クラウドセキュリティとは、クラウドベースのデータ、アプリケーション、インフラストラクチャを不正アクセス、サイバー攻撃、内外の脅威から保護することである。分散型サービス拒否(DDoS)攻撃、ハッカー、マルウェア、その他のリスクからクラウド環境を保護することも含まれる。
コラボレーションとイノベーションを促進するために、重要なアプリケーションやデータをクラウドに移行する企業が増えている。業務をクラウドに移行する利点には、迅速な展開、柔軟性、低い初期費用、拡張性などがある。ほとんどのクラウド・サービス・プロバイダーは、標準的なツールを使用して使用状況を監視し、疑わしいアクティビティにフラグを立てるが、社内のITセキュリティ専門家は、これらのツールが不足していると感じるかもしれない。また、社内チームは通常、クラウド・ワークロードのセキュリティ設定と管理の負担も負うことになる。資産をクラウドに移行する場合、各組織は、データやアプリケーションの露出の増加など、メリットとリスクを比較検討する必要があります。
クラウドセキュリティは、クラウドに存在するデータとアプリケーションを保護し、規制コンプライアンスをサポートし、顧客のプライバシーを保護するように設計されています。個人とデバイスのアクセス認証から、アクセスの容易さと組織のセキュリティのバランスまで、クラウドセキュリティは各組織の特定のニーズに適合しなければならない。これらの要素を管理し、ROIを最大化するために、信頼できるアドバイザーと協力することは、企業にとって有益である。クラウド・セキュリティ・ベンダーは、企業がクラウド・ワークロードを一元的に構成・管理できるよう支援することができる。
クラウドセキュリティの責任は、クラウドプロバイダと顧客が共有する。責任共有モデルでは、責任を次の3つのカテゴリーに分類しています。 常に プロバイダーのもの 常に 顧客のものと サービスモデルによって異なる, Infrastructure as a Service (IaaS)、Platform as a Service (PaaS)、Software as a Service (SaaS)などである。
プロバイダー (アマゾン、グーグル、マイクロソフト、オラクルなど)が責任を負う。 コンピュータとストレージが稼働し、存在する物理ネットワークへのアクセス、パッチ適用、設定を含むインフラの保護。
顧客 は、ユーザーとユーザーのアクセス権限の管理(アイデンティティとアクセス管理を含む)、不正アクセスからのクラウドアカウントの保護、クラウドベースのデータ資産の暗号化と保護、クラウドセキュリティ態勢(コンプライアンス)の管理、クラウド環境における脅威の検出とインシデントへの対応に責任を負う。
従来のサイバーセキュリティの課題の多くは、クラウドでも発生する:
- サイバー攻撃 クラウドベースのインフラは、公共のインターネットから直接アクセス可能であり、多くの場合、不適切に設定されているため、安全ではありません。多くのクラウドには機密データや貴重なデータが含まれているため、クラウドの導入はサイバー犯罪者にとって人気の高い(そして収益性の高い)標的となっている。
- 不正アクセス。 オンプレミスのインフラとは異なり、クラウドベースの配備は組織のネットワーク境界を越えて存在するため、公衆インターネットからのアクセスがはるかに容易である。そのため、従業員や顧客にとっては便利だが、サイバー犯罪者にとってはアクセスしやすくもなる。
- アカウントの乗っ取り。 脆弱なパスワードや再利用されたパスワードは、乗っ取り、フィッシング、データ漏洩の影響を悪化させ、攻撃者が盗んだ従業員のパスワード1つで複数のアカウントのロックを解除することを可能にする。
- 視界が悪い。 クラウドベースのリソースはサードパーティのインフラストラクチャ上で実行されるため、組織がリソースを監視・保護する能力が制限され、脅威の検出と対応が遅れる。IT チームは、クラウド・ベンダーに対して、「as-a-service」のアプリケーション・データを可能な限り可視化し、セキュリティ運用に反映するよう求めるべきである。
- データの損失または漏洩。 クラウドベースの環境では、データを共有するのは簡単だが、それを安全に保つのは難しい。リンクがあれば誰でも情報にアクセスできるようにすることは、データの損失や漏えいの扉を開くことになりかねない。
- 悪意のあるインサイダー。 クラウドでは、従来のセキュリティ・ソリューションの多くは、悪意のある内部脅威を検知する効果が低い。
- DoS攻撃。 サービス拒否攻撃は、身代金要求とセットで行われることが多く、標的のシステムをスローダウンまたはシャットダウンさせ、日常業務や重要なビジネスシステム、顧客向けアプリケーションに大きな影響を与えます。
- データのプライバシーと機密性 EUの一般データ保護規則(GDPR)、医療保険の相互運用性とアクセシビリティに関する法律(HIPAA)、ペイメントカード業界のデータセキュリティ基準(PCI DSS)などのデータ保護規制は、クラウドに保存されたデータにも適用されるが、多くの組織では従業員のデータへのアクセスを保護する手段がない。
クラウドセキュリティの最適なソリューションは、データの種類と機密性、ユーザーの数と種類、クラウドアーキテクチャ、組み込みツールの可用性によって異なる。いくつかのベスト・プラクティス
- アクセスと使用を管理する。 きめ細かなポリシーベースのアイデンティティとアクセス管理(IAM)を使用する。アセットとAPIに最小限のアクセス権限を付与する。二要素認証(2FA)または 多要素認証(MFA) ユーザーの身元を確認する。すべてのデータアクセスと更新をログに記録し、監視する。を採用する。 ゼロトラスト すべてのユーザー、リソース、アプリケーションを常に検証するセキュリティスタンス。
- 発生した脅威を検知する.ルール、アラート、脅威インテリジェンスを使用して、内部データ(資産および構成管理システム、脆弱性スキャン)と外部データ(公開脅威インテリジェンスフィード、ジオロケーション)を相互参照することにより、既知および未知の脅威をリアルタイムで検出し、修復します。
- データ保護の強化.静止時、使用時、転送時のデータを暗号化します。安全なファイル共有と通信使用方法 セキュリティ情報・イベント管理(SIEM) また、 拡張検知応答(XDR) ツールを使用して、認証、イベント、パフォーマンス、データの使用状況や異常を分析し、レポートする。誤設定されたバケットを検出し、オーファンリソースを終了させるなど、適切なデータストレージプラクティスを維持する。
- ファイアウォールによるアプリケーションの保護.次世代ウェブ・アプリケーション・ファイアウォールを含むクラウドエッジのセキュリティ保護を使用して、アプリケーションサーバーとの間のすべてのトラフィックを検査し、制御する。
- データロケーションの可視性と制御を確保する。 位置情報を使って、任意のデータをクラウド内またはクラウド外の場所にコピーできるかどうかを判断する。
組織は、以下のようなサイバーセキュリティ・ツールでクラウドベースのデータを保護することができる。 アイデンティティ&アクセス管理 (多要素認証を含む)と 脅威の検知と対応.オンプレミスで効果的なID・アクセス管理や脅威対策を実施している企業にとって、次のステップは、それらのソリューションをクラウドに拡張することである。新規事業やアップグレードが必要な企業は、オンプレミスかクラウドかを問わず、どこにあってもデータを保護するセキュリティ・ツールを探すべきである。
