促進

• ディザスタリカバリ戦略を強化する

• 業界や政府による規制を継続的に遵守する

• 脆弱性を低減し、ユーザーに適切なアクセスレベルを提供する

企業が直面するクラウドセキュリティの課題

適切なクラウドセキュリティ戦略がなければ、クラウドコンピューティングアーキテクチャにおいて深刻なセキュリティ上の問題に直面する可能性が高くなります。組織が直面する最も一般的なセキュリティ上の脅威およびリスクは次のとおりです。

1. 機密データの損失: クラウドに保管されているデータの大半は、機密または非公開であるか、知的財産を含んでいます。企業のクラウドサービスが侵害されると、サイバー攻撃者はこうしたデータに容易にアクセスできてしまいます。しかし、仮に攻撃されなかったとしても、一部のサービスの利用条件にはアップロードされたデータの所有権を主張する内容が書かれている場合があり、これもまたリスクを呈します。
2. エンドユーザーに対する制御の喪失：適切な把握や制御が行われていないと、エンドユーザーによって無意識のうちに、また、場合によっては故意に組織がリスクにさらされる可能性があります。例えば、まもなく退職する営業担当者が顧客の連絡先レポートをダウンロードし、個人のクラウドストレージサービスにそのデータをアップロードした場合、その顧客データは、営業担当者の転職先の競合他社で利用される可能性があります。
3. マルウェア：クラウドサービスは、データ漏出の格好の標的となります。また、サイバー攻撃者がコンピュータから不正なデータ転送を行うプロセスとして悪用される可能性があります。残念ながら、こうしたサイバー犯罪者は、既知の手法と隠された手法の両方を使用し、検出が難しいデータ漏出の新たな手法を考え出します。
4. 契約の違反：企業間で契約を締結する際には、データの使用方法やユーザーのアクセス権限に制限を設けることが一般的です。しかし、従業員が制限されているデータを許可なくクラウドに移動させると、契約に違反し、法的措置を取られる可能性があります。
5. 企業評価の低下：データが侵害されると、組織に対する顧客からの信頼が失われる傾向があります。顧客からの信頼を失った場合、収益が減少するリスクが高まります。Target（ターゲット）という企業で起きた、クレジットカードデータの侵害の有名な事件があります。サイバー攻撃者が 4,000 万件の顧客のクレジットカードやデビットカードの情報を盗み出したこの事件による被害の 1 つが、顧客からの信頼の喪失です。顧客の信頼を失うと、当然ながら「顧客離れ」と呼ばれる現象が発生します。以前はその組織に対する顧客満足度やロイヤリティが高い顧客であったとしても、データ侵害による信頼の喪失により、他社の利用を選択します。
6. 企業評価の低下：データ侵害の後に企業が直面する可能性が高い最も深刻な結果の 1 つが、収益の損失です。顧客の機密である金融情報を保護する能力に信頼を失うと、、企業の顧客ロイヤリティは他社へと移り、侵害された企業は莫大な損失を被ることになります。データ侵害によって発生する平均コストは 400 万ドルであり、これは言うまでもなく、多くの組織が負担できない金額です。

クラウドセキュリティを導入するメリット

クラウドを導入する企業が増えるなか、クラウドのセキュリティ対策を確実に導入することが必須条件となっています。セキュリティ侵害による被害は深刻であり、信頼性のあるクラウドセキュリティの価値は莫大です。クラウドセキュリティを導入すべき理由はいくつかあります。

セキュリティの一元管理

あらゆるアプリケーションやデータをクラウドで一元管理できるのと同様に、クラウドセキュリティでもあらゆる保護機能を一元化できます。クラウドベースのネットワークには多数のデバイスやエンドポイントが含まれ、トラフィックの分析やフィルタリングが強化されます。自動化されたクラウドセキュリティサービスによって、人間が介入することなく潜在的な脅威が回避されるため、企業は監視プロセスに関与することが少なくなります。さらに、あらゆる保護ポリシーを一元管理できるため、ディザスタリカバリ計画も容易に導入・実行できます。

コストの削減

クラウドベースのストレージやセキュリティソリューションを利用することで、専用ハードウェアの数を完全に排除できなくても、削減できます。これにより設備投資を少なくし、管理にかかるオーバーヘッドを削減できます。クラウドセキュリティの導入により、IT チームは年中無休のセキュリティ監視から解放され、より価値が高いプロジェクトに注力できるようになります。

管理の軽減

クラウドセキュリティがもたらす多数のメリットの 1 つは、手動によるセキュリティ構成や頻繁なセキュリティ更新を排除できる点です。こうしたタスクは、従来の環境では時間がかかり企業のリソースを消費する原因になりかねないものでした。クラウドコンピューティングに移行することで、あらゆるセキュリティ管理を一元化し、監視することなく全体を管理できます。

高信頼性

全てを人間が行うクラウドモニタリング戦略であれば、発生する脅威のほとんどは検知できるかもしれませんが限界があります。一方でクラウドセキュリティを活用すれば、人為的ミスが発生する可能性を一切排除できます。適切なクラウドセキュリティ対策は、極めて高い信頼性を実現し、使用している場所やデバイスを問わず、ユーザーはクラウドからデータやアプリケーションに安全にアクセスできるようになります。

クラウドセキュリティ戦略が重要な理由

クラウドモデルは脅威に対して脆弱な傾向があります。さらに、従来、制御性、管理性が高く、セキュリティが堅牢とされているオンプレミスアーキテクチャであっても、依然として脅威にさらされるリスクがあります。残念ながら、サイバー犯罪者は攻撃方法を洗練し、強化しているため、、企業は堅牢で確かなクラウドセキュリティ戦略を確立し、データの盗難、漏洩、破損、削除を防止する必要があります。

以前は、従来の人間による IT セキュリティ対策で、セキュリティ侵害は十分に防止することができました。しかし、現在では、24 時間体制で人間が作業を行う時間や費用は十分に確保されていません。また、機械的で面倒な作業は、セキュリティプロトコルの間違いやギャップが発生する原因になりかねません。クラウドセキュリティによって従来の IT セキュリティの機能を実現し、企業がクラウドコンピューティングの能力を強化すると同時にセキュリティを維持し、プライバシーやコンプライアンスの要件を確実に満たせるようにすることで、こうした懸念は解消できます。

クラウドセキュリティの 5 つの必須機能

1. 高品質な境界ファイアウォールソリューション：データパケットの送信元と宛先のチェック以上の機能を備えた、境界ファイアウォールを利用する必要があります。優れたファイアウォールは、パケットの実際のコンテンツを検査してファイルタイプや整合性を特定など、より高度なセキュリティ機能を提供します。
2. イベントログを使用した堅牢な侵入検知：金融サービスや医療などの規制が厳しい業界では、堅牢な侵入検知システムが必須となります。このシステムによって侵入の試行がログに記録され、潜在的な問題としてアラートが届きます。
3. アプリケーションとデータベースを保護する追加のファイアウォール：境界ファイアウォールが外部の攻撃者からの防御を可能にする一方で、内部ファイアウォールは、不正アクセスを受けたユーザー認証情報や、有効なまま放置されたアカウント情報を利用してシステムに侵入する元従業員など、内部からの攻撃を回避可能にします。
4. 保存データの暗号化：クラウド環境に保存されるデータ暗号化は極めて重要です。機密情報の悪用を防ぐのに有効な方法です。
5. 強力なセキュリティ機能を備えた最高ティアのデータセンター：ハッカーに対する最終的な防御としては、組織やクラウドプロバイダが最高の物理的セキュリティ機能を備えたティア IV データセンターを利用していることが重要です。最も高度なセキュリティを備えているデータセンターでは、武装した警備員、常時稼働するカメラによる監視、生体認証システムによる厳重なアクセスプロトコルなど、物理インフラを保護するために徹底的な対策が行われています。

堅牢なクラウドセキュリティの柱

プライベートクラウド、またはパブリッククラウドのいずれかを利用、または両方を利用している場合でも、クラウドセキュリティに関する共通の柱として検討すべき事項がいくつかあり、セキュリティソリューションを探したり組織に独自のセキュリティ機能を設計したりする際にこれらの要素を考慮する必要があります。

アクセス管理が重要

権限を付与されたユーザーのみが適切なタイミングでクラウドデータやアプリケーションにアクセスできるようにすることは、クラウドセキュリティのガイドラインで最も重要なことの 1 つです。IDアクセス管理ソリューションが大いに役立ちます。

「ゼロトラスト」による最大限の制御

クラウドシステムの各部分を戦略的に分離することで、悪意を持った攻撃者によるアクセスを防止できます。ゼロトラストの原則を活用すると、システムが攻撃者に侵入されにくくなります。厳重なセキュリティポリシーを策定し、機密性が高いワークロードを一般的なデータから分離することが重要です。

変更管理プロトコルを確実に遵守

ほとんどのクラウドプロバイダは、変更管理プロトコルや、変更リクエストの処理や新規サーバーのプロビジョニングなどに利用できるツールを提供しています。通常、こうしたツールには、不審な動作や標準プロトコルから逸脱するユーザーを特定できる監査機能が含まれているため役立ちます。

WAF を利用してトラフィックを監視

Webアプリケーションファイアウォール（WAF）を利用すると、サーバーやアプリケーションで送受信されるあらゆるトラフィックを可視化できます。これも不審な動作やアクションを検出するための 1 つの方法です。また、潜在的なセキュリティの問題がエスカレートする前に対処できる場合があります。

あらゆる場所のデータを暗号化

全てのトランスポート層でデータを暗号化することで、データのセキュリティを強化できます。また、ファイルの共有、通信アプリケーションの使用、データの保存、アクセス、送信など、システム内のあらゆる場所にセキュリティプロトコルを導入します。

監視の徹底

継続的なモニタリングを行い、クラウド環境の状況を常に把握します。一部のクラウドセキュリティソリューションでは、クラウドのネイティブログと他のセキュリティソリューションによるログ（アセット管理、脆弱性スキャナー、変更管理、さらには外部の脅威に関するインサイトなど）を比較できます。

クラウドセキュリティモデルへのアプローチ方法

クラウドセキュリティとプライベートクラウド

多くの組織は、独自のクラウド内なら秘密データをより適切に保護できるという考えから、プライベートクラウド環境を選択しています。しかし、パブリッククラウドを提供する企業では、パブリッククラウドのセキュリティリスクやその対処方法に精通した専任のセキュリティエキスパートを採用されているため、パブリッククラウドの方が一部のプライベートクラウドよりもセキュアな場合もあります。自社でクラウドを管理する場合、データを適切にセキュリティ保護するために必要な IT チームやスキルセットを持たない組織もあります。

プライベートクラウド環境では、物理的なセキュリティはあまり効果がありません。その理由は、多くの組織が物理インフラを保護する堅牢なセキュリティソリューションを導入する意思がないか、あるいは費用をかけることができないためです。

エキスパートは、プライベートクラウドを保護する次のベストプラクティスを推奨しています。

• 暗号化の利用（特に転送データ）：これにより、プライベートクラウドとエンドユーザーのデバイスの間の転送時に情報をセキュリティ保護することができます。仮想プライベートネットワーク（VPN）は、ユーザーのデバイスを攻撃から守ることができます。セキュアソケットレイヤ（SSL）も、転送データのセキュリティを維持するのに有効なプロトコルです。

• クラウドへのアクセスをロックダウンする：権限を付与されたユーザーのみがプライベートクラウドに保存されたデータにアクセスできるように、堅牢な認証ソリューション (できれば多要素認証）またはその他のアクセス制御アプリケーションを使用します。ファイアウォールも、不正アクセスをブロックするのに有効です。

• ソフトウェアにパッチ適用や更新を行って脆弱性を低減する：攻撃者にとって最もよく利用される侵入ポイントは古い状態のソフトウェアです。オペレーティングシステムやアプリケーションには、パッチを確実に適用します。

• クラウド内のアクティビティを監視する：プライベートクラウド内の状況をモニタリングすることは、問題や不正アクセスを検出する有効な方法です。ログ管理ツールを使用すると、クラウド内でデータにアクセスしたユーザーやアクセスのタイミングを把握できます。

• クラウドデータを定期的にバックアップする：データの最新のバックアップを保持することで、攻撃に備えます。バックアップは、プライベートクラウド以外の場所に保存し、常にアクセス可能で使用できる状態にしておきます。

クラウドセキュリティとプライベートクラウド

パブリッククラウドのセキュリティは、プライベートクラウドのセキュリティと大きく異なります。プライベートクラウドの特徴は単一テナントですが、パブリッククラウドはマルチテナントであり、通常はパブリックインターネットを介してアクセスできます。

一般的に、パブリッククラウドインフラを利用する組織は、物理的なセキュリティについて懸念を持つ必要はありません。そのセキュリティについては、パブリッククラウドのプロバイダが対処するからです。パブリッククラウドを介して SaaS（サービスとしてのソフトウェア）を使用している場合、IT 部門では、認証、ファイアウォール、保存データの暗号化についても心配する必要がありません。

パブリッククラウドで IaaS（サービスとしてのインフラ）モデルを利用している場合、組織には「責任共有」という概念が適用されます。この概念では、クラウドプロバイダはセキュリティの一部を提供し、組織は他の一部を担当することになります。具体的には、クラウドプロバイダはクラウドプラットフォーム自体のセキュリティを確保することに責任を持ち、一方で組織はクラウド内の実際のデータや、クラウドアプリケーションへのユーザーアクセスのセキュリティを確保する必要があります。また、パブリッククラウド内のリソースやデータにアクセスするユーザーの制御も組織が責任を持ちます。

パブリッククラウドのデータやアプリケーションのセキュリティ確保に最も重要なベストプラクティスの 1 つは、自社の責任を熟知することです。セキュリティに関する自社の詳細な要件を理解し、クラウドプロバイダが責任を負う内容を把握することが重要です。

エキスパートは、パブリッククラウドのあらゆる側面について把握するよう推奨しています。「見えないものは守れない」という言葉があるほどです。継続的なモニタリングと自動化を実装し、セキュリティ制御に対処することもスマートな方法です。また、本番から、開発、QA に至るまで、自社環境の全てを保護できるセキュリティソリューションの実装が必要です。

クラウドセキュリティとハイブリッドクラウド

現在、ほとんどの組織は異なる種類のクラウドを混在させて利用しており、パブリッククラウド、プライベートクラウド、またはその両方を利用するだけでなく、オンプレミスのインフラも維持している場合があります。こうしたハイブリッドクラウドモデルは、標準的なものとなりつつあり、組織には、さまざまな環境でセキュリティを確保する方法を把握することが求められています。

セキュリティやモニタリングを目的とするソリューションでは、これまでハイブリッドクラウドモデルはあまり考慮されておらず、従来はオンプレミスインフラ、もしくはクラウドのいずれかのみのために構築されていました。そのため、ハイブリッドクラウドモデルのセキュリティをエンドツーエンドで確保しようすると、さまざまなポイントソリューションを利用することになり、うまく連携できない状況が発生します。

そこで、第一のベストプラクティスとなるのが、ハイブリッドクラウドを念頭に設計されたセキュリティソリューションを見つけることです。その他の推奨事項としては、以下のことが挙げられます。

• 環境全体を把握する

• セキュリティを最大限自動化および一元化する

• アクセス制御ソリューションを利用し、データセンター間のトラフィックを制御する

• 一貫性のある方法で環境を監査およびモニタリングする

• 最小限の権限とゼロトラストの原則を導入する

• 柔軟性を確保するため、オープンテクノロジー（ツールやインフラに依存しないもの）を活用する

• ハイブリッド環境全体に適用可能なセキュリティ標準やセキュリティプロトコルを策定する

• データとアプリケーションの最新のバックアップを保持する

クラウドセキュリティとマルチクラウド

クラウドセキュリティは、プライベートクラウドからパブリッククラウドまでのあらゆるクラウドモデルにメリットをもたらしますが、マルチクラウド環境では特にメリットが大きくなります。GigaOm によると、企業の 92% は、柔軟かつスケーラブルな特性を活用し、すでにハイブリッドまたはマルチクラウド戦略に移行しています。

デフォルトでは、マルチクラウド環境はほかのクラウドオペレーティングシステムよりも複雑ではありませんが、「一元化」を実現し、一般的な実装を失敗することなく実行するには、制御や可視化に関するかなりの取り組みが必要になります。

しかし、マルチクラウド環境に対する完全な可視性の維持は複雑な作業であり、多くの組織はクラウド専門のスペシャリストを必要とします。複雑さが増すことで、環境を維持するために必要なコストも上昇します。

このように可視性が確保されていないと、チェックされなかったセキュリティリスクが通過し、マルチクラウドに入り込む可能性があります。たとえスペシャリストを採用していたとしても、人為的ミスやますます高度化するサイバー攻撃によって、24 時間体制のセキュリティの実現は事実上不可能となります。自動化されたクラウドセキュリティ対策の実装は、マルチクラウドシステムの安全性を確保するとともに、マルチクラウドスペシャリストの専任チーム維持に伴う負担やコストの最小化に非常に重要です。

クラウドセキュリティコントロールとは

「クラウドセキュリティコントロール」という用語は、攻撃に対してクラウドインフラのセキュリティを確保し、人為的ミスやクラウド環境内のその他の脆弱性を回避するためのあらゆるベストプラクティス、ガイドライン、推奨事項を指します。企業では、クラウドセキュリティコントロールをチェックリストやテンプレートのように活用し、クラウドセキュリティソリューションの導入にあたって、あらゆる角度から検討しているかを確認できます。

「クラウドコンピューティング環境のセキュリティ確保に役立つベストプラクティスを定義し、その認知度を向上することを専門とする」組織である Cloud Security Alliance (CSA) は、3 種類のセキュリティコントロールを定義しています。

• 予防型：クラウドシステム内で発生する可能性があるさまざまな脆弱性に対処します。

• 検知型：攻撃が発生したタイミングを特定し、完全なセキュリティ侵害になる前に IT 部門にイベントに関するアラートを通知します。

• 是正型：攻撃が特定されると、攻撃による損害を低減するのに役立ちます。

ゼロトラストの概要とゼロトラストが重要な理由

ゼロトラストは、セキュリティ設計の原則およびフレームワークであり、ユーザー、サーバー、アプリケーション、ネットワークは全てセキュリティ侵害の対象となり得ることを想定しています。ゼロトラスト環境では、全てのユーザーは最初に認証を受け、権限を付与された後、継続的に検証を受けてデータとアプリケーションにアクセスします。

組織でゼロトラストモデルを導入している場合は、自動的に信頼されるユーザーがいないことを前提としてセキュリティプロトコルを設計する必要があります。これは、次のセキュリティプラクティスでも重要な考慮事項となります。

• セキュリティ開発ライフサイクル

• プラットフォームのハードニングと自動化

• ネットワークのマイクロセグメンテーション

• ID・アクセス管理

• データの最終暗号化

• コンプライアンス監査とレポート作成

ゼロトラストのセキュリティを設計する際に、開発者や IT チームは多数の戦略を利用します。これには、多要素認証、メールのコンテンツチェックとセキュリティ、アウトバウンドトラフィックへのファイアウォールの適用、ユーザーおよびエンドポイントの行動分析（UEBA）、ユーザーポリシーに基づくマイクロセグメンテーション、仮想デスクトップインフラプールでのエンドユーザー同士の分離維持、公開鍵基盤（PKI）の利用、エンドユーザーの接続を特定するためのクライアントの証明書などがあります。

クラウドセキュリティと Nutanix

Nutanix は、ハイパーコンバージドインフラ（HCI）の大手プロバイダであり、ハイブリッド・マルチクラウドのエキスパートです。あらゆるコンピューティング環境に対応し、世界トップクラスの保護とセキュリティを提供するよう設計されたさまざまなソリューションを提供しています。現在のクラウドにフォーカスした世界において、セキュリティは最優先であり、セキュリティの考慮事項は最初から組織の戦略に組み込まれている必要があると認識しています。

ハイブリッドクラウドセキュリティソリューションをはじめとする、Nutanix のセキュリティソリューションは、ハイブリッドクラウド環境に特化した堅牢なソフトウェア基盤から始まっています。Nutanix は、攻撃やその他のセキュリティ脅威に対する防御に役立つセキュリティ機能やプロトコルを採用しているほか、データ損失の防止や事業継続を支援しています。

Nutanix を利用することで、プラットフォームからアプリケーションやネットワーク、さらにはセキュリティ運用、コンプライアンス、監査に至るまで、あらゆるレベルの防御を実現できます。「多層防御」と呼ばれる複数の層を活用したアプローチを提供し、攻撃を迅速に検知して復旧することに加え、その他多数の種類の攻撃を防止します。

Nutanix のクラウドセキュリティソリューションは、次のメリットを提供します。

データを保護し、セキュリティ侵害を防ぐ

• 保存データを暗号化する

• 機密データへのアクセスを制御および制限する

• セキュリティ構成を分析および監査する

• ハイブリッドクラウドのセキュリティを確保する

• ランサムウェアの拡散を防ぐ

ネットワークのセグメンテーションを行い、セキュリティ保護する

• マイクロセグメンテーションを実装し、ネットワークの検査を短時間で完了する

• 規制対象となる環境を自動化されたソフトウェア制御によって分離する

規制やコンプライアンスの取り組みを簡素化する

• プラットフォームのセキュリティベースラインの構成を自動化する

• 規制ポリシーを使用してコンプライアンスを検証する（HIPAA、PCI、NIST など）