クラウドセキュリティの仕組み| クラウドコンピューティングのセキュリティ

クラウドコンピューティングにはいくつかのリスクがありますが、適切なクラウドセキュリティ戦略を採用することでそうしたリスクをほぼ相殺できます。

Share facebook icon linkedin icon twitter icon email icon

クラウドセキュリティ

学習目的

この記事を読み終えると、以下のことができます。

  • クラウドセキュリティとは何かを理解する
  • クラウドコンピューティングのセキュリティ技術について知る
  • クラウドセキュリティに関するベストプラクティスを理解する

クラウドセキュリティとは?

クラウドセキュリティとは、クラウド内でホストされているデータやアプリケーションを保護する一連の戦略や方策のことです。サイバーセキュリティと同様に、クラウドセキュリティは非常に広い領域に及ぶものであり、あらゆる種類の攻撃を防止することは不可能です。しかし、適切に策定されたクラウドセキュリティ戦略は、サイバー攻撃のリスクを大幅に軽減します。

こうしたリスクがあるにもかかわらず、クラウドコンピューティングは、オンプレミスコンピューティングよりずっと安全であることが多いです。ほとんどのクラウドプロバイダーは、個々の企業よりもデータの安全性を確保するリソースをより多く持っているので、クラウドプロバイダーはインフラストラクチャを最新の状態に保ち、できるだけ早く脆弱性を是正することができます。これに反して、一企業がそうした対策を恒常的に講じるための十分なリソースを確保することは難しいです。

注:クラウドセキュリティは、クラウド内でホストされるセキュリティプロダクトを指すSecurity-as-a-Service(SECaaSまたはSaaS)とは異なります。

クラウドセキュリティの主なリスク

ほとんどのクラウドセキュリティのリスクは、次のいずれか1つのカテゴリーに分類されます:

  • データが暴露されている、または漏えいしている
  • 社外の不正なユーザーが内部データにアクセスしている
  • 社内の正当なユーザーが内部データに過度にアクセスしている
  • DDoS攻撃のような悪意のある攻撃、またはマルウェア感染は、クラウドインフラストラクチャを麻痺させて破壊します。

クラウドセキュリティ戦略の目標は、データを保護する、ユーザーの認証やアクセスを管理する、攻撃に遭っても業務を継続する、といったことを行うことでリスクがもたらす脅威をできる限り軽減することです。

クラウドセキュリティの主な技術

クラウドセキュリティ戦略には、以下のすべての技術が含まれている必要があります:

暗号化:暗号化とは、権限を持つ関係者のみがデータを認識できるようにデータをスクランブルする方法の1つです。攻撃者が会社のクラウドをハッキングして暗号化されていないデータを見つけた場合、そのデータを使用して、さまざまな悪意のある行為(漏えいさせる、転売する、ほかの攻撃を実行する)をすることができます。ところが、会社のデータが暗号化されていれば、攻撃者は何らかの方法で復号鍵を見つけない限り(ほぼ不可能である)、使い物にならないスクランブルしたデータしか見つけることはできません。このように、万一ほかの対策が失敗したとしても、暗号化はデータの漏えいや暴露を防止するのに役立ちます。

データは、保管時または転送時(ほかの場所に送信中)に「at rest(保存状態)」として暗号化することができます。クラウドデータは、攻撃者が傍受して閲覧できないように、保管時と転送時の両方において暗号化するべきです。転送時でのデータの暗号化は、マルチクラウド環境やハイブリッドクラウド環境のように、クラウドとユーザー間でやり取りされるデータと1つのクラウドと別のクラウド間でやり取りされるデータの両方に対して適用する必要があります。また、データはデータベース内に保存するときやクラウドストレージサービスを介して保存するときにも暗号化するべきです。

マルチクラウド環境またはハイブリッドクラウド環境におけるクラウドがネットワーク層で接続されている場合、VPNはその間のトラフィックを暗号化できます。アプリケーション層で接続されている場合は、SSL/TLS暗号化を使用する必要があります。SSL/TLSを用いてユーザーとクラウド間のトラフィックも暗号化するようにします(「HTTPSとは?」を参照)。

Identity and Access Management(IAM):Identity and Access Management(IAM)プロダクトは、ユーザーが誰か/何をすることを許可されているかを追跡して、必要に応じて、ユーザーを承認したり不正なユーザーを拒否したりします。IAMがクラウドコンピューティングにおいて極めて重要となるのは、ユーザーのデバイスや場所ではなく、ユーザーのIDとアクセス権限に基づいて、データにアクセスできるかどうかを判断するからです。

IAMは、不正なユーザーが社内アセットにアクセスしたり正当なユーザーが権限を越えたりするリスクを軽減するのに役立ちます。適切なIAMソリューションは、アカウント乗っ取りやインサイダー攻撃(ユーザーまたは従業員がアクセス権限を悪用してデータを暴露する)を含む、いくつかの種類の攻撃を抑止するのに役立ちます。

IAMには、複数のサービスを含むものもあれば、以下のすべての機能を組み合わせた1つのサービスであるものもあります:

  • ユーザーIDを認証するIDプロバイダー(IdP)
  • シングルサインオン(SSO)サービスは、複数のアプリケーションのユーザーIDを認証することを可能にするので、ユーザーは一度サインインするだけですべてのクラウドサービスにアクセスできます
  • 多要素認証(MFA)サービスは、ユーザー認証プロセスを強化します
  • アクセス制御サービスは、ユーザーアクセスを許可および制限します

ファイアウォール:クラウドファイアウォールは、悪意のあるWebトラフィックをブロックすることでクラウドアセットの周囲に保護層を形成します。オンプレミスでホストされていてネットワーク境界を防御する従来のファイアウォールとは異なり、クラウドファイアウォールは、クラウドでホストされていてクラウドインフラストラクチャの周囲に仮想セキュリティバリアを形成します。ほとんどのWeb Application Firewallは、このカテゴリーに分類されます。

クラウドファイアウォールは、DDoS攻撃、悪意のあるボットアクティビティ、脆弱性の悪用などを抑止します。これにより、サイバー攻撃によって会社のクラウドインフラストラクチャが麻痺する可能性が小さくなります。

クラウドデータを保護するために重要な対策としてほかにどのようなものがあるか?

クラウドデータを保護するのに、上記の技術(およびほかのクラウドセキュリティプロダクト)を実装するだけでは不十分です。標準的なサイバーセキュリティのベストプラクティスに加えて、クラウドを使用する組織は次のようなクラウドセキュリティプラクティスを実践する必要があります:

クラウドサーバーのセキュリティ設定を適切に行う:会社がセキュリティ設定を適切に行わないと、データ漏えいを招く恐れがあります。不適切なセキュリティ設定がされたクラウドサーバーは、インターネット全体にデータを直接暴露する可能性があります。クラウドセキュリティ設定を適切に行うには、各クラウドの処理に精通したチームメンバーが必要であるだけでなく、クラウドベンダーとの緊密な連携も必要となる場合があります。

すべてのクラウドおよびデータセンターにわたって一貫性のあるセキュリティポリシーを確立する:セキュリティ対策は、パブリッククラウド、プライベートクラウド、オンプレミスインフラストラクチャを含む、会社のインフラストラクチャ全体に対して適用しなければなりません。会社のクラウドインフラストラクチャの一部(ビッグデータを処理するためのパブリッククラウドサービスなど)が暗号化や強力なユーザー認証によって保護されていない場合、攻撃者はそうした脆弱な部分を見つけて標的とする可能性が高いです。

バックアッププランを用意しておく:ほかのタイプのセキュリティと同様に、問題が生じたときの代わりの方法や手段を用意しておく必要があります。データが損失したり改ざんされたりするのを防ぐために、別のクラウドまたはオンプレミスにバックアップデータを保管しておく必要があります。また、1つのクラウドサービスに障害が発生しても、ビジネスプロセスが中断しないようにフェイルオーバープランも作成しておく必要があります。マルチクラウドデプロイメントおよびハイブリッドクラウドデプロイメントの長所の1つは、バックアップとして別のクラウドを使用できることです。たとえば、クラウド内のデータストレージをオンプレミスデータベースのバックアップとして使用できます。

ユーザーと従業員に対する教育・啓発を行う:多くのデータ漏えいは、ユーザーがフィッシング攻撃の被害に遭って知らずにマルウェアをインストールしてしまった、古くなった脆弱性のあるデバイスを使った、パスワードを適切に管理しなかった(同じパスワードを再利用した、パスワードを他人に見える場所に書き留めたなど)といったことが原因で発生します。セキュリティについて従業員を教育・啓発することで、クラウドを運用する企業は、そうした事態が発生する確率を減らすことができます。(Cloudflareのラーニングセンターにはセキュリティの教育・啓発活動に役立つリソースがあります。)

Cloudflareはどのようにクラウドコンピューティングセキュリティを提供するか ?

Cloudflareは、マルチクラウド環境およびハイブリッドクラウド環境を含む、あらゆるタイプのクラウドインフラストラクチャのための一元化されたコントロールプレーンとしての役割を果たします。Cloudflareのプロダクトスタックは、100を超える国の200都市にまたがるグローバルプロキシネットワーク上で実行されるので、企業は一貫性のあるセキュリティポリシーをすべてのクラウドに対して適用できると同時に、DDoS攻撃や脆弱性を悪用する攻撃を阻止できます。Cloudflareを利用することで、ベンダーロックインのリスクも軽減できます。