Trace Id is missing
メイン コンテンツへスキップ
Microsoft Security

クラウド セキュリティとは?

クラウドベースのシステムとデータを保護するのに役立つテクノロジ、手順、ポリシー、コントロールについて詳しく説明します。

クラウド セキュリティの定義

クラウド セキュリティはクラウド サービス プロバイダーとその顧客が共同で責任を負うものです。責任範囲は、提供されるサービスの種類によって異なります。

パブリック クラウド環境
クラウド サービス プロバイダーによって運用されます。この環境では、サーバーが複数のテナントで共有されます。

プライベート クラウド環境
顧客所有のデータセンターに存在することも、パブリック クラウド サービス プロバイダーが運用することもあります。どちらの場合も、サーバーはシングル テナントであり、利用する組織がスペースを他企業と共有することはありません。

ハイブリッド クラウド環境
オンプレミスのデータセンターとサードパーティのクラウドを組み合わせたものです。

マルチクラウド環境
それぞれ別のクラウド サービス プロバイダーが運営する 2 つ以上のクラウド サービスが含まれます。

どの種類の環境を使うか、あるいはどの種類の環境を組み合わせるかにかかわらず、クラウド セキュリティの目的は物理的ネットワークを保護することであり、これに含まれるものとしてはルーターと電気システム、データ、データ ストレージ、データ サーバー、アプリケーション、ソフトウェア、オペレーティング システム、ハードウェアがあります。

クラウド セキュリティが重要である理由

クラウドはオンラインの生活に欠かせないものとなりました。これによってデジタルのコミュニケーションと仕事がさらに便利になり、組織の急激なイノベーションが生まれています。しかし、友人と写真を共有するときや、同僚と新規プロジェクトで共同作業するとき、あるいは行政機関がオンライン サービスを提供するときに、データそのものがどこに保管されているかが常に明確であるとは限りません。人々が不注意でデータを安全ではない場所に移動してしまうこともありますが、あらゆるものがインターネットでアクセス可能な今では、資産に対する不正アクセスのリスクが高まっています。

データ プライバシーも、人々と政府にとっての重要性が高まっています。EU の一般データ保護規則 (General Data Protection Regulation: GDPR) や米国の医療保険の携行性と責任に関する法律 (Health Insurance Portability and Accountability Act: HIPAA) などの規制では、組織が情報を収集するときに透明性を持って行うことと、データの盗難や悪用を防ぐのに役立つポリシーを制定することが要求されています。遵守できなかった場合は、高額の罰金が科せられて評判が損なわれるおそれがあります。

競争力を保つために、組織はこれからもクラウドを使う必要があります。繰り返しをすばやく行うため、および従業員と顧客がサービスにアクセスしやすくするためですが、同時にデータとシステムを次のような脅威から保護する必要があります。

  • アカウントの侵害: 従業員のパスワードを盗んでシステムと会社の貴重な資産へのアクセスを獲得するために、フィッシングの攻撃活動がよく使われます。   
  • ハードウェアとソフトウェアの脆弱性: 組織が使用するクラウドがパブリックかプライベートかにかかわらず、ハードウェアとソフトウェアにパッチが適用されて最新の状態であることはきわめて重要です。
  • 内部の脅威: 人的エラーは、セキュリティ侵害の大きな要因です。構成の誤りによって攻撃者が付け入る隙が生まれ、従業員は悪意のあるリンクをクリックしてしまうことや、不注意でデータを安全ではない場所に移動してしまうこともあります。
  • クラウド リソースの可視性の欠如: このようなクラウドのリスクは、セキュリティの脆弱性や脅威の検出と対応を困難にし、侵害やデータの損失につながる可能性があります。
  • リスクの優先度の欠如: セキュリティ管理者がクラウド リソースを可視化すると、セキュリティ態勢を改善するための推奨事項の数に圧倒されるかもしれません。リスクの優先度を決めることで、セキュリティに最大の効果をもたらすためにどこに重点的に取り組むべきかを管理者が知ることが重要です。
  • リスクの高いクラウド アクセス許可: クラウド サービスや ID の普及によって、リスクの高いクラウド アクセス許可の数が増加し、想定される攻撃面が拡大しています。アクセス許可クリープ インデックス (PCI) というメトリックは、ID がアクセス許可に基づいてどれだけの損害を与えることができるかを測定するものです。
  • 新たに出現する脅威の状況: クラウド セキュリティのリスクは常に変化しています。セキュリティ侵害やデータの損失から保護するには、新たな脅威が出現しても常に状況を把握しておくことが重要です。
  • クラウドネイティブの開発とセキュリティ間での統合の欠如: アプリがクラウドに展開される前に、セキュリティ チームと開発チームが協力してコードの問題を特定し、修正することがきわめて重要です。

クラウド セキュリティのしくみ

クラウド セキュリティはクラウド サービス プロバイダーとその顧客が共同で責任を負うものです。責任範囲は、提供されるサービスの種類によって異なります。

サービスとしてのインフラストラクチャ
このモデルでは、クラウド サービス プロバイダーがコンピューティング、ネットワーク、ストレージのリソースをオンデマンドで提供します。中核的コンピューティング サービスのセキュリティ保護の責任はプロバイダーにあります。顧客はオペレーティング システムの上にあるものすべてをセキュリティで保護する必要があります。これに含まれるものとしては、アプリケーション、データ、ランタイム、ミドルウェア、およびオペレーティング システムそのものがあります。

サービスとしてのプラットフォーム
多くのプロバイダーは、開発とデプロイのための環境全体をクラウドの中で提供することも行っています。プロバイダーは中核的コンピューティング サービスに加えてランタイム、ミドルウェア、オペレーティング システムの保護の責任を負います。顧客はアプリケーション、データ、ユーザー アクセス、エンドユーザー デバイス、エンドユーザー ネットワークを安全に守る必要があります。

サービスとしてのソフトウェア
組織は、Microsoft Office 365 や Google ドライブなどの従量課金制モデルのソフトウェアにもアクセスできます。このモデルでは、顧客はデータ、ユーザー、デバイスに対するセキュリティを提供する必要があります。

誰に責任があるかにかかわらず、クラウド セキュリティには次の 4 つの主要領域があります。 

  • アクセスを制限する: クラウドによってあらゆるものがインターネットでアクセス可能になるため、適切な人物だけが適切なツールにアクセスできることと、アクセスできる時間の長さが適切であることは、きわめて重要です。 
  • データを保護する: 組織は保有するデータがどこにあるかを理解して、データそのものとそのデータをホストするインフラストラクチャの両方を安全に守るための適切なコントロールを実施する必要があります。
  • データ回復: 優れたバックアップ ソリューションとデータ回復計画は、侵害が発生した場合にきわめて重要になります。
  • 対応計画: 組織が攻撃を受けたときに、その影響を減らすとともに他のシステムのセキュリティ侵害を防ぐための計画が必要です。
  • セキュリティのシフト レフト: セキュリティ チームと開発チームが協力してコード自体にセキュリティを組み込むことで、クラウドネイティブ アプリケーションが最初からセキュリティを維持できます。
  • DevOps セキュリティ態勢の可視化を統合する: DevOps プラットフォーム全体における DevOps セキュリティ態勢の分析情報を 1 つのビューに表示することで、死角を最小限に抑えることができます。
  • セキュリティ チームを新たな脅威に集中させる: クラウド リソースの構成をコードで強化すると、セキュリティの問題が運用環境に持ち込まれるケースを減らすことができます。

クラウド セキュリティ ツールの種類

クラウド セキュリティ ツールは従業員と外部の脅威の両方からの脆弱性に対処します。また、開発中に生じたエラーを緩和することや、承認されていない人物が機密データへのアクセスを獲得するリスクを縮小することにも役立ちます。

  • クラウド セキュリティ態勢管理

    クラウドの構成ミスは頻繁に発生し、侵害の機会がここから生まれます。このようなエラーの多くは、クラウドの構成作業とアプリケーションのセキュリティ保護の責任が顧客にあることが理解されていないために発生します。また、複雑な環境を持つ大企業では誤りが発生しやすくなります。

    クラウド セキュリティ態勢管理ソリューションでは、侵害につながるおそれのある構成のエラーを継続的に探すことでリスクの縮小を実現します。このプロセスを自動化することによって、手作業のプロセスにおける誤りのリスクを縮小するとともに、多数のサービスとアカウントを持つ環境の可視性を高めます。 脆弱性が検出された場合は、ガイド付きの推奨事項を参考にして、開発者が問題を修正できます。 クラウド セキュリティ態勢管理では、環境における悪意のある活動や不正アクセスの監視が継続的に行われます。

  • クラウド ワークロード保護プラットフォーム

    開発者による機能のビルドと展開をスピードアップするプロセスを組織が導入するのに伴い、開発時のセキュリティ チェックがおろそかになるリスクが高まります。クラウド ワークロード保護プラットフォームは、クラウド内のアプリケーションに必要なコンピューティング、ストレージ、ネットワーキングの機能をセキュリティで保護するのに役立ちます。具体的な機能は、パブリック、プライベート、ハイブリッドのクラウド環境内のワークロードを特定し、スキャンして脆弱性を探すことです。脆弱性が発見された場合は、修復方法が提案されます。

  • クラウド アクセス セキュリティ ブローカー

    クラウド サービスを見つけてアクセスするのはきわめて簡単であるため、組織内で使用されているソフトウェアすべてを IT チームが常に把握するのが難しくなることがあります。

    クラウド アクセス セキュリティ ブローカー (CASB) は IT 部門がクラウド アプリの使用状況を可視化するのに役立ち、各アプリのリスク評価を行う機能もあります。 このようなソリューションは、クラウド内のデータの移動を示すツールを備えており、データの保護とコンプライアンス目標の達成にも役立ちます。これらのツールは、通常とは異なるユーザーの行動を検出して脅威を修復するのにも使用されます。

  • ID とアクセス

    誰がリソースにアクセスできるかを制御することは、クラウド内のデータを保護するために不可欠です。組織は従業員、請負業者、ビジネス パートナー全員に、業務を社内で行うかリモートで行うかにかかわらず、適切なアクセス権が付与されていると保証できることが必要です。

    組織は ID とアクセスのソリューションを使用して本人確認を行い、機密性の高いリソースへのアクセスを制限し、多要素認証と最小特権ポリシーを適用します。

  • クラウド インフラストラクチャ エンタイトルメント管理

    人々がアクセスするデータが複数のクラウドに存在する場合は、ID およびアクセス管理がさらに複雑になります。 クラウド インフラストラクチャ エンタイトルメント管理ソリューションは、どの ID がどのリソースにアクセスしているかをクラウド プラットフォーム横断で可視化するのに役立ちます。このような製品は、IT チームが最小特権アクセスなどのセキュリティ ポリシーを適用するのにも使用されます。

  • クラウドネイティブ アプリケーション保護プラットフォーム

    包括的なクラウドネイティブ アプリケーション保護プラットフォーム (CNAPP) は、セキュリティ チームがコードからクラウドまでセキュリティを組み込むのに役立ちます。CNAPP では、マルチクラウドやハイブリッドの環境におけるクラウド セキュリティの脅威の防止、検出、対応を開発から実行時まで行うために、コンプライアンスとセキュリティの機能が統合されています。

  • 統合型の DevOps セキュリティ管理

    クラウド アプリケーションのセキュリティを最初から維持できるように、DevOps のためのセキュリティ管理を統合します。セキュリティ チームは、複数パイプラインのセキュリティを統合、強化、管理し、セキュリティのシフト レフトによってコード自体にセキュリティを組み込み、単一のコンソールでコードからクラウドまでの保護をサポートできるようになります。

クラウド セキュリティを困難にするものとは

クラウドの相互接続性によって、オンラインでの仕事や交流が簡単になりますが、セキュリティのリスクも生まれます。セキュリティ チームには、クラウドにおける次のような難題への対処に役立つソリューションが必要です。

データの可視性の欠如
組織の生産性を保つために、IT 部門は従業員、ビジネス パートナー、請負業者に会社の資産と情報へのアクセス権を付与する必要があります。これらの人々の多くはリモートで、つまり会社のネットワークの外部で仕事をしており、大企業では承認済みユーザーのリストが常に流動的です。これだけ多くの人々が複数のデバイスを使用して会社のリソースにアクセスし、しかもそのリソースがパブリックやプライベートのさまざまなクラウドに分散していると、どのサービスが使用されているか、データがどのようにクラウド内を移動しているかを監視するのが難しくなることもあります。技術チームは、セキュリティ レベルの低いストレージ ソリューションにデータが移動されないことを保証する必要があり、適切でない人物による機密情報へのアクセス獲得を防ぐことも必要です。

複雑な環境
クラウドによってインフラストラクチャとアプリの展開は大幅に簡単になりました。これだけ多くのプロバイダーとサービスが存在しているので、IT チームは各製品とサービスの要件に最も適合する環境を選ぶことができます。この結果として、オンプレミス、パブリック、プライベートのクラウドが混在する複雑な環境となります。ハイブリッドのマルチクラウド環境に必要なセキュリティ ソリューションとは、エコシステム全体に対して機能するものであり、さまざまな資産にさまざまな場所からアクセスする人々を保護するものです。構成エラーは起きやすく、これらの複雑な環境内を横移動する脅威の監視は簡単ではないこともあります。

急激なイノベーション
さまざまな要因の組み合わせによって、短期間でのイノベーションと新製品の展開が可能になりました。AI、機械学習、IoT (モノのインターネット) のテクノロジによってデータの収集と使用がより効果的にできるようになりました。クラウド サービス プロバイダーはローコードとノーコードのサービスを提供しており、企業が高度なテクノロジを使うのが簡単になりました。DevOps プロセスによって開発サイクルが短くなりました。そして、組織のインフラストラクチャの多くがクラウドでホストされるようになったことから、多くの組織が研究開発のリソースを再配分しています。急激なイノベーションのマイナス面は、テクノロジの変化があまりにも速いためセキュリティ標準がないがしろにされることです。

コンプライアンスとガバナンス
多くの大手クラウド サービス プロバイダーはいくつかの既知のコンプライアンス認定プログラムに準拠していますが、ワークロードが国内と国際の標準に準拠していることの保証はクラウド利用者の責任です。

内部関係者による脅威
 意図的かどうかを問わず、承認されたアクセス権を使用して損害を与える可能性がある従業員から組織を保護することは、IT チームとセキュリティ チームにとってきわめて重要です。内部関係者による脅威には、たとえば、従業員がメールによるフィッシングの攻撃活動に応答して誤ってマルウェアをインストールした場合など、セキュリティ インシデントにつながる可能性がある人的エラーが含まれます。ほかには、悪意のある内部関係者が、単独で、あるいはサイバー犯罪組織と協力して、窃盗や詐欺などの損害を意図して及ぼす脅威もあります。内部関係者は組織の資産に対するアクセス権を既に持っていて、会社のセキュリティ対策に精通しているため、インサイダー リスクは外部の脅威よりも検出が困難です。

クラウド セキュリティを実装する

クラウド環境に対するサイバー攻撃のリスクの縮小は、プロセス、コントロール、テクノロジを適切に組み合わせることによって可能になります。

クラウドネイティブのアプリケーション プラットフォームにクラウド ワークロード保護プラットフォーム、クラウド インフラストラクチャ エンタイトルメント管理、クラウド セキュリティ態勢管理が含まれていれば、エラーを減らし、セキュリティを強化し、効果的にアクセスを管理するのに役立ちます。 

テクノロジへの投資をサポートするために、従業員がフィッシングの攻撃活動や他のソーシャル エンジニアリングの手法を認識できるよう定期的なトレーニングを実施しましょう。悪意が疑われるメールを従業員が受け取ったときに簡単に IT 部門に通報できるようにしておくことが必要です。フィッシングのシミュレーションを実施して自社のプログラムの有効性を測定します。

攻撃の防止、検出、対応に役立つプロセスを作ります。脆弱性を減らすためにソフトウェアとハードウェアのパッチ適用を定期的に行います。アカウントの侵害のリスクを縮小するために、機密データを暗号化するとともに強いパスワードのポリシーを作成します。 多要素認証が導入されていれば、不正ユーザーがアクセスを獲得するのはかなり難しくなります。パスワードレス技術は従来のパスワードに比べて使い方が簡単で安全です。   

ハイブリッド作業モデルを採用して従業員がオフィスとリモートのどちらで働くかを柔軟に選べるようになっている組織では、人、デバイス、アプリ、データを、その存在場所を問わず保護する、新しいセキュリティ モデルが必要になります。ゼロ トラスト フレームワークの出発点は、これからはアクセス要求を、たとえネットワーク内部からのものであっても信頼しないという原則です。  リスクを軽減するには、組織に対するセキュリティ侵害が既に発生していると考えて、すべてのアクセス要求を明示的に検証します。最小特権アクセスの方針に従って、ユーザーにはその人が必要としているリソースに限定してアクセス権を付与します。

クラウド セキュリティのソリューション

クラウドによって新たなセキュリティ リスクが登場しますが、適切なクラウド セキュリティ ソリューション、プロセス、ポリシーはリスクを大幅に縮小するのに役立ちます。次のステップから始めてください。

  • 組織内で使用されているクラウド サービス プロバイダーをすべて特定し、セキュリティとプライバシーに関する各プロバイダーの責任を理解します。
  • クラウド アクセス セキュリティ ブローカーなどのツールに投資して、組織が使用するアプリとデータを可視化します。
  • 構成エラーを特定して修正できるよう、クラウド セキュリティ態勢管理を実施します。
  • クラウド ワークロード保護プラットフォームを実装してセキュリティを開発プロセスに組み込みます。
  • 定期的にソフトウェア パッチを適用するとともにポリシーを設定して従業員のデバイスを常に最新状態にします。
  • 最新の脅威やフィッシングの手口を従業員に周知徹底するための研修プログラムを実施します。
  • ゼロ トラスト セキュリティ戦略を実装し、ID およびアクセス管理を使用してアクセスを管理および保護します。
  • DevOps パイプラインで、セキュリティのシフト レフトによってコード自体にセキュリティを組み込むことで、クラウドネイティブ アプリケーションが最初からセキュリティを維持できるようにします。

Microsoft Security についてさらに学ぶ

Microsoft Defender for Cloud

マルチクラウドとハイブリッド両方の環境のワークロードを監視および保護できます。

Microsoft Defender for Cloud Apps

クラウド アプリを詳しく可視化して制御するための、優れた CASB です。

Microsoft Defender for DevOps

マルチクラウドと複数パイプラインの環境を横断して DevOps セキュリティ管理を統合することができます。

Microsoft Entra Permissions Management

マルチクラウド インフラストラクチャ内のアクセス許可のリスクを検出、修復、監視できます。

Microsoft Defender 外部攻撃面管理

ファイアウォールの内側と外側のセキュリティ態勢を理解できます。 

よく寄せられる質問

  • クラウド セキュリティはクラウド サービス プロバイダーとその顧客が共同で責任を負うものです。責任範囲は、提供されるサービスの種類によって異なります。

    サービスとしてのインフラストラクチャ。このモデルでは、クラウド サービス プロバイダーがコンピューティング、ネットワーク、ストレージのリソースをオンデマンドで提供します。中核的コンピューティング サービスのセキュリティの責任はプロバイダーにあります。顧客はオペレーティング システムとその上にあるものすべて (アプリケーション、データ、ランタイム、ミドルウェアなど) をセキュリティで保護する必要があります。

    サービスとしてのプラットフォーム。多くのプロバイダーは、開発とデプロイのための環境全体をクラウドの中で提供することも行っています。プロバイダーは中核的コンピューティング サービスに加えてランタイム、ミドルウェア、オペレーティング システムの保護の責任を負います。顧客はアプリケーション、データ、ユーザー アクセス、エンドユーザー デバイス、エンドユーザー ネットワークを安全に守る必要があります。

    サービスとしてのソフトウェア。組織は、Microsoft Office 365 や Google ドライブなどの従量課金制モデルのソフトウェアにもアクセスできます。このモデルでは、顧客はデータ、ユーザー、デバイスに対するセキュリティを提供する必要があります。

     

  • 次の 4 つのツールがクラウド内で企業のリソースを保護するのに役立ちます。

    • クラウド ワークロード保護プラットフォームは、クラウド内のアプリケーションに必要なコンピューティング、ストレージ、ネットワーキングの機能をセキュリティで保護するのに役立ちます。具体的な機能は、パブリック、プライベート、ハイブリッドのクラウド環境内のワークロードを特定し、スキャンして脆弱性を探すことです。脆弱性が発見された場合は、その問題の修復方法が提案されます。
    • クラウド アプリ セキュリティ ブローカーは IT チームがクラウド アプリの使用状況を可視化するのに役立ち、各アプリのリスク評価を行う機能もあります。このようなソリューションは、クラウド内のデータの移動を示すツールを備えており、データの保護とコンプライアンス目標の達成にも役立ちます。クラウド アプリ セキュリティ ブローカーは、通常とは異なるユーザーの行動を検出して脅威を修復するのにも使用されます。
    • クラウド セキュリティ態勢管理ソリューションでは、侵害につながるおそれのある構成のエラーを継続的に探すことでリスクの縮小を実現します。このプロセスを自動化することによって、手作業のプロセスにおける誤りのリスクを縮小するとともに、多数のサービスとアカウントを持つ環境の可視性を高めます。脆弱性が検出された場合は、問題の修正方法が提案され、開発者はこれを参考にして修正することができます。
    • ID およびアクセス管理のソリューションには、ID を管理し、アクセス ポリシーを適用するためのツールがあります。組織はこれらのソリューションを使用して機密性の高いリソースへのアクセスを制限するとともに、多要素認証と最小特権アクセスを適用します。
    • クラウドネイティブ アプリケーション保護プラットフォーム (CNAPP) は、セキュリティ チームがコードからクラウドまでセキュリティを組み込むのに役立ちます。CNAPP では、クラウド セキュリティの脅威の防止、検出、対応を開発から実行時まで行うために、コンプライアンスとセキュリティの機能が統合されています。
    • 統合型の DevOps セキュリティ管理を利用すると、セキュリティ チームは、複数パイプラインのセキュリティを統合、強化、管理し、セキュリティのシフト レフトによってコード自体にセキュリティを組み込み、単一のコンソールでコードからクラウドまでの保護をサポートできるようになります。
  • 組織のクラウドを保護するための手順とポリシーを制定するときに考慮する必要がある領域は次の 4 つです。

    • アクセスを制限する: クラウドによってあらゆるものがインターネットでアクセス可能になるため、適切な人物だけが適切なツールにアクセスできることと、アクセスできる時間の長さが適切であることは、きわめて重要です。
    • データを保護する: 組織は保有するデータがどこにあるかを理解して適切なコントロールを実施することによって、データをホストし保存するインフラストラクチャとデータそのものの両方を安全に守る必要があります。
    • データ回復: 優れたバックアップ ソリューションとデータ回復計画は、侵害が発生した場合にきわめて重要になります。
    • 対応計画: 組織が侵害を受けたときに、その影響を減らすとともに他のシステムのセキュリティ侵害を防ぐための計画が必要です。
    • セキュリティのシフト レフト: セキュリティ チームと開発チームが協力してコード自体にセキュリティを組み込むことで、クラウドネイティブ アプリケーションが最初からセキュリティを維持できます。
    • DevOps セキュリティ態勢の可視化を統合する: DevOps プラットフォーム全体における DevOps セキュリティ態勢の分析情報を 1 つのビューに表示することで、死角を最小限に抑えることができます。
    • セキュリティ チームを新たな脅威に集中させる: クラウド リソースの構成をコードで強化すると、セキュリティの問題が運用環境に持ち込まれるケースを減らすことができます。
  • 組織が警戒する必要があるクラウド リスクは次のとおりです。

    • アカウントの侵害: 従業員のパスワードを盗んでシステムと会社の貴重な資産へのアクセスを獲得するために、フィッシングという攻撃がよく使われます。
    • ハードウェアとソフトウェアの脆弱性: 組織が使用するクラウドがパブリックかプライベートかにかかわらず、ハードウェアとソフトウェアにパッチが適用されて最新の状態であることはきわめて重要です。
    • 内部の脅威:人的エラーは、セキュリティ侵害の大きな要因です。構成の誤りによって、攻撃者が付け入る隙が生まれます。従業員は悪意のあるリンクをクリックしてしまうことや、不注意でデータを安全ではない場所に移動してしまうこともあります。
    • クラウド リソースの可視性の欠如: このようなクラウドのリスクは、セキュリティの脆弱性や脅威の検出と対応を困難にし、侵害やデータの損失につながる可能性があります。
    • リスクの優先度の欠如: セキュリティ管理者がクラウド リソースを可視化すると、セキュリティ態勢を改善するための推奨事項の数に圧倒されるかもしれません。リスクの優先度を決めることで、セキュリティに最大の効果をもたらすためにどこに重点的に取り組むべきかを管理者が知ることが重要です。
    • リスクの高いクラウド アクセス許可: クラウド サービスや ID の普及によって、リスクの高いクラウド アクセス許可の数が増加し、想定される攻撃面が拡大しています。アクセス許可クリープ インデックス (PCI) というメトリックは、ID がアクセス許可に基づいてどれだけの損害を与えることができるかを測定するものです。
    • 新たに出現する脅威の状況: クラウド セキュリティのリスクは常に変化しています。セキュリティ侵害やデータの損失から保護するには、新たな脅威が出現しても常に状況を把握しておくことが重要です。
    • クラウドネイティブの開発とセキュリティ間での統合の欠如: アプリがクラウドに展開される前に、セキュリティ チームと開発チームが協力してコードの問題を特定し、修正することがきわめて重要です。
  • クラウド セキュリティとは、クラウドベースのシステムとデータの保護を目的としたテクノロジ、手順、ポリシー、コントロールのことです。クラウド セキュリティのいくつかの例を以下に示します。

    • 組織が使用するアプリとデータを可視化する、クラウド アクセス セキュリティ ブローカーなどのツール。
    • 構成エラーの特定と修正に役立つクラウド セキュリティ態勢管理。
    • セキュリティ チームと開発チームが協力してコード自体にセキュリティを組み込むのに役立つツール。
    • セキュリティを開発プロセスに組み込むためのクラウド ワークロード保護プラットフォーム。
    • 定期的にソフトウェアにパッチを適用するなど、従業員のデバイスを常に最新状態にするためのポリシーの実装。
    • 最新の脅威やフィッシングの手口を従業員に周知徹底するためのトレーニング プログラムの確立。
  • クラウド セキュリティでは、クラウドのシステムとデータを内外の脅威から保護することで、サイバー攻撃のリスクを縮小します。また、クラウド セキュリティでは、従業員、請負業者、ビジネス パートナーが業務を社内で行うかリモートで行うかにかかわらず、リソースにアクセスできる人を制御できるので、ハイブリッド作業モデルがサポートされます。クラウド セキュリティには、データ プライバシーが強化されて、GDPR や HIPAA などの規制を遵守するのに役立つという利点もあります。これらの規制を遵守できなかった場合は、高額の罰金が科せられて評判が損なわれるおそれがあります。

  • クラウド セキュリティのベスト プラクティスは、以下のように、組織のテクノロジ、プロセス、コントロールに及びます。

    • エラーを減らし、セキュリティを強化し、効果的にアクセスを管理するのに役立つよう、クラウドネイティブのアプリケーション プラットフォームにクラウド ワークロード保護プラットフォーム、クラウド インフラストラクチャ エンタイトルメント管理、クラウド セキュリティ態勢管理が含まれるようにします。
    • 従業員がフィッシングの攻撃活動や他のソーシャル エンジニアリングの手法を認識できるよう、定期的なトレーニングを実施します。また、機密データの暗号化、ソフトウェアやハードウェアの定期的なパッチ適用、強いパスワードのポリシーの作成など、攻撃の防止、検出、対応に役立つプロセスを実装します。
    • すべてのアクセス要求を明示的に検証するゼロ トラスト フレームワークを導入します。これには、最小特権アクセスの方針に従って、ユーザーにはその人が必要としているリソースに限定してアクセス権を付与することが含まれます。
    • DevOps パイプラインにおけるセキュリティのシフト レフトによって、セキュリティ チームと開発チームが協力してコード自体にセキュリティを組み込むことで、クラウドネイティブ アプリケーションが最初からセキュリティを維持できるようにします。

Microsoft Security をフォロー