「クラウドセキュリティ」を進める上で押さえるべきポイント-セキュリティブログ

クラウドセキュリティと聞いて、何をすべきか考えた場合、以下の2点のような疑問が湧いたことはないだろうか。

  • クラウドビルダーが担うセキュリティにおける責任とは何か
  • クラウドセキュリティをどのように維持していくべきか

トレンドマイクロでは、クラウドセキュリティにおける主要な概念およ柔軟かつ包括的なセキュリティ対策を講じるべき領域について解説したレポートを公開している。
今回はこのレポートを元にクラウドセキュリティにおける基本的な考え方について紹介したい。

 

知っておくべき「クラウドセキュリティの基本

世界中の企業組織は、現在使用できる多種多様なクラウド技術基盤の利用、クラウド環境への移行、あるいはクラウドに関する知識やスキルの習得を開始することで、独自のいわゆるデジタルトランスフォーメーションDX市場への取り組みを進めている。
最高セキュリティ責任者CSOやクラウドITチーム、あるいは管理者にとって、特定の展開モデルにおけるクラウドコンピューティング環境のセキュリティ管理は、実のところ骨の折れる作業となる場合がある。
これは、クラウドサービスの使いやすさや柔軟性に加え、
構成や環境設定の変更が任意で行えることが要因と考えられる。
クラウド管理者には自身の所属・担当
する企業が、どのようにクラウドを利用していくか深く理解しておくことが必要であり、それがあってこそ強制のある役割やアカウンタビリティ利用責任を相関させた適切なセキュリティポリシーと標準規定を割り当てることが可能になる。
また、従来型ネットワークベースに用いられる境界型セキュリティ技術や仕組みは、そのままでクラウドに移行することができないし、さらに、クラウドネイティブにおけるセキュリティ概念や構成についても考える必要がある
だからといって、難しく考える必要もない。ネットワーク管理者が直面するセキュリティ上の課題は、以下の通り大半は共通である

  • どのようにネットワークへの不正アクセスを防ぎ、データ侵害を回避できるか
  • どのようにアップタイムを確保できるか
  • どのように通信を暗号化し、クラウド環境利用者の認証を実施できるか
  • どのような対策を講じれば、開発したアプリケーション内で簡単に脅威を検知し脆弱性を検出できるか

トレンドマイクロではこれらの課題を考察した上で、クラウドユーザはどのような点に留意してクラウドセキュリティを講じる必要があるのかをまとめている。

 

まずは”責任共有モデル”について理解する

クラウドサービスの提供元であるプロバイダの責任下にある「クラウド環境のセキュリティ」に対して、ユーザの責任下にある「クラウド内のセキュリティ」という概念は、Amazon Web Services(AWS)によって一般化されてきた
これは、クラウドセキュリティとコンプラ
イアンスにおいてベンダとユーザが各々で担う「共有された責任」の上での責任範囲の所在について明確化するためである。

ベンダは主にクラウドサービスを構築する物理インフラ設備およびネットワークインフラに関する「クラウド環境のセキュリティ」に対しての責任をっている。次に、ユーザが担う「クラウド内のセキュリティ」については、ユーザによって利用登録された特定のクラウドサービスに応じてスライディングスケールが適用されることで、ユーザが担うべきセキュリティにおける直接責任の範囲が決定する
クラウド環境を構築する物理インフラ設備から、クラウド内で作成、処理、保存されたデータに至るまで、以下のようなさまざまなクラウドサービスモデルが提供されている。

  • サービスとしてのインフラストラクチャIaaS
  • サービスとしてのプラットフォームPaaS
  • サービスとしてソフトウェアSaaS

具体的には、Google App EngineMicrosoft Azure Web AppsAWS LambdaなどPaaSを実装するサービスを利用する際、開発者はリソースを購入することで、ソフトウェアの作成、テスト、実行が可能になる。
通常これに伴いユーザはアプリケーションやデータにおける責任を担う一方、ベンダはコンテナインフラやオペレーティングシステムOSを保護する責任と義務を負っている。
前述の通り、取得した特定のサービスに応じてさま
ざまな程度の責任と義務が生じことからより詳細な内容部にて違いが出る場合がある。

【出典:トレンドマイクロ「すぐわかるクラウドセキュリティ」】

クラウドセキュリティは、クラウドプロバイダが提供するサービスの一部である。これは、ベンダとユーザ間で取り決められたサービスレベル契約SLAを含む契約上の合意と義務の履行により保証される。
稼働統計時間や遅延時間などのパフォーマンス測定基準や、発生
が懸念される問題の解決方法に対するユーザの期待値に加え、文書化されたセキュリティ機能、そしておそらくパフォーマンス低下時における罰則も含め、許容可能な基準設定を通じて当事者双方によって通常は管理されている。
では、多くのクラウドユーザが認知すべき、ユーザの責任下にある「クラウド内のセキュリティ」における課題、脅威、およびその他対策を講じるべき領域とはどのようなものがあるのだろうか

クラウドセキュリティにおける主な課題

企業は、企業活動における要件の一部をクラウドへと移行している、あるいはすべての開発・運用業務をクラウド内で実施する「クラウドネイティブ」を実践している、さらに成熟したクラウドベースのセキュリティ戦略を既にもっているなど様々な段階がある。
企業
がクラウド環境の取り組みに対しどの段階にあるかに関係なく、クラウド管理者は、脆弱性管理の実、重要なネットワークイベントの識別、インシデント対応の実行、脅威インテリジェンスの収集対処などセキュリティ運用を管理できる必要がある。
また、連する業界標準に準拠させるとともにコンプライアンスにも従った上でクラウド環境を維持していく必要もある。

複雑さの管理

クラウド環境は、オンプレミスネットワークセキュリティインフラ設備にアクセスすることはできない。
プライベートやパブリッククラウドなど異なる環境が混合するハイブリックラウド内のサービスにおいては、結合性の高いセキュリティ対策を見つけることが困難である。
このため多くのクラウド管理者は常日頃からハイブリッド環境の安全性を確保する方法について頭を悩ませていることだろう。
この複雑さは、特定のクラウド実装戦略に応じてクラウド
コンピューティング内のリスクが異なるという現実にある。
これは、クラウドユーザ特
定のニーズ、リスク選好度、およびユーザの許容可能なリスクレベルに依存している。
このた
めクラウド環境のリスク評価は、公開されているベストプラクティスやコンプライアンスからは多くの情報を得ることが難しい重要な課題である。
しかしながらコンプライアンスガイド
ラインは、リスクに関する適切な質問を提起する際に役立つベースラインまたはフレームワークとして機能する。

可視化によるセキュリティの確保

クラウドサービスへの加入の容易さにより、組織内部でのやり取りの速度に拍車がかかっている。このため、これらのサービスを導入する際の決定権は、いつからかIT部門の範囲外となっている。
にもかかわらず、
IT部門は、クラウドを利用して開発されたアプリのセキュリティにおける責任を負う。

このような課題については、効率的な移行や開発運用を維持しながら、ITがクラウド内のすべてのやり取りを監視しセキュリティ保護を確保できるよう対策を講じる必要があるといえよう。

クラウド内におけるセキュリティリスクと脅威

クラウドユーザによる設定ミスは現在もクラウドセキュリティ内における最も一般的な弱点である。
これは、クラウドユーザ自身が
クラウドインスタンスまたはサービスを設定した場合、重要な設定を見落としたり、あるいは安全でない設定に変更したりする傾向があることを示唆している。
攻撃者これらの設定ミスを発見された場合、さまざまな不正活動に利用される可能性があり、実際にそのようなトラブルも多いと聞く

例えば、特定の組織あるいは別の企業内ネットワークへ侵入するための足掛かりとして実行される「高度な標的型攻撃」が挙げられる。設定ミスとは別に攻撃者は、詐取した認証情報や不正コンテナ、あらゆる階層型ソフトウェアの脆弱性を介してクラウド環境への侵入を可能にする。
実際の攻撃は、金銭的またはその他の方法で組織に損失をもたらす結果となる。
参考までに企業
に影響を与える可能性のあるクラウドベースの攻撃は、以下のようなものがある。

クリプトジャッキング

攻撃者は企業のクラウドコンピューティング処理能力を盗用して不正暗号資産発掘活動を実行する。これによりPCのリソースが占有されるいはネットワークトラフィック量の増加により企業に請求されるインターネット接続料金高額となる可能性がある

Eスキミング

攻撃者は企業の電子商取引eコマースサイトにアクセスし不正コードを挿入することでユーザが入力した支払い情報を窃取する。これによりユーザは大きな損を被る可能性があ、最終的に企業の評判を大きく低下させる恐れがある。

データ変更、侵害、損失、あるいはデータ漏えいにつながる不正アクセス

不正アクセスは、さまざまな攻撃者の最終目的に沿って実行される。例えば、ダークWebで顧客情報を販売するために企業のデータベースへアクセスしたり機密情報窃取したりするなどが該当する

 

クラウド内で保護するべき領域とは?

クラウドビルダーは構築するクラウド環境に基づいた要件の詳細を把握する際、初期段階からセキュリティ対策を組み込めるようクラウド環境を設計する機会を十分に設けて前述の脅威やリスクを回避する必要がある。以下に挙げる各領域を保護することで、現在および未来に利用するクラウド環境のセキュリティを確保することができる。

  • ネットワーク(トラフィックの検査、仮想パッチ)
  • クラウドインスタンス(実行時のワークロードセキュリティ)
  • DevOps(コンテナ・セキュリティ)
  • アプリケーション(サーバレス、API、Webアプリ)
  • ファイルストレージ
  • 適合性とガバナンス

各領域についての詳細はレポートを参照頂きたい。

 

クラウドにおけるセキュリティ技術

クラウド環境内には非常に多くの可動部が存在するため、クラウドセキュリティ戦略を検討する企業は、マルウェア対策は元より、不正侵入検知/ 防止システムIPS/IDSから脆弱性管理、事後対処であるEndpoint Detection and ResponseEDRに至るまで、必要なセキュリティ技術の合理化に目を向ける必要がある。

セキュリティ対策全体としては、ITのデータ分析の基礎として常時利用されるツールやダッシュボード、詳細ウィンドウの使用を最小限に抑制する必要がある。これと同時に、企業のクラウド運用全体の曖昧となったネットワーク境界を確実に視覚化できるようにする必要がある。
これは開発者
1による、オンザフライ方式を用いた解析ツール開発活動がITによって認可されている場合も同様である。

 

トレンドマイクロでは、これらのニーズに対応するサービス展開を行っており、興味のある方はそちらも参考にして欲しい。


本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース:https://blog.trendmicro.co.jp/archives/27620?_ga=2.225044946.934829811.1619610300-487246178.1573718329

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 「ゼロから学ぶ」ゼロトラストセキュリティ#08:実装編3「Illumio」ラテラルムーブメントを封じ込め

  2. ビジネスパーソンに求められる新たな資質「Di-Lite」

  3. 「ゼロから学ぶ」ゼロトラストセキュリティ#07:実装編2「Palo alto Networks」

  4. 【情シス基礎知識】今だからこそWindows Helloが生きる!?

  5. いまさら聞けない【情シス知識】Chromebookは安全なのか?

  6. 「セキュリティの未来は雲の中に」SASEはDXの切り札か(後編)

  7. 松田軽太の「一人情シスのすゝめ」#17:嫌われる情シスと感謝される情シスの違いとは

  8. 「セキュリティの未来は雲の中に」SASEはDXの切り札か(前編)

  9. シリーズ『IDaaSの教科書』4)認証強化の種類とその仕組み

  10. テレワークとIT業務委託のセキュリティ実態調査-IPA

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. 「Chromebookにはウィルス対策がいらない」そんな言葉を見聞きしたことはないでしょうか? 文…
  2. WordファイルやExcelファイルなどの編集が終わったら、パスワード付きでZIP圧縮。メールにZI…
  3. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  4. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
  5. WebサイトのURLには「http://」で始まるものと「https://」で始まるものの2種類があ…
ページ上部へ戻る