クラウドセキュリティの特徴とは

クラウドセキュリティとは、クラウドサービスおよびクラウド・コンピューティングに関わるデータ、アプリケーション、およびインフラストラクチャの保護を指します。パブリッククラウド、プライベートクラウド、ハイブリッドクラウドのいずれであれ、クラウド環境におけるセキュリティの多くの側面は、オンプレミスの IT アーキテクチャの場合と共通しています。

不正なデータ公開や漏えい、不適切なアクセス制御、攻撃の受けやすさ、 可用性の阻害など、高度な情報テクノロジー (IT) セキュリティ (サイバーセキュリティ) 上の懸念は、従来の IT にもクラウドシステムにも同様に影響します。どのコンピューティング環境であっても同じように、クラウドセキュリティには適切な予防策を維持することが関係します。したがって、以下のことが必要です。

• データとシステムが安全であることを確認できる
• セキュリティの現状を確認できる
• 異常が発生した場合に直ちに把握できる
• 予期しないイベントを追跡して対応できる

多くの人がクラウド・コンピューティング環境のメリットを理解している一方で、セキュリティ問題の可能性を理由に、移行に踏み切れずにもいます。確かに、それも理解できます。インターネットと物理サーバーを介して送信される、形のないリソース間のどこかに存在するものを理解するのは簡単ではありません。クラウドは、物事が常に変化している動的な環境です。そして、セキュリティの脅威も同様です。とはいえ、クラウドセキュリティのほとんどは IT セキュリティと同じです。違いを具体的に理解すれば、「クラウド」という言葉に対して漠然と抱いていた不安も解消することでしょう。

あいまいな境界

セキュリティとアクセス制御は密接な関係にあります。従来の環境では大抵、境界セキュリティモデルを使用してアクセスを統制します。クラウド環境は高度に接続されているため、トラフィックが従来の境界防御をバイパスしやすくなります。安全でないアプリケーション・プログラミング・インタフェース (API)、脆弱な ID と資格情報の管理、ハッカー、悪意のある内部関係者は、システムとデータセキュリティにとって脅威となり得ます。クラウド内の脆弱性と不正アクセスを防止するには、データ中心のアプローチに移行する必要があります。データの暗号化、認可プロセスの強化、強力なパスワードと 2 要素認証の要求、すべてのレベルにおけるネットワークセキュリティ対策の構築などが必要です。

すべてがソフトウェアへ

「クラウド」とは、ソフトウェアを介してユーザーに提供されるホストされたリソースを指します。クラウド・コンピューティング・インフラストラクチャと、そこで処理されるすべてのデータは、動的で、スケーラブルで、ポータブルです。クラウド・セキュリティ・コントロールは、環境設定に対応でき、ワークロードや保管中と移動中のデータに適応する必要があります。ワークロードの本質的な部分として (暗号化など)、あるいはクラウド管理システムと API を介して動的に行います。これは、システムの破壊やデータ漏えいからクラウド環境を保護するのに役立ちます。

より複雑化した脅威

複雑化した脅威とは、クラウドを含む先進的なコンピューティングに悪影響を与えるものすべてを指します。ますます複雑化したマルウェアや、知能型の持続的な脅威 (Advanced Persistent Threat、APT) などの攻撃は、コンピューティング・スタックの脆弱性を標的にすることでネットワーク防御を回避するように設計されています。データ漏えいは、不正な情報漏えいやデータの損失または改ざんを招く可能性があります。これらの脅威には確かな解決策がないとはいえ、新たな脅威に対応すべく進化している、クラウドセキュリティの最新プラクティスを実践し続けることが必要です。

使用しているクラウドの種類に関係なく、そのクラウドにおける自分のスペースは自分で保護する必要があります。第三者が保守するクラウドを使用している場合でも、人任せにはできず、そうすべきでもありません。セキュリティ障害の最大の要因となっているのは、適切な注意を十分に払っていないことなのです。クラウドセキュリティは、全員の責任です。それには以下が含まれます。

信頼できるソフトウェアの使用

クラウドの中に何があるかは重要です。外部ソースからコードをダウンロードする場合と同様に、パッケージのソース、作成者、また悪質なコードが含まれていないかを確認する必要があります。既知の信頼できるソースからソフトウェアを入手し、適宜アップデートを提供してインストールするための仕組みがあることを確認しましょう。

コンプライアンスを理解する

クラウドに置かれている個人データ、財務データ、その他の機密データは、厳格なコンプライアンス規制の対象となる場合があります。関係する法律は、ビジネスを行う場所 (および相手) によって異なります。たとえば、欧州連合の一般データ保護規制 (GDPR) を参照してください。クラウド・デプロイメントを選択する前に、コンプライアンス要件を確認しましょう。

ライフサイクル管理

クラウドネイティブ環境では、新しいインスタンスを簡単に作成できます。そして、古いインスタンスは簡単に忘れられてしまいます。放置されたインスタンスは、「クラウドゾンビ」、つまりアクティブであるものの監視されないインスタンスになってしまう可能性があります。放置されたインスタンスはすぐに古くなり、新しいセキュリティパッチが適用されていない状態になります。そのため、ライフサイクル管理とガバナンスポリシーが役立ちます。

移植性について考える

ワークロードを別のクラウドに簡単に移動できますか？サービス・レベル・アグリーメント (SLA) では、クラウドプロバイダーが顧客のデータやアプリケーションをいつ、どのように返すかを明確に定義する必要があります。当面、移動する予定がないとしても、今後その必要が生じるかもしれません。今から移植性について考えておくことで、将来のロックインを防ぐことができます。

継続的な監視

自分のワークスペースで何が起こっているのかを監視することは、セキュリティ侵害の影響を避けるために (少なくとも、その影響を抑制するために) 重要です。

適切なクラウドプロバイダーの選択

クラウドサービスとクラウドセキュリティの複雑さを理解している、適切な信頼できる人材を雇い、パートナーにしましょう。パブリッククラウドのインフラストラクチャは、企業のプライベートクラウドよりも安全性が高い場合もあります。なぜなら、パブリッククラウド・プロバイダーには、より情報に通じた、必要な経験やツールを有するセキュリティチームがいるからです。

では、パブリッククラウドの安全性について説明しましょう。パブリック、プライベート、ハイブリッドの 3 つのクラウド・デプロイメントのセキュリティの違いについて説明してきました。とはいえ、一番の関心は「パブリッククラウドは安全なのか」という点でしょう。これは場合によります。

Amazon Web Services (AWS)、Microsoft Azure、Google などのパブリッククラウドは、多くのタイプのワークロードに適したセキュリティを提供しますが、すべてのワークロードに適しているわけではありません。それは主に、プライベートクラウドで実現されるような分離がサポートされないためです。パブリッククラウドはマルチテナンシーをサポートしています。つまり、クラウド・サービス・プロバイダーのデータセンターのコンピューティング能力 (またはストレージスペース) を他の「テナント」とともに借りていることになります。各テナントは、クラウドプロバイダーのサービスレベル契約 (SLA) に署名します。SLA では、誰が何に責任を負うのかがクラウドプロバイダーにより文書化されています。それは、家主から物理的なスペースを借りることによく似ています。家主 (クラウドプロバイダー) は、建物 (クラウド・インフラストラクチャ) の維持、鍵の保持 (アクセス)、そして通常はテナントのやり方に関わらないこと (プライバシー) を約束します。一方、テナントは、建物の状態を損なったり、他のテナントに迷惑をかけたり (安全でないアプリケーションの実行など) しないことを約束します。しかし、隣人を選ぶことはできません。隣人が有害な事態を招いてしまう人物である場合もあり得ます。クラウドプロバイダーのインフラストラクチャ・セキュリティ・チームは異常なイベントを監視していますが、悪意のある分散型サービス妨害 (DDoS) 攻撃のような、ステルス型あるいは攻撃的な脅威は、他のテナントに悪影響を及ぼす場合があります。

幸い、Cloud Security Alliance の Cloud Controls Matrix など、業界で認められているセキュリティ基準、規制、および制御フレームワークがあります。また、追加のセキュリティツール (暗号化や DDoS 軽減技法など) を導入してマルチテナント環境で自分自身を分離し、侵害されたインフラストラクチャからワークロードを保護することもできます。これで十分でない場合は、クラウドアクセス・セキュリティ・ブローカーをリリースして活動を監視し、リスクの低いエンタープライズ機能に対してセキュリティポリシーを施行することができます。しかし、厳格なプライバシー、セキュリティ、およびコンプライアンスの規制の下で運営される業界では、このすべての対策でも十分でないかもしれません。

DevSecOps とは、組織が IT セキュリティを強化し、ソフトウェア環境のリスクを低減する手段として、DevOps のプラクティスとセキュリティ戦略を組み合わせたものです。Kubernetes 、コンテナ、マイクロサービス、サービスメッシュなどのクラウドネイティブ・テクノロジーは、現在では広く受け入れられています。それは、これらのテクノロジーがクラウド・アプリケーションをより動的かつ確実に、またそれまでは考えられなかったほど大規模に構築、デプロイ、実行するために必要な要素を提供するからです。 

クラウドネイティブ・テクノロジーによってもたらされた変化により、DevSecOps モデルに向けてセキュリティを進化させることが必要になります。これは、セキュリティチームとエンジニアリングチームが連携して戦略を策定しなければならないことを意味します。その戦略は、ソフトウェア開発ライフサイクルの早い段階でセキュリティを組み込むシフトレフトのプラクティスとセキュリティをコードとして実装するワークフローによって、先進的でスケーラブルなアプリケーションを構築および実行するのに役立つものでなくてはなりません。

セキュリティに関する決定は、リスク許容度とコストメリット分析と深い関係があります。潜在的なリスクとメリットは、組織の全体的な正常性にどのように影響するでしょうか？最も重要なことは何でしょうか？すべてのワークロードが、最高レベルの暗号化とサイバーセキュリティを必要とするわけではありません。こう考えてみてください。家に鍵をかければすべての所有物が比較的安全に保たれますが、それでも貴重品は金庫に保管したいと思うことでしょう。選択肢が複数あるのは良いことです。

だからこそ、多くの企業がハイブリッドクラウドに目を向けるようになっています。ハイブリッドクラウドは、すべてのクラウドのメリットを併せ持っているためです。ハイブリッドクラウドとは、相互接続された、パブリックとプライベートの複数のクラウド環境の組み合わせです。

ハイブリッドクラウドでは、コンプライアンス、監査、ポリシー、またはセキュリティ要件に基づいてワークロードとデータの配置場所を選択できるため、特に機密性の高いワークロードをプライベートクラウドで保護し、機密性の低いワークロードをパブリッククラウドで運用することができます。ハイブリッドクラウドに特有のセキュリティ上の課題 (データの移行、複雑化、攻撃対象領域の大きさなど) もありますが、複数の環境が存在することは、セキュリティリスクに対する最大の防御の 1 つとなり得ます。