クラウド セキュリティとは?

クラウドベースのシステムとデータを保護するのに役立つテクノロジ、手順、ポリシー、コントロールについてさらに学びましょう。

クラウド セキュリティとは

クラウド セキュリティとはサイバーセキュリティの分野の 1 つであり、その焦点はクラウドのシステムとデータを内外の脅威から守ることです。これには不正アクセスやデータ漏洩を防ぐのに役立つベスト プラクティス、ポリシー、テクノロジが含まれます。企業がクラウド セキュリティ戦略を立てるときは、次の 4 種類のクラウド コンピューティング環境を考慮する必要があります。

 

パブリック クラウド環境

クラウド サービス プロバイダーによって運用されます。この環境では、サーバーが複数のテナントで共有されます。

 

プライベート クラウド環境

顧客所有のデータセンターに存在することも、パブリック クラウド サービス プロバイダーが運用することもあります。どちらの場合も、サーバーはシングル テナントであり、利用する組織がスペースを他企業と共有することはありません。

 

ハイブリッド クラウド環境

オンプレミスのデータセンターとサードパーティのクラウドを組み合わせたものです。

 

マルチクラウド環境

それぞれ別のクラウド サービス プロバイダーが運営する 2 つ以上のクラウド サービスが含まれます。

 

どの種類の環境を使うか、あるいはどの種類の環境を組み合わせるかにかかわらず、クラウド セキュリティの目的は物理的ネットワークを保護することであり、これに含まれるものとしてはルーターと電気システム、データ、データ ストレージ、データ サーバー、アプリケーション、ソフトウェア、オペレーティング システム、ハードウェアがあります。

クラウド セキュリティが重要である理由

クラウドはオンラインの生活に欠かせないものとなりました。これによってデジタルのコミュニケーションと仕事がさらに便利になり、組織の急激なイノベーションが生まれています。しかし、友人と写真を共有するときや、同僚と新規プロジェクトで共同作業するとき、あるいは行政機関がオンライン サービスを提供するときに、データそのものがどこに保管されているかが常に明確であるとは限りません。人々が不注意でデータを安全ではない場所に移動してしまうこともありますが、あらゆるものがインターネットでアクセス可能な今では、不正アクセスのリスクが高まっています。

 

データ プライバシーも、人々と政府にとっての重要性が高まっています。EU の一般データ保護規則 (General Data Protection Regulation: GDPR) や米国の医療保険の携行性と責任に関する法律 (Health Insurance Portability and Accountability Act: HIPAA) などの規制では、組織が情報を収集するときに透明性を持って行うことと、データの盗難や悪用を防ぐのに役立つポリシーを制定することが要求されています。遵守できなかった場合は、高額の罰金が課せられて評判が損なわれるおそれがあります。

 

競争力を保つために、組織はこれからもクラウドを使う必要があります。繰り返しをすばやく行うため、および従業員と顧客がサービスにアクセスしやすくするためですが、同時にデータとシステムを次のような脅威から保護する必要があります。

  • 乗っ取られたアカウント: 従業員のパスワードを盗んでシステムと会社の貴重な資産へのアクセスを獲得するために、フィッシングという攻撃がよく使われます。
  • ハードウェアとソフトウェアの脆弱性: 組織が使用するクラウドがパブリックかプライベートかにかかわらず、ハードウェアとソフトウェアにパッチが適用されて最新の状態であることはきわめて重要です。
  • 内部の脅威: 人的エラーは、セキュリティ侵害の大きな要因です。構成の誤りによって攻撃者が付け入る隙が生まれ、従業員は悪意のあるリンクをクリックしてしまうことや、不注意でデータを安全ではない場所に移動してしまうこともあります。

クラウド セキュリティのしくみ

クラウド セキュリティはクラウド サービス プロバイダーとその顧客との共同責任です。責任範囲は、次のようにサービスの種類によって異なります。

 

サービスとしてのインフラストラクチャ

このモデルでは、クラウド サービス プロバイダーがコンピューティング、ネットワーク、ストレージのリソースをオンデマンドで提供します。中核的コンピューティング サービスのセキュリティ保護の責任はプロバイダーにあります。顧客はオペレーティング システムの上にあるものすべてをセキュリティで保護する必要があります。これに含まれるものとしては、アプリケーション、データ、ランタイム、ミドルウェア、およびオペレーティング システムそのものがあります。

 

サービスとしてのプラットフォーム

多くのプロバイダーは、開発とデプロイのための環境全体をクラウドの中で提供するというサービスも行っています。プロバイダーは中核的コンピューティング サービスに加えてランタイム、ミドルウェア、オペレーティング システムの保護の責任を負います。顧客はアプリケーション、データ、ユーザー アクセス、エンドユーザー デバイス、エンドユーザー ネットワークを安全に守る必要があります。

 

サービスとしてのソフトウェア

都度払い方式でソフトウェアにアクセスすることもできます。たとえば Microsoft Office 365 や Google ドライブです。このモデルでも、顧客がデータ、ユーザー、デバイスをセキュリティで保護する必要があります。

 

誰に責任があるかにかかわらず、クラウド セキュリティには次の 4 つの主要領域があります。

  • アクセスを制限する: クラウドによってあらゆるものがインターネットでアクセス可能になるため、適切な人物だけが適切なツールにアクセスできることと、アクセスできる時間の長さが適切であることは、きわめて重要です。
  • データを保護する: 組織は保有するデータがどこにあるかを理解して、データそのものとそのデータをホストするインフラストラクチャの両方を安全に守るための適切なコントロールを実施する必要があります。
  • データ回復: 優れたバックアップ ソリューションとデータ回復計画は、侵害が発生した場合にきわめて重要になります。
  • 対応計画: 組織が攻撃を受けたときに、その影響を減らすとともに他のシステムへの影響を防ぐための計画が必要です。

クラウド セキュリティ ツールの種類

クラウド セキュリティ ツールは従業員と外部の脅威の両方からの脆弱性に対処します。また、開発中に生じたエラーを緩和することや、承認されていない人物が機密データへのアクセスを獲得するリスクを縮小することにも役立ちます。

  • クラウド セキュリティ態勢管理

    クラウドの構成誤りは頻繁に発生し、侵害の機会がここから生まれます。このようなエラーの多くは、クラウドの構成作業とアプリケーションのセキュリティ保護の責任が顧客にあることが理解されていないために発生します。また、複雑な環境を持つ大企業では誤りが発生しやすくなります。

     

    クラウド セキュリティ態勢管理ソリューションは、リスクを縮小するために、侵害につながるおそれのある構成誤りを継続的に探します。このプロセスを自動化することによって、手作業のプロセスにおける誤りのリスクを縮小するとともに、多数のサービスとアカウントを持つ環境の可視性を高めます。脆弱性が検出された場合は、問題の修正方法が提案され、開発者はこれを参考にして修正することができます。クラウド セキュリティ態勢管理は、その環境における悪意のある活動や不正アクセスを見つけるための監視も継続的に行います。

  • クラウド ワークロード保護プラットフォーム

    開発者による機能のビルドとデプロイをスピードアップするプロセスを組織が導入するのに伴い、開発時のセキュリティ チェックがおろそかになるリスクが高まります。クラウド ワークロード保護プラットフォームは、クラウド内のアプリケーションに必要なコンピューティング、ストレージ、ネットワーキングの機能をセキュリティで保護するのに役立ちます。具体的には、パブリック、プライベート、ハイブリッドのクラウド環境内のワークロードを特定し、スキャンして脆弱性を探します。脆弱性が発見された場合は、修復方法を提案します。

  • クラウド アクセス セキュリティ ブローカー (CASB)

    クラウド サービスを見つけてアクセスするのはきわめて簡単であるため、組織内で使用されているソフトウェアすべてを IT 部門が常に把握するのが難しくなることがあります。

     

    クラウド アクセス セキュリティ ブローカー (CASB) は IT 部門がクラウド アプリの使用状況を可視化するのに役立ち、各アプリのリスク評価を行う機能もあります。このようなソリューションは、クラウド内のデータの移動を示すツールを備えており、データの保護とコンプライアンス目標の達成にも役立ちます。これらのツールは、通常とは異なるユーザーの行動を検出して脅威を修復するのにも使用されます。

  • ID (アイデンティティ) とアクセス

    誰がリソースにアクセスできるかを制御することは、クラウド内のデータを保護するために不可欠です。組織は従業員、請負業者、ビジネス パートナー全員に、業務を社内で行うかリモート ワークかにかかわらず適切なアクセス権が付与されていると保証できることが必要です。

     

    組織は ID (アイデンティティ) とアクセスの管理のソリューションを使用して本人確認を行い、機密性の高いリソースへのアクセスを制限し、多要素認証と最小特権ポリシーを適用します。

  • クラウド インフラストラクチャ エンタイトルメント管理

    従業員がアクセスするデータが複数のクラウドに存在する場合は、ID (アイデンティティ) とアクセスの管理がさらに複雑になります。クラウド インフラストラクチャ エンタイトルメント管理ソリューションは、組織内のどの ID (アイデンティティ) がどのリソースにアクセスしているかをクラウド プラットフォーム横断で可視化するのに役立ちます。このような製品は、IT チームが最小特権アクセスなどのセキュリティ ポリシーを適用するのにも使用されます。

クラウド セキュリティを困難にするものとは

クラウドの相互接続性によって、オンラインでの仕事や交流が簡単になりますが、セキュリティのリスクも生まれます。セキュリティ チームには、クラウドにおける次のような難題への対処に役立つソリューションが必要です。

  • データの可視性の欠如

    組織の生産性を保つために、IT 部門は従業員、ビジネス パートナー、請負業者に会社の資産と情報へのアクセス権を付与する必要があります。これらの人々の多くはリモートで、つまり会社のネットワークの外部で仕事をしており、大企業では承認済みユーザーのリストが常に流動的です。これだけ多くの人々が複数のデバイスを使用して会社のリソースにアクセスし、しかもそのリソースがパブリックやプライベートのさまざまなクラウドに分散していると、どのサービスが使用されているか、データがどのようにクラウド内を移動しているかを監視するのが難しくなることもあります。技術チームは、セキュリティ レベルの低いストレージ ソリューションにデータが移動されないことを保証する必要があり、適切でない人物による機密情報へのアクセス獲得を防ぐことも必要です。

  • 複雑な環境

    クラウドによってインフラストラクチャとアプリのデプロイは大幅に簡単になりました。これだけ多くのプロバイダーとサービスが存在しているので、IT は各製品とサービスの要件に最も適合する環境を選ぶことができます。この結果として、オンプレミス、パブリック、プライベートのクラウドが混在する複雑な環境となります。ハイブリッドのマルチクラウド環境に必要なセキュリティ ソリューションとは、エコシステム全体に対して機能するものであり、さまざまな資産にさまざまな場所からアクセスする人々を保護するものです。この複雑な環境では構成エラーが起きやすくなり、環境内を横移動する脅威の監視は簡単ではないこともあります。

  • 急激なイノベーション

    さまざまな要因の組み合わせによって、短期間でのイノベーションと新製品のデプロイが可能になりました。AI、機械学習、IoT (モノのインターネット) のテクノロジによってデータの収集と使用がより効果的にできるようになりました。クラウド サービス プロバイダーはローコードとノーコードのサービスを提供しており、企業が高度なテクノロジを使うのが簡単になりました。DevOps プロセスによって開発サイクルが短くなりました。そして、組織のインフラストラクチャの多くがクラウドでホストされるようになったことから、多くの組織が研究開発のリソースを再配分しています。急激なイノベーションのマイナス面は、テクノロジの変化があまりにも速いためセキュリティ標準がないがしろにされることです。

  • コンプライアンスとガバナンス

    多くの大手クラウド サービス プロバイダーは多数の既知のコンプライアンス認定プログラムに準拠していますが、ワークロードが国内と国際の標準に準拠していることの保証はクラウド利用者の責任です。

  • 内部関係者による脅威

    企業にとって従業員は最大のセキュリティ リスクの 1 つです。多くの侵害は、マルウェアをダウンロードさせるリンクを従業員がクリックしたことが発端です。また、意図的にデータを漏洩させようとする内部関係者についても警戒する必要があります。

クラウド セキュリティを実装する

クラウド環境に対するサイバー攻撃のリスクの縮小は、プロセス、コントロール、テクノロジを適切に組み合わせることによって可能になります。

 

クラウド ネイティブのアプリケーション プラットフォームにクラウド ワークロード保護プラットフォーム、クラウド インフラストラクチャ エンタイトルメント管理、およびクラウド セキュリティ態勢管理が含まれていれば、エラーを減らし、セキュリティを強化し、効果的にアクセスを管理するのに役立ちます。 

 

テクノロジへの投資をサポートするために、定期的なトレーニングを実施します。従業員がフィッシング攻撃などのソーシャル エンジニアリング テクニックを認識できるようにするためです。悪意が疑われるメールを従業員が受け取ったときに簡単に IT 部門に通報できるようにしておくことが必要です。フィッシングのシミュレーションを実施して自社のプログラムの有効性を測定します。

 

攻撃の防止、検出、対応に役立つプロセスを作ります。脆弱性を減らすためにソフトウェアとハードウェアのパッチ適用を定期的に行います。乗っ取られたアカウントのリスクを縮小するために、機密データを暗号化するとともに強いパスワードのポリシーを作成します。多要素認証が導入されていれば、未承認ユーザーがアクセスを獲得するのはかなり難しくなります。パスワードレス技術は従来のパスワードに比べて使い方が簡単で安全です。

 

ハイブリッド ワーク モデルを採用して従業員がオフィスとリモートのどちらで働くかを柔軟に選べるようになっている組織では、新しいセキュリティ モデルが必要になります。それは人、デバイス、アプリ、データを、その存在場所を問わず保護するものです。ゼロ トラスト フレームワークの出発点となる原則とは、これからはアクセス要求を、たとえネットワーク内部からのものであっても信頼しないというものです。リスクを軽減するには、組織に対するセキュリティ侵害が既に発生していると考えて、すべてのアクセス要求を明示的に検証します。最小特権アクセスの方針に従って、ユーザーにはその人が必要としているリソースに限定してアクセス権を付与します。

クラウド セキュリティ ソリューション

クラウドによって新たなセキュリティ リスクが登場しますが、適切なクラウド セキュリティ ソリューション、プロセス、ポリシーはリスクを大幅に縮小するのに役立ちます。次のステップから始めてください。

  • 組織内で使用されているクラウド サービス プロバイダーをすべて特定し、セキュリティとプライバシーに関する各プロバイダーの責任を理解します。
  • クラウド アプリ セキュリティ ブローカーなどのツールに投資します。組織で使用されているアプリとデータを可視化するためです。
  • クラウド セキュリティ態勢管理を実施します。構成エラーの特定と修正に役立てるためです。
  • クラウド ワークロード保護プラットフォームを実装してセキュリティを開発プロセスに組み込みます。
  • 定期的にソフトウェア パッチを適用するとともにポリシーを設定して従業員のデバイスを常に最新状態にします。
  • 最新の脅威とフィッシング戦術についての認識を従業員に持たせるためのトレーニング プログラムを作成します。
  • ゼロ トラストというセキュリティ戦略を実装し、ID (アイデンティティ) とアクセスの管理を使用してアクセスを管理し、保護します。

Microsoft Security についてさらに学ぶ

よく寄せられる質問

|

クラウド セキュリティはクラウド サービス プロバイダーとその顧客との共同責任です。責任範囲は、次のようにサービスの種類によって異なります。

 

サービスとしてのインフラストラクチャ。このモデルでは、クラウド サービス プロバイダーがコンピューティング、ネットワーク、ストレージのリソースをオンデマンドで提供します。中核的コンピューティング サービスのセキュリティの責任はプロバイダーにあります。顧客はオペレーティング システムの上にあるものすべてをセキュリティで保護する必要があります。これに含まれるものとしては、アプリケーション、データ、ランタイム、ミドルウェア、およびオペレーティング システムそのものがあります。

 

サービスとしてのプラットフォーム。多くのプロバイダーは、開発とデプロイのための環境全体をクラウドの中で提供するというサービスも行っています。プロバイダーは中核的コンピューティング サービスに加えてランタイム、ミドルウェア、オペレーティング システムの保護の責任を負います。顧客はアプリケーション、データ、ユーザー アクセス、エンドユーザー デバイス、エンドユーザー ネットワークを安全に守る必要があります。

 

サービスとしてのソフトウェア。都度払い方式でソフトウェアにアクセスすることもできます。たとえば Microsoft Office 365 や Google ドライブです。このモデルでも、顧客がデータ、ユーザー、デバイスをセキュリティで保護する必要があります。

次の 4 つのツールがクラウド内で企業のリソースを保護するのに役立ちます。

  • クラウド ワークロード保護プラットフォームは、クラウド内のアプリケーションに必要なコンピューティング、ストレージ、ネットワーキングの機能をセキュリティで保護するのに役立ちます。具体的には、パブリック、プライベート、ハイブリッドのクラウド環境内のワークロードを特定し、スキャンして脆弱性を探します。脆弱性が発見された場合は、その問題の修復方法を提案します。
  • クラウド アプリ セキュリティ ブローカーは IT 部門がクラウド アプリの使用状況を可視化するのに役立ち、各アプリのリスク評価を行う機能もあります。このようなソリューションは、クラウド内のデータの移動を示すツールを備えており、データの保護とコンプライアンス目標の達成にも役立ちます。クラウド アプリ セキュリティ ブローカーは、通常とは異なるユーザーの行動を検出して脅威を修復するのにも使用されます。
  • クラウド セキュリティ態勢管理ソリューションは、リスクを縮小するために、侵害につながるおそれのある構成誤りを継続的に探します。このプロセスを自動化することによって、手作業のプロセスにおける誤りのリスクを縮小するとともに、多数のサービスとアカウントを持つ環境の可視性を高めます。脆弱性が検出された場合は、問題の修正方法が提案され、開発者はこれを参考にして修正することができます。
  • ID (アイデンティティ) およびアクセス管理のソリューションには、ID を管理し、アクセス ポリシーを適用するためのツールがあります。組織はこれらのソリューションを使用して機密性の高いリソースへのアクセスを制限するとともに、多要素認証と最小特権ポリシーを適用します。

組織のクラウドを保護するための手順とポリシーを制定するときに考慮する必要がある領域は次の 4 つです。

  • アクセスを制限する: クラウドによってあらゆるものがインターネットでアクセス可能になるため、適切な人物だけが適切なツールにアクセスできることと、アクセスできる時間の長さが適切であることは、きわめて重要です。
  • データを保護する: 組織は保有するデータがどこにあるかを理解して適切なコントロールを実施することによって、データをホストし保存するインフラストラクチャとデータそのものの両方を安全に守る必要があります。
  • データ回復: 優れたバックアップ ソリューションとデータ回復計画は、侵害が発生した場合にきわめて重要になります。
  • 対応計画: 組織が攻撃を受けたときに、その影響を減らすとともに他のシステムへの影響を防ぐための計画が必要です。

組織が警戒する必要があるクラウド リスクは次のとおりです。

  • 乗っ取られたアカウント: 従業員のパスワードを盗んでシステムと会社の貴重な資産へのアクセスを獲得するために、フィッシングという攻撃がよく使われます。
  • ハードウェアとソフトウェアの脆弱性: 組織が使用するクラウドがパブリックかプライベートかにかかわらず、ハードウェアとソフトウェアにパッチが適用されて最新の状態であることはきわめて重要です。
  • 内部の脅威: 人的エラーは、セキュリティ侵害の大きな要因です。構成の誤りによって、攻撃者が付け入る隙が生まれます。従業員は悪意のあるリンクをクリックしてしまうことや、不注意でデータを安全ではない場所に移動してしまうこともあります。