ユースケース別
クラウドセキュリティとは、クラウドコンピューティング環境を攻撃から守るための、相互に関連するポリシー、ツール、プロセス、人材の包括的なセットのことです。これは、ネットワークやストレージ(クラウドインフラストラクチャ)からデータやアプリケーションに至るまで、クラウドコンピューティングスタックのあらゆる部分に適用されます。
クラウドセキュリティは、従来のオンプレミス型のサイバーセキュリティと基本的なコンセプトを共有していますが、それ独自のテクノロジーやベストプラクティスも含んでいます。後者のコンポーネントは、クラウドにおける特定の高度な脅威から身を守り、分散するネットワーク境界を保護し、クラウドサービスプロバイダーとその顧客間でセキュリティ責任の適切に分散するのに役立ちます。
クラウドセキュリティに関するその他のトピックとしては、次のものがあります。
企業や組織がより多くのワークロードをクラウドコンピューティング環境に移行する中で、同環境内にあるアプリケーションや顧客データを保護することが極めて重要になります。クラウドセキュリティの大まかな目的は、次の通りです。
クラウドセキュリティとは、本質的に共同責任です。クラウドプロバイダーと顧客が具体的にクラウドコンピューティングセキュリティのどの部分を管理するかによって、個々のビジネス関係におけるクラウドセキュリティアーキテクチャが決定されます。
アプリケーションに関するセキュリティ対策の例としては、次のものが挙げられます。
アプリケーションへのアクセスに関するセキュリティ対策の例としては、次のものが挙げられます。
クラウドセキュリティは複雑であるため、一貫性のある十分にサポートされているクラウドセキュリティアーキテクチャが重要となります。データは非マネージドデバイスによってアクセスされる可能性があり、防御すべき従来のネットワーク境界は存在しません。多くの危険性がある中で、APT(Advanced Persistent Threat)のような複雑なセキュリティリスクも存在します。
主要なサービスモデルとしては、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)、DaaS(Desktop as a Service)が挙げられます。それぞれの主要なクラウドサービスモデルには、クラウドプロバイダーと顧客により管理される独自のセキュリティアーキテクチャがあります。
また、クラウドセキュリティアーキテクチャは、対象となるクラウドがパブリッククラウド、プライベートクラウド、ハイブリッドクラウドのうちどの形態で導入されているかによっても異なります。多くの企業や組織は、マルチクラウド戦略の一環として、各カテゴリにおいて1つ以上のクラウドを利用しています。
ホワイトペーパー
今日のマルチクラウド環境において、包括的なクラウドベースの保護が必要となる理由をご紹介しています。
サービスや導入モデルによって異なりますが、クラウドセキュリティの責任は、常にある程度まで共有されます。たとえば、パブリッククラウドサービスプロバイダーが提供するIaaSでは、物理ネットワークインターフェイス、ハイパーバイザー、データストレージはプロバイダーが管理し、それらの上に置かれたオペレーティングシステム、アプリケーション、データは顧客が管理します。
このアーキテクチャは、クラウドプロバイダーがクラウド「自体の」セキュリティ(すなわち、データベースやデータセンター内におけるコンピューティング容量などの必須ハードウェアとソフトウェア)を監視し、顧客がクラウド「内の」セキュリティ(すなわち、組織がいかにしてアクセス要求を許可または拒否し、ファイアウォールを構成し、クラウドサービスの通常の使用過程においてその他の活動を実行するか)を監督するものとして説明されることがあります。
パブリッククラウドのPaaS、 SaaS、 DaaSでは、IaaSに比べて、クラウドサービスプロバイダーがセキュリティ責任を担う割合が大きくなっています たとえば、SaaSの場合、顧客は基盤となるサーバー、データベース、および関連するセキュリティメカニズム(暗号化など)を管理する必要がありません。その一方で、この仕組みはSaaSにリスクがないことを意味するものではありません。顧客はクラウドプロバイダーを吟味し、アプリケーションアクセスが適切に保護されていることを確認する必要があります。
プライベートクラウドやハイブリッドクラウドでは、企業や組織が独自の用途のためにのみリソースセットを維持する場合、通常、顧客側に求められるサイバーセキュリティ責任がより大きくなります。プライベートクラウドやハイブリッドクラウドのデータには、セキュリティ上のメリットがあります。これは、同データが、パブリッククラウドのデータほど共有インフラストラクチャに依存していないためです。ただし、データを安全に保つには、顧客による、より直接的な取り組みが必要となる場合があります。
SSOの使用など、従来のサイバーセキュリティプラクティスの一部はクラウドセキュリティアーキテクチャにうまく適合しますが、クラウドセキュリティは顧客サイドのオンプレミスセキュリティとは基本的に異なります。主な違いとしては、次のことが挙げられます。
より広範なアクセシビリティが原因で、より大規模な脅威をもたらす可能性があります。クラウドアプリケーションは従来のアプリケーションに比べてより広範なアクセシビリティを提供するものであり、クラウドアプリケーションには事実上あらゆる場所からIPネットワーク経由でアクセスできます。このため、クラウドアプリケーションは、より多くのサイバー攻撃を引き寄せる可能性があります。SQLインジェクション、分散型サービス拒否(DDoS)攻撃、およびその他の脅威は、クラウドアプリケーションにおいて常に懸念されるセキュリティ上の問題です。
マルチクラウド環境はハッカーを引き寄せる磁石のようなものであるため、慎重に監視する必要があります。たとえば、ボットによる自動化された攻撃は、ボット検出用のソリューションを、WAFやAPI保護のようなその他のセキュリティツールと連携して動作させることで、初めて阻止できるようになります。APIの保護が不適切である場合、不正アクセスが可能となり、データ漏洩を引き起こす可能性があります。
プロバイダーと顧客間で責任が共有されること。また、クラウドセキュリティは、それが共同責任であるという点で、従来のセキュリティとは異なっています。クラウドの顧客は、アクセスに関連する側面を制御できるとしても、セキュリティを完全に制御することはできません。
このような共同責任は、パブリッククラウドにおいて最も明白となります。パブリッククラウドでは、サービスプロバイダーがデータの暗号化とマルウェア対策を担当し、顧客がアクセスの保護を担当します。このため、プロバイダーが提供するサービスレベル保証(SLA)と、プロバイダー自身のセキュリティに関する実績の両方が、クラウドセキュリティを実現する上で不可欠の要素となります。
アクセスの保護に関するさまざまな要件が存在していること。オンプレミスセキュリティが持つ高度に一元化された境界定義型モデルは、最新のマルチクラウド環境には拡張できません。クラウドアプリケーションアクセスは、VPNやファイアウォールなどの安全対策のみでは、完全には保護できません。これらの安全対策は、企業ネットワーク内にいるユーザーが信頼できることを前提としています。
たとえば、VPNでは企業ネットワークへの広範なアクセスを許可しており、承認されたユーザーに大きな信頼を寄せています。これは、限られたオンプレミスのコンテキストでは実現可能ですが、ユーザーが実際にボットやセキュリティ脅威になり得るような広範なクラウドアプリケーションアクセスの世界では実現できないアプローチです。
全体として、クラウド特有のセキュリティ課題や、オンプレミスと比較して困難さが大きく増しているセキュリティ課題が数多く存在しています。これには次のものが含まれます。
企業や組織は、WAFを使用することで脅威を検出し阻止できます。より具体的には、WAF(クラウド型WAF )は、クラウドコンピューティング環境全体のトラフィックとWebサービスに包括的なセキュリティを提供するものであり、SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃から守ります。また、WAFは、インストールされているすべてのアプライアンスに一貫したセキュリティポリシーを適用することで、クラウドアプリケーションとAPIを保護します。これにより、統一的なセキュリティ体制を構築できます。
企業や組織は、クラウドに特化した最も深刻なタイプのサイバー攻撃を阻止する多層型ソリューションを使用することで、APIをロックダウンできます。APIの保護は、既知の攻撃やゼロデイ攻撃から身を守るために役立ちます。これは、クラウドアーキテクチャにおける最大のセキュリティソフトスポットとなるようなAPIを保護するものです。APIの保護が強化されるほど、データ侵害も減少します。
企業や組織は、暗号化と監視を通じてデータを保護します。暗号化の方法は、クラウドサービスがIaaS、PaaS、SaaS、DaaSのいずれであるかによって異なります。データソースを注意深く監視することで、データベースの設定ミスによるデータ漏洩がないことを確認する必要があります。
企業や組織は、ゼロトラストセキュリティを通じて、アクセスと承認を管理します。これを実現するには、MFAのようなメカニズムや、デバイスのパッチレベルやユーザーの地理的な位置を含む複数の関連する基準の評価を通じて、ユーザー、デバイス、リクエストを状況に応じて継続的に評価することが必要です。
エンドポイント管理 ソリューションおよびネットワーク監視ソリューションは、誰が何をどこで行っているかを把握するために必要となります。このような可視性は、複数の導入環境やサービスが存在している複雑なハイブリッドクラウドやマルチクラウド環境において、特に重要となります。
シトリックスは、あらゆるタイプのアプリケーションの安全な利用とそれへのアクセスを可能にする、さまざまなクラウドセキュリティソリューションを提供しており、より効率的なリモートワーク環境とマルチクラウドの導入をサポートしています。
日本:
03 4577 5900