クラウドセキュリティとは？

クラウドセキュリティは、組織のクラウドコンピューティングを保護し、安全を確保して、使用時のリスクを減らすためのプロセス、戦略、ツールによって構成されます。現在では、ソフトウェアやインフラストラクチャー製品をはじめ、多岐に渡るクラウドベースのサービスをほとんどの組織が利用しています。そのため、クラウドセキュリティは最優先事項です。

クラウドを使うとき、データはインターネットを通じて保存されます。クラウドはパフォーマンスとコラボレーションの面では好ましいものですが、セキュリティリスクが生まれるため、対処しなければなりません。

クラウドコンピューティングは、データをインターネットを通じて共有、保存する手段です。情報やデータをハードドライブやローカルサーバーに保存するのではなく、ネットワークと、データをオンラインで管理するためのサービスを使用して、インターネットに接続していればどこからでもデータにアクセスできるようにします。

以前は、個人が写真、ドキュメント、音楽を保存する手段は、外部ハードドライブやUSBメモリーでした。今では、そのようなデータをクラウドストレージを使って保存しています。企業でも同様に、組織のデータの保存先がオンプレミスサーバーからクラウドストレージに変化しています。一般消費者のクラウドテクノロジーの用途は、多岐に渡ります。

企業と組織の多くは、さまざまなデータ関連のニーズを満たすためにクラウドコンピューティングとストレージを導入し、クラウド移行を進めています。クラウドにより、数多くのアプリケーション開発の機会が生まれました。コスト効率が高い、リモート勤務が可能になる、製品導入の柔軟性があるといったメリットがあるからです。

その一方で、他のデータストレージと同様に、クラウドコンピューティングにも特有のセキュリティ上のリスクがあります。クラウド環境を利用する場合は通常、サードパーティのクラウドプロバイダーと協業することになります。つまり、外部企業を信頼して機密データを預けることになります。

クラウドにデータを保存するには、セキュリティ対策を厳しく見直す必要があります。クラウドコンピューティングにはさまざまな形態があり、形態ごとにユーザーとクラウドプロバイダーが負うリスクと責任の範囲が異なります。クラウドセキュリティのベストプラクティスを実施すると、既存の手順、ポリシー、テクノロジーとの整合性を十分に保つことができます。

クラウドコンピューティングには、3つの基本形態があります。それぞれの形態に、具体的なビジネスの実例のニーズに合わせた独特の機能があります。常に留意するべき重要な点は、ユーザーが何もしなくても安心なソリューションを提供してくれるクラウドプロバイダーなど存在しないということです。クラウドを利用していても、データセキュリティ、アクセス、顧客情報の保護は、ユーザーの責任です。

サービスとしてのソフトウェア（SaaS）

サービスとしてのソフトウェア（SaaS）は、人気のクラウドサービスモデルであり、多くの企業が日常的に利用しています。SaaSは、サードパーティクラウドプロバイダーが構築し、エンドユーザーに製品のライセンスを付与する形のサービスです。

SaaSの例として、Google WorkspaceやMicrosoft 365などのツールがあります。MicrosoftやGoogleが生産性向上ソフトウェアを開発し、クラウドプラットフォーム経由で提供してくれるので、そのようなソフトウェアを自社開発する必要がありません。

サービスとしてのインフラストラクチャー（IaaS）

サービスとしてのインフラストラクチャー（IaaS）を利用すると、ローカルではなくクラウドでデータインフラストラクチャーを管理できます。そのため、サードパーティIaaSプロバイダーを利用している組織は、自分でクラウド環境内のデータを管理、操作できます。利用はユーザーのニーズ次第です。

IaaSの大きなメリットは、自社でサーバーを購入、保守する必要がないことです。購入と保守はクラウドプロバイダーが行い、ユーザーは利用料金を支払います。人気のIaaSプロバイダーの例として、Amazon Web Services（AWS）、Microsoft Azure、Google Cloudがあります。

サービスとしてのプラットフォーム（PaaS）

アプリケーションの開発、作成をする企業がよく使用するのが、サービスとしてのプラットフォーム（PaaS）と呼ばれるクラウドサービスです。PaaSでは、クラウド環境でアプリケーションを作成、保存、デプロイするためのツールが提供されます。

クラウドプロバイダーはインフラストラクチャーの保守を担当し、ユーザーはアプリケーションを作成します。

クラウド環境のデプロイの種類はいくつかあります。企業の場合、クラウドへのアクセス方法と、クラウド上のデータの利用方法によって区別されます。デプロイの種類ごとに特徴が異なります。どの種類が適しているのかの判断は、自分の組織および組織と契約するクラウドプロバイダー次第です。

パブリッククラウド

パブリッククラウドは、インターネットを通じて有料で提供されるモデルです。クラウドプロバイダーがサービスのあらゆる側面を管理します。パブリッククラウドサービスは、ほとんどすべての人が利用できます。Google Workspace（または一般消費者向けのGoogleフォト）などのツールを思い浮かべてください。何万人ものユーザーがさまざまな目的でパブリッククラウドを利用しています。

プライベートクラウド

プライベートクラウドは、1社の企業とそのデータ専用に構築されるクラウドです。オンサイトでプライベートクラウドを作成、管理するのは、その組織自身の場合もあれば、サードパーティクラウドプロバイダーの場合もあります。プライベートクラウドを使用すると、パブリッククラウドよりもデータを詳細に管理でき、頻繁に変更を加えることができます。また、サービスにアクセスできるのは組織内のユーザーだけです。

ハイブリッドクラウド

ハイブリッドクラウドは、情報管理のためにオンサイトデータセンターとクラウド環境を組み合わせて利用します。オンプレミスサーバーに用意されている以上のキャパシティを必要としている企業に最適な選択肢です。データのホスト先を多様化するうえでも役立ちます。

マルチクラウド

マルチクラウドは、2つ以上のクラウドサービスを使う方法です。パブリッククラウド環境とプライベートクラウド環境を自由に組み合わせて使用します。アプリケーションの開発、リリースを行う際の柔軟性が高くなるというメリットがあります。

ハイパースケーラー

多くの企業は、事業運営に大きな波があり（休日にEコマースサイトのWebトラフィックが急激に増加するなど）、迅速かつ大規模なスケーリング能力を必要としています。ハイパースケールクラウドプロバイダーはマルチテナントプラットフォームを通じてスケールアップ/スケールダウン機能を提供し、企業のニーズに応えます。

Gartnerの予想¹によると、2025年までに、クラウドのセキュリティ障害の99%はユーザーのミスが原因となるそうです。適切な戦略を策定し、リソースを用意することで、組織のクラウド上の機密データ保護は大きく変わると考えられます。

Elastic Security Labsのグローバル脅威レポートによると、3大クラウドプロバイダー（Amazon Web Services（AWS）、Google Cloud Platform（GCP）、Microsoft Azure）におけるクラウドベースの脅威の主要原因は、アプリケーションアクセストークンの窃取、総当たり攻撃、アカウント操作です。

事業を行ううえでクラウドストレージが主なデータ保存手段になりつつある現在、クラウドセキュリティはユーザーが常に意識しなくてはならないトピックです。これは、データ管理方法の大きな変化と言えます。これまで自社のサーバーとネットワークを主に使っていた場合はなおさらです。

調査によると、多くの企業が主要な情報管理リソースとしてクラウドを使用する方向に動いています。実際に、企業の85%はクラウドファーストモデルを採用しています。

このような変化に合わせて、企業はクラウドストレージに関連する脆弱性や脅威を評価する必要があります。さらに、リスクに加えて、クラウドプロバイダーとその顧客の責任範囲も把握する必要があります。

効果的なクラウドセキュリティ機能に関する大きな課題の1つは、可視性がなく、クラウドベースのアプリやサービスなどでキャプチャして分析できないことです。把握できない特性の保護をセキュリティチームに期待することはできません。

アプリケーションをデプロイし、クラウドコンピューティングの活用方法を決定するときには、データセキュリティ対策を知り、リスク対処のために実施すべき手順を把握することが重要です。クラウドサービスの侵害（障害）が発生すると、ユーザーエクスペリエンスが損なわれるおそれがあります。最悪の場合、自社や顧客の情報が流出する可能性もあります。

多くの業界に、顧客データの保存に関する規制要件があります。そのため、クラウドセキュリティ対策を実装する際には、そのようなガイドラインを考慮する必要があります。

クラウドセキュリティは、データを確実に保護するための継続的な取り組みです。組織が高度なクラウドネットワークを実装している場合、フラグメンテーションが原因でセキュリティ保護が難しい可能性があります。

クラウド環境のセキュリティ保護は、アクセス制御から始まります。どのユーザーがどのデバイスに保存されているどの情報に対する認証情報を持っているのかを知ることで、不正なアクセスを軽減できます。

ワークロード監視と脅威保護テクノロジーを使用すると、潜在的な脅威がある場合にアラートをトリガーするルールを作成できます。デバイスとユーザーのインサイトは、アクセスに関する問題を特定したり、潜在的な侵害につながったイベントを把握したりするのに役立ちます。

クラウドポスチャー管理ツールは、クラウドセキュリティに必須の要素です。クラウドポスチャー管理を使うと、不適切な構成が原因の問題をスキャンして発見できます。

クラウドサービスプロバイダーとその顧客は、クラウドセキュリティに関して共同で責任を負います。データの管理と保護に果たす役割を、それぞれが認識する必要があります。

どのようなデータストレージにもリスクがあります。しかし、どのサードパーティサービスを利用するかによって、リスクの種類は異なります。リスクの1つは、侵害（攻撃）です。侵害を受けると、組織のデータが漏洩するおそれがあります。また、クラウドプロバイダーのサービスがダウンすると、（場合によっては社内アプリケーションや顧客向けアプリケーションの動作が中断して）取引上の損失が発生したり、サイバー脅威に対する脆弱性が高まったりするおそれがあります。

クラウドセキュリティに関するリスクの多くは、従来のストレージモデルのリスクと似ています。従業員がデータを誤って公表する、フィッシングやマルウェア詐欺の被害にあう、といったことが起こりえます。発生するおそれのある問題は他にもあります。データの損失、不十分なデータ削除、認証情報の窃取、全体的な可視性の不足による効果的な保護不可能などです。クラウドストレージは複雑で、追跡や監視が難しい場合があります。従業員が分散して働いている場合は特に困難です。コンプライアンスと規制上の要件も、特に金融会社では課題になる可能性があります。

サードパーティクラウドプロバイダーを利用しているからといって、企業が顧客データと社内データを保護する責任から解放されるわけではありません。クラウドサービスの種類それぞれに、異なるリスクがあります。利用しているクラウドサービスの種類にかかわらず、ほとんどすべてのケースで、企業はこれまでどおり、自社の所有するデータに対して基本的な責任を負います。

SaaSツールを使用する場合、ユーザーは自分が使用する情報とデバイスに対する責任を負います。また、ユーザーはSaaSプラットフォームで作成するソースのデータセキュリティに責任を負います。情報をクラウドにデプロイした後にその情報を安全に保つのは、サービスプロバイダーの責任です。

PaaSを利用する企業は、ユーザーのアクセス権、データ、エンドユーザーが使用するツールを保護する責任を負います。クラウドプロバイダーは、ビルド、ミドルウェア、ランタイム、コアコンピューティングサービスなど、複数のプラットフォーム要素に対して責任を負います。PaaSでユーザーは、クラウドサービスを利用して自分のアプリケーションを実行します。PaaSがダウンしたら、アプリケーションもダウンします。

IaaSでは、ユーザーはオペレーティングシステム上のあらゆるもののセキュリティ確保に責任を負います。クラウドプロバイダーは、インフラストラクチャーネットワークを管理します。

1. ゲートキーピング戦略

   すべての企業が、自社のクラウド環境をサポートするゲートキーピング戦略とツールを実装する必要があります。ワークロード監視と脅威保護テクノロジーをクラウドネットワークに統合すると、脅威の評価、潜在的な脆弱性に関するアラート、問題発生時の調査を行うことができます。

2. 暗号化テクノロジー

   暗号化テクノロジーの使用とユーザーアクセスの管理がデータセキュリティの柱です。機密情報が漏洩する原因は多くの場合、人的ミスです。誰がデータにアクセスできるのかを把握しておくと、脅威と侵害の特定が簡単になります。好ましくないユーザーがアクセスしづらくなるように、多要素ログインの使用を検討することをお勧めします。

3. 継続的な監視

   クラウドプラットフォームを監視できるリソースを使用すると、インフラストラクチャーの弱点を特定して、脅威防止に必要な措置を取るのに役立ちます。クラウドプロバイダーと連携する際には、プロバイダーがユーザーの機密データをどのように保護するのかについて必ず話し合います。その際、暗号化ツール、データバックアップ計画、侵害が発生した場合の手順について質問するようにします。

4. ポスチャー監視

   最近のデータによると、クラウドネイティブテクノロジーを導入している組織の約半数（49%）が、今後2年の間に誤設定が原因で侵害が発生することを懸念しています。クラウドポスチャーツールを使うと、クラウドリスクに関するインサイトを得ることができます。

   企業によっては、社内クラウドセキュリティチームを編成するのもよいでしょう。クラウドコンピューティング専門家には、すべてのクラウドサービスに対応するコーディングスキルセットは必ずしも必要ありません。PaaSでアプリケーションを開発する予定がある場合は、コーディング経験のある優れたチームが必要になる可能性があります。

1. データ保護の強化

   多くの場合、データはクラウドに保存した方が安全です。SOCは脅威を常時監視していない場合がある一方で、クラウドプロバイダーは脅威を常時監視するためのツールとリソースを用意しています。クラウドプロバイダーが提供するアクセス制御と暗号化は根本的に強力なので、好ましくないアクセスに対する組織のセキュリティ態勢がさらに強化されます。

2. 柔軟性と経済性

   クラウドプロバイダーが提供しているセキュリティ機能は、大企業でなくても活用できます。経済性はクラウド環境の特徴の1つです。どのような規模の企業にも、自社のセキュリティニーズに合っていて、従量課金制ライセンスモデルでデータの保存と管理ができる製品を提供しているプロバイダーが見付かります。

3. 可視性と監視

   データの制御はある程度諦める必要があるかもしれませんが、ネットワーク上で何が起こっているのかは把握できるようになります。強力な監視ツールとアプリケーションによってインサイトを得て、データに発生した出来事や、潜在的な問題が発生しそうな場所を分析できます。

4. 社内能力の利用

   クラウドセキュリティ人材の能力向上のためのコースや認定資格が世の中には豊富にあります。優れたクラウドセキュリティ認定資格に挑戦すると、現場の従業員が（特に、特定のクラウドサービスの）知的基盤を構築するのに役立ちます。

   大手クラウドサービスプロバイダーは、Google Professional Cloud Security Engineer認定資格や、AWS Certified Security認定資格などの、独自のコースを提供しています。会員制組織も、トレーニングや認定資格を用意しています。たとえば、Certified Cloud Security Professional（CCSP）やCertificate of Cloud Security Knowledge（CCSK）があります。

5. アップタイム

   ダウンタイムが発生すると、販売の機会損失、顧客ロイヤルティの低下、評判の悪化など、組織にダメージが発生します。包括的なクラウドセキュリティソリューションを使用すると、DDoS攻撃を防止できるほか、グローバルネットワークエッジサーバーインフラストラクチャーを通じてトラフィックの急増に適切に対処できます。

Elastic Security for Cloudを利用すると、ポスチャー管理とクラウドワークロード保護を通じてクラウドのリスクに対処できます。

Elasticセキュリティには、前述のツールに加え、未知の脅威を特定する独自のルールと、見落としていたインサイトを提供する機械学習機能があります。クラウドセキュリティ製品を探している企業にとってのメリットは、Elasticの完全に統合されたセキュリティスタックにより、異種のツールやベンダーが無秩序に増えてしまう問題を最小限に抑えられることです。

ぜひElasticセキュリティの無料トライアルを始めて、クラウドセキュリティを簡素化する方法をご確認ください。

• Elasticでクラウドを安全に保つ
• クラウドセキュリティソリューション
• ウェビナー：Elastic Security for Cloudの紹介

¹ Gartner - https://www.gartner.com/smarterwithgartner/is-the-cloud-secure