クラウドセキュリティ

クラウドプラットフォーム上の資産とアプリケーションの保護

クラウドセキュリティとは?

クラウドセキュリティとは、パブリック/プライベートクラウドプラットフォーム上のデータやアプリケーションの保護に、サイバーセキュリティ対策やプログラムを適用することです。クラウドセキュリティは、従来のサイバーセキュリティに関する問題と、クラウド環境に関連した新たな課題を管理する組織を支援します。


プライベートクラウドの課題は、従来のサイバーセキュリティの問題と密接に関係しているため、ここではパブリッククラウド プラットフォームのセキュリティ確保における懸念事項に焦点を当てます。

クラウドコンピューティングにおけるセキュリティ上の問題

クラウドプラットフォーム プロバイダーには、物理的なインフラストラクチャと提供する基盤となるコンピューティング、ネットワーク、ストレージ、ネットワークサービスを保護する責任があります。しかしながら、アプリケーションの保護、アクティビティの監視、セキュリティツールの適切なデプロイと設定における大部分もしくはすべての責任は、ユーザーが担います。このような責任分担を責任共有モデルといいます。このモデルにおいてユーザーは、

  • クラウド上のワークロードに影響を与える従来のサイバーセキュリティの問題(脆弱性管理アプリケーションセキュリティソーシャルエンジニアリング、インシデントの検知と対応など)に対処する必要があります。
  • クラウドプラットフォームに関連した新たな課題には、クラウド上のセキュリティイベントに対する可視性の不足、インフラストラクチャの急速な変化、アプリケーションの継続配信、クラウド管理ツールを標的にする新たな脅威などがあります。

クラウドセキュリティの利点

クラウドセキュリティ ソリューションにより、企業は機密データ、規制に対するコンプライアンス、継続的な企業運営を危険にさらすことなく、今日のクラウドプラットフォームが実現する柔軟性、拡張性、オープン性、運用コスト削減を享受できます。

クラウドセキュリティは次の利点を可能にします。

  • クラウドベースのインフラストラクチャ内にある脆弱性や設定ミスの検知
  • 開発、テスト、デプロイメントプロセスの各段階において、ソフトウェアコードに対するセキュリティテストを確保
  • 仮想マシンやコンテナで動作するワークロードなど、クラウドプラットフォーム上のアプリケーションのインシデントの監視
  • 異常動作、資格情報の盗難や横移動の兆候など、高度な攻撃を示す兆候の検知
  • 攻撃者によるクラウドプラットフォームのコンソール制御や、クラウドリソースの犯罪利用(クリプトジャッキング、ボットネットのホスティング、サービス妨害(DoS)攻撃など)の防止

AWS環境の保護

Amazon Web Services(AWS)は、クラウド上でワークロードをホスティングおよび管理するための豊富な機能を備えた環境を提供します。AWSでホストされているワークロードのクラウドセキュリティを組織が強化できる方法には、どのようなものがあるのでしょうか?

セキュリティチームは、脆弱性管理ソリューションを使用してEC2インスタンスを検出/評価し、脆弱性、設定ミス、ポリシー違反がないかスキャンできます。

動的アプリケーションセキュリティ テスト(DAST)ソリューションは、ウェブアプリをテストして、「OWASP Top 10」にある脆弱性やその他の攻撃、PCI DSSなどの規則に対する違反を検知します。DASTソリューションをJenkinsのようなDevOpsツールと統合することで、開発プロセスの指定されたマイルストーンでセキュリティテストを実施し、コードが本番環境に移行される前に脆弱性や違反を検出し修正することができます。

攻撃やデータ漏洩の兆候を検知するためには、Amazonが提供する管理/セキュリティサービスとSIEMソリューションを統合することができます。これには、AWS CloudTrailsやCloudWatchで作成されたログへのアクセスや、Virtual Private Cloud(VPC)のフローログ、Amazon Route 53 DNSログなどのサービスが含まれます。

SIEMソリューションはクラウドプラットフォームと連携するように設計されており、他のソース(エンドポイント、オンプレミスシステム、他のクラウドプラットフォームなど)からの追加のコンテキストでログデータを強化したり、侵害の兆候に対してフラグを立てたり、高度なセキュリティ分析を使用して攻撃を早期に検知して迅速に修復することができます。

SIEMには、AWS GuardDutyや他のAWSサービスからのセキュリティアラートを直接に取り込めるため、企業のセキュリティチームは迅速な調査対応が可能になります。

Azure環境の保護

Microsoft Azureはクラウドでワークロードをホスティングするための強力で柔軟性があり、拡張性に優れたプラットフォームです。企業がAzureで実行されるワークロードのセキュリティを強化する方法とは?

脆弱性管理ソリューションは、Azure Discovery Connectionを利用することで、仮想マシンやその他の資産がAzure環境に展開されるのと同時に、即時に検知/スキャンすることができます。スキャンによって、脆弱性、設定ミス、ポリシー違反などのセキュリティリスクを発見することができます。Azureのタグをインポートし、資産を動的なグループに整理すれば、選択的に評価と報告をおこなうことができます。

DASTソリューションをAzure DevOps Pipelinesに統合することで、継続的インテグレーションと継続的デリバリー(CI/CD)のワークフローの各段階において、脆弱性スキャンを自動的に実施できるようになります。これにより、修正が最も容易な開発プロセスの早い段階で、ウェブアプリケーションの脆弱性を排除することができます。

SIEMソリューションはAzure Event Hubsと連携させることができます。Azure Event Hubsは、Azureサービス(Azure Active Directory、Azure Monitor、Azure Resource Manager (ARM)、Azure Security Center、Office365など)からインポートしたクラウドログを集約します。SIEMはリアルタイムでログテータをAzure Event Hubsから取得し、そのログデータをエンドポイント、ネットワーク、オンプレミスデータセンター、およびその他のクラウドプラットフォームからの情報と組み合わせて、フィッシング攻撃、アクティブなマルウェア、侵害された認証情報の使用、攻撃者による横移動など、攻撃の証拠を明らかにする分析を行います。

Azure Security Centerもアラートを生成しますが、フルSIEMのような豊富なデータや分析、ワークフロー機能はありません。しかしんがら、セキュリティチームは、Security Centerからのアラートを直接SIEMソリューションに送信するように設定することで、その高度な機能を活用できます。

マルチクラウド環境のセキュリティ

クラウドセキュリティは、クラウドプラットフォームごとに個別のセキュリティを提供するだけではありません。それよりも、組織やクラウドサービスプロバイダーが生成するあらゆるセキュリティデータを取得し、関連付けて、分析、対処することが重要なのです。

今日のマイクロサービスベースのアプリと、ハイブリッド/マルチクラウドアーキテクチャーを利用すれば、アプリケーションを複数のクラウドプラットフォームやオンプレミスデータセンターに分散することができます。高度な攻撃は、エンドポイントやウェブアプリから開始されることが多く、その後、複数のコンピュ―ディング環境に広がります。1つのクラウドプラットフォームが攻撃された後に、他のクラウドプラットフォームにも同じ攻撃を受けることがよくあります。

だからこそ、マルチクラウドプラットフォームとオンプレミスデータセンターを含めた、IT環境全体の可視化と監視を実現するセキュリティソリューションを使用することが企業にとって重要なのです。

We love to give you options. 

This page is also available in English!

Switch to English Continue in Japanese