クラウドセキュリティとは?

クラウドセキュリティとは、クラウドコンピューティング環境を攻撃から守るための、相互に関連するポリシー、ツール、プロセス、人材の包括的なセットのことです。これは、ネットワークストレージ(クラウドインフラストラクチャ)からデータやアプリケーションに至るまで、クラウドコンピューティングスタックのあらゆる部分に適用されます。

クラウドセキュリティは、従来のオンプレミス型のサイバーセキュリティと基本的なコンセプトを共有していますが、それ独自のテクノロジーやベストプラクティスも含んでいます。後者のコンポーネントは、クラウドにおける特定の高度な脅威から身を守り、分散するネットワーク境界を保護し、クラウドサービスプロバイダーとその顧客間でセキュリティ責任の適切に分散するのに役立ちます。

クラウドセキュリティに関するその他のトピックとしては、次のものがあります。

クラウドセキュリティが重要である理由

企業や組織がより多くのワークロードをクラウドコンピューティング環境に移行する中で、同環境内にあるアプリケーションや顧客データを保護することが極めて重要になります。クラウドセキュリティの大まかな目的は、次の通りです。

  • ボットによる分散型サービス拒否(DDoS)攻撃、APIの悪用、データ破損の脆弱性などの脅威に対して、クラウドデータ、ユーザー、および基盤となるシステムが十分に保護されていることを保証すること。
  • クラウドデータの保管場所やクラウドプロバイダーが尊重すべきユーザーのプライバシーレベルなどを規定する規制のような、適用される法令に関する規制コンプライアンス要件をサポートすること。
  • クラウド環境全体における可視性を提供することで、セキュリティチームがAPIやユーザーインタフェイスを介していかなるリクエストが行われているかを把握できるようにすると同時に、関連するアナリティクスを表示できるようにすること。
  • 場所に関係なく、クラウドユーザーとそのデバイスに対するアクセス制御と認証を実施すること。これは多くの場合、ゼロトラストセキュリティモデルを通じて行われます。
  • 対象となるクラウドサービスと導入モデルに応じて、クラウドサービスプロバイダーとサブスクライバーに責任を割り当てること。

クラウドセキュリティとは、本質的に共同責任です。クラウドプロバイダーと顧客が具体的にクラウドコンピューティングセキュリティのどの部分を管理するかによって、個々のビジネス関係におけるクラウドセキュリティアーキテクチャが決定されます。

クラウドセキュリティアーキテクチャとは?

クラウドセキュリティアーキテクチャとは、クラウドプロバイダーとサブスクライバー間でセキュリティ責任がどのように共有されるかを示す構造のことです。これは基本的に、誰が何を、どのような方法で保護するかを決定するものです。

プロバイダーまたは顧客は、それぞれが担当する各領域において、クラウドアプリケーション自体を保護するか、またはクラウドアプリケーションへのアクセスを保護するための特定の技術的コンポーネントを管理します。

アプリケーションに関するセキュリティ対策の例としては、次のものが挙げられます。

  • データ暗号化アルゴリズムやプロトコルを通じて、必要に応じて転送時および保存時にクラウドデータを保護します。
  • Webアプリケーションファイアウォール(WAF)とボット管理ソリューションを通じて、さまざまなサイバー攻撃や不適切なデータ流出のリスクを軽減します。
  • マルウェアやランサムウェアの検知と除去に加えて、機密データへの不適切なアクセスや同データの流出を防止するようなセキュリティツールを通じて、より広範なデータ損失防止を実現します。
  • クラウド環境全体におけるリクエスト、サイバーセキュリティイベント、およびその他のすべてのアクティビティとエンドポイントを監視し、ログに記録します。

アプリケーションへのアクセスに関するセキュリティ対策の例としては、次のものが挙げられます。

クラウドセキュリティは複雑であるため、一貫性のある十分にサポートされているクラウドセキュリティアーキテクチャが重要となります。データは非マネージドデバイスによってアクセスされる可能性があり、防御すべき従来のネットワーク境界は存在しません。多くの危険性がある中で、APT(Advanced Persistent Threat)のような複雑なセキュリティリスクも存在します。

主要なサービスモデルとしては、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)、DaaS(Desktop as a Service)が挙げられます。それぞれの主要なクラウドサービスモデルには、クラウドプロバイダーと顧客により管理される独自のセキュリティアーキテクチャがあります。

また、クラウドセキュリティアーキテクチャは、対象となるクラウドがパブリッククラウドプライベートクラウドハイブリッドクラウドのうちどの形態で導入されているかによっても異なります。多くの企業や組織は、マルチクラウド戦略の一環として、各カテゴリにおいて1つ以上のクラウドを利用しています。

ホワイトペーパー

マルチクラウド環境全体を通じて包括的な保護が必要となる理由

今日のマルチクラウド環境において、包括的なクラウドベースの保護が必要となる理由をご紹介しています。

ホワイトペーパーを読む

クラウドセキュリティの責任者は誰か?

サービスや導入モデルによって異なりますが、クラウドセキュリティの責任は、常にある程度まで共有されます。たとえば、パブリッククラウドサービスプロバイダーが提供するIaaSでは、物理ネットワークインターフェイス、ハイパーバイザー、データストレージはプロバイダーが管理し、それらの上に置かれたオペレーティングシステム、アプリケーション、データは顧客が管理します。

このアーキテクチャは、クラウドプロバイダーがクラウド「自体の」セキュリティ(すなわち、データベースやデータセンター内におけるコンピューティング容量などの必須ハードウェアとソフトウェア)を監視し、顧客がクラウド「内の」セキュリティ(すなわち、組織がいかにしてアクセス要求を許可または拒否し、ファイアウォールを構成し、クラウドサービスの通常の使用過程においてその他の活動を実行するか)を監督するものとして説明されることがあります。

パブリッククラウドのPaaS、 SaaS、 DaaSでは、IaaSに比べて、クラウドサービスプロバイダーがセキュリティ責任を担う割合が大きくなっています たとえば、SaaSの場合、顧客は基盤となるサーバー、データベース、および関連するセキュリティメカニズム(暗号化など)を管理する必要がありません。その一方で、この仕組みはSaaSにリスクがないことを意味するものではありません。顧客はクラウドプロバイダーを吟味し、アプリケーションアクセスが適切に保護されていることを確認する必要があります。

プライベートクラウドやハイブリッドクラウドでは、企業や組織が独自の用途のためにのみリソースセットを維持する場合、通常、顧客側に求められるサイバーセキュリティ責任がより大きくなります。プライベートクラウドやハイブリッドクラウドのデータには、セキュリティ上のメリットがあります。これは、同データが、パブリッククラウドのデータほど共有インフラストラクチャに依存していないためです。ただし、データを安全に保つには、顧客による、より直接的な取り組みが必要となる場合があります。

クラウドセキュリティとオンプレミスセキュリティの違いとは?

SSOの使用など、従来のサイバーセキュリティプラクティスの一部はクラウドセキュリティアーキテクチャにうまく適合しますが、クラウドセキュリティは顧客サイドのオンプレミスセキュリティとは基本的に異なります。主な違いとしては、次のことが挙げられます。

より広範なアクセシビリティが原因で、より大規模な脅威をもたらす可能性があります。クラウドアプリケーションは従来のアプリケーションに比べてより広範なアクセシビリティを提供するものであり、クラウドアプリケーションには事実上あらゆる場所からIPネットワーク経由でアクセスできます。このため、クラウドアプリケーションは、より多くのサイバー攻撃を引き寄せる可能性があります。SQLインジェクション、分散型サービス拒否(DDoS)攻撃、およびその他の脅威は、クラウドアプリケーションにおいて常に懸念されるセキュリティ上の問題です。

マルチクラウド環境はハッカーを引き寄せる磁石のようなものであるため、慎重に監視する必要があります。たとえば、ボットによる自動化された攻撃は、ボット検出用のソリューションを、WAFやAPI保護のようなその他のセキュリティツールと連携して動作させることで、初めて阻止できるようになります。APIの保護が不適切である場合、不正アクセスが可能となり、データ漏洩を引き起こす可能性があります。

プロバイダーと顧客間で責任が共有されること。また、クラウドセキュリティは、それが共同責任であるという点で、従来のセキュリティとは異なっています。クラウドの顧客は、アクセスに関連する側面を制御できるとしても、セキュリティを完全に制御することはできません。

このような共同責任は、パブリッククラウドにおいて最も明白となります。パブリッククラウドでは、サービスプロバイダーがデータの暗号化とマルウェア対策を担当し、顧客がアクセスの保護を担当します。このため、プロバイダーが提供するサービスレベル保証(SLA)と、プロバイダー自身のセキュリティに関する実績の両方が、クラウドセキュリティを実現する上で不可欠の要素となります。

アクセスの保護に関するさまざまな要件が存在していること。オンプレミスセキュリティが持つ高度に一元化された境界定義型モデルは、最新のマルチクラウド環境には拡張できません。クラウドアプリケーションアクセスは、VPNやファイアウォールなどの安全対策のみでは、完全には保護できません。これらの安全対策は、企業ネットワーク内にいるユーザーが信頼できることを前提としています。

たとえば、VPNでは企業ネットワークへの広範なアクセスを許可しており、承認されたユーザーに大きな信頼を寄せています。これは、限られたオンプレミスのコンテキストでは実現可能ですが、ユーザーが実際にボットやセキュリティ脅威になり得るような広範なクラウドアプリケーションアクセスの世界では実現できないアプローチです。

クラウドセキュリティの最大の課題とは?

全体として、クラウド特有のセキュリティ課題や、オンプレミスと比較して困難さが大きく増しているセキュリティ課題が数多く存在しています。これには次のものが含まれます。

  • トラフィックのフィルタリング、監視、ブロック:WAFは、クラウドアプリケーションへの大量のトラフィックフローをスクリーニングするのに必要となるため、クラウドセキュリティではより重要となります。適切なフィルタリング、監視、およびブロックが行われない場合、このトラフィックは、マルウェアや悪意あるボットからのリクエストを運ぶ可能性があります。
  • APIの保護:さまざまなサービスをつなぐ膨大な数のクラウドAPIが公開されたままになっていると、不適切なデータ転送を有効にするなどして、コストのかかるデータ侵害を引き起こす可能性があります。
  • ボットの特定と管理:ボットネットは多くの自動化されたサイバー攻撃を引き起こすため、ブルートフォースログインなどの問題を阻止するには、ボットネットを適切に特定し管理する必要があります。
  • マルウェア、APT、サイバー攻撃:クラウドコンピューティングスタックは一般に公開されているので、さまざまなサイバーセキュリティの脅威から絶えず広範囲の圧力を受けています。この結果、アクセスが中断され、機密情報が漏洩する可能性があります。
  • クラウドセキュリティ制御が不適切または不十分である:企業が アプリケーションをクラウドに移行する場合、それに合わせてセキュリティ制御を更新するとは限らず、クラウドセキュリティアーキテクチャにおける共同責任を考慮していないこともあります。
  • 設定ミス:クラウドリソースが正しく設定されていないと、セキュリティ上の問題が長期にわたって発見されない場合があります。
  • ネットワーク/WANセキュリティ:クラウドアプリケーションをサポートするためにMPLS WANからSD-WANへと移行する中で、SaaSのブレイクアウトを可能にし、従来のWANの一元化されたセキュリティモデルを置き換えるために、SASEのような新しいセキュリティメカニズムとアーキテクチャに関するニーズが高まっています。

クラウドセキュリティにどのようにアプローチすべきか?

クラウドセキュリティのベストプラクティスは膨大な範囲に及びますが、その多くは、クラウドセキュリティアーキテクチャ内での共同責任を理由として、顧客が直接管理することはできません。慎重なクラウドセキュリティ戦略における最も重要な構成要素としては、次のものが挙げられます。

WAF

企業や組織は、WAFを使用することで脅威を検出し阻止できます。より具体的には、WAF(クラウド型WAF )は、クラウドコンピューティング環境全体のトラフィックとWebサービスに包括的なセキュリティを提供するものであり、SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃から守ります。また、WAFは、インストールされているすべてのアプライアンスに一貫したセキュリティポリシーを適用することで、クラウドアプリケーションとAPIを保護します。これにより、統一的なセキュリティ体制を構築できます。

APIの保護

企業や組織は、クラウドに特化した最も深刻なタイプのサイバー攻撃を阻止する多層型ソリューションを使用することで、APIをロックダウンできます。APIの保護は、既知の攻撃やゼロデイ攻撃から身を守るために役立ちます。これは、クラウドアーキテクチャにおける最大のセキュリティソフトスポットとなるようなAPIを保護するものです。APIの保護が強化されるほど、データ侵害も減少します。

ボットの特定と管理

企業や組織は、ボット管理およびボット軽減ツールを利用することで、ボットネットによるクリティカルなクラウドアプリケーションに対するブルートフォース攻撃やDDoS攻撃を防ぐことができます。これらのツールは、高度なルールを使用することで、ボットが合法的なもの(有用なチャットボットなど)であるか、それともサイバー攻撃のリスクを軽減するためにブロックすべきセキュリティ上の障害であるかを評価します。

データの保護と暗号化

企業や組織は、暗号化と監視を通じてデータを保護します。暗号化の方法は、クラウドサービスがIaaS、PaaS、SaaS、DaaSのいずれであるかによって異なります。データソースを注意深く監視することで、データベースの設定ミスによるデータ漏洩がないことを確認する必要があります。

ゼロトラストセキュリティ

企業や組織は、ゼロトラストセキュリティを通じて、アクセスと承認を管理します。これを実現するには、MFAのようなメカニズムや、デバイスのパッチレベルやユーザーの地理的な位置を含む複数の関連する基準の評価を通じて、ユーザー、デバイス、リクエストを状況に応じて継続的に評価することが必要です。

包括的な可視性

 エンドポイント管理 ソリューションおよびネットワーク監視ソリューションは、誰が何をどこで行っているかを把握するために必要となります。このような可視性は、複数の導入環境やサービスが存在している複雑なハイブリッドクラウドやマルチクラウド環境において、特に重要となります。

クラウドセキュリティを実現するためのCitrixソリューション

シトリックスは、あらゆるタイプのアプリケーションの安全な利用とそれへのアクセスを可能にする、さまざまなクラウドセキュリティソリューションを提供しており、より効率的なリモートワーク環境とマルチクラウドの導入をサポートしています。

  • Citrix Secure Private Accessは、クラウドユーザーとそのデバイスに対して適応型のアクセスと認証を提供すると同時に、ゼロトラストネットワークアクセス(ZTNA)をサポートします。 
  • Citrix Secure Internet AccessCitrix SD-WANを組み合わせることで、あらゆる場所におけるユーザーとデータを保護するようなSASEに対する統合アプローチを構築できます。
  • Citrix Workspaceは、クラウドユーザーがリモートワークをより簡単に行えるようにするために、SSOとMFAをベースに構築されています。

Citrix Secure Private Accessを通じてクラウドセキュリティを向上させる方法をご紹介します。

日本: 
03 4577 5900