クラウドデータセキュリティとは
クラウドデータセキュリティとは、クラウド内のデータを侵害、流出、不正アクセスによる損失、漏洩、誤用から保護するテクノロジー、ポリシー、サービス、セキュリティコントロールを指します。堅牢なクラウドデータセキュリティ戦略に含める必要があるものは、次のとおりです。
- ネットワーク全体、アプリケーション、コンテナ、ワークロード、その他のクラウド環境内のデータのセキュリティとプライバシーの確保
- すべてのユーザー、デバイス、ソフトウェアのデータアクセスの制御
- ネットワーク上のすべてのデータの完全な可視化の提供
クラウドデータ保護とセキュリティ戦略では、すべての種類のデータを保護することも必要です。これには以下のものが含まれます。
- 使用中のデータ:ユーザー認証とアクセス制御によるアプリケーションまたはエンドポイントによって使用されているデータの保護
- 移動中のデータ:機密データ、秘密データ、専有データのネットワーク上を移動する間の、暗号化やその他のEメールおよびメッセージングセキュリティ対策による安全な送信の確保
- 保存中のデータ:クラウドを含むあらゆるネットワーク上の場所に保存されているデータの、アクセス制限とユーザー認証による保護
専門家のヒント
クラウドとは、インターネット経由でリモートでアクセスされるサーバーと、それに関連するすべてのサービス、ソフトウェアアプリケーション、データベース、コンテナ、ワークロードを表すために使用される用語です。クラウド環境は、通常1人のユーザーのみによって使用されるクラウド環境のプライベートクラウドと、複数のユーザーによって共有される環境のパブリッククラウドの2つのカテゴリーに分類されます。
クラウドはどの程度安全か
クラウドの安全性は、理論的には、組織がクラウド環境におけるリスクや脅威から保護するために特別に設計された包括的で堅牢なサイバーセキュリティ戦略を採用している限り、物理サーバーやデータセンターと変わりません。
その点で問題になるのは、多くの企業はファイアウォールなどの既存のセキュリティ戦略やレガシーツールでは、クラウドでホストされているアセットが保護されていないことに気づいていない可能性があることです。このため、組織はセキュリティポスチャを根本的に再考し、この新しい環境のセキュリティ要件を満たすように更新する必要があります。
クラウドに関するもう1つの大きな誤解は、クラウドプロバイダーがデータセキュリティを含むすべてのセキュリティ機能に対して、クラウドプロバイダーが責任を持っているということです。実際には、クラウドセキュリティは、責任共有モデルと呼ばれるものに従います。
したがって、クラウドセキュリティは、クラウドデータセキュリティを含めて、クラウドサービスプロバイダー (CSP) と顧客の間で共有される責任です。
専門家のヒント
このモデルによると、Google Cloud Platform (GCP)、Amazon Web Services (AWS)、Microsoft Azure (Azure) などのCSPは、基盤となるハードウェアセキュリティの管理と保護を担当します。けれども、顧客にはインフラストラクチャ層とアプリケーション層でセキュリティ保護を有効にすることが求められます。これには、組織のデータやその他のクラウドベースのアセットを保護するためのすべてのツール、テクノロジー、ポリシー、方法が含まれます。
なぜ企業はクラウドにデータを保存する必要があるのか
組織がクラウドに移行したのは、クラウドがほぼすべてのデジタルビジネストランスフォーメーション戦略の重要なイネーブラーだからです。特にクラウドデータストレージに関しては、組織は次のような貴重な利点を享受できます。
- コストの削減:クラウドストレージは、インフラストラクチャのコストがユーザー間で分担されるため、一般的に企業や組織にとってより手頃な価格になります。
- リソースの最適化:通常、クラウドモデルでは、CSPはクラウドベースのサーバー、ハードウェア、データベース、またはその他のクラウドインフラストラクチャ要素の保守を担当します。さらに、組織はオンプレミスのコンポーネントをホストまたは保守する必要はありません。これにより、全体的なITコストが削減されるだけでなく、スタッフを再配置して、カスタマーサポートや企業の近代化など、他の問題に集中することができます。
- アクセスの改善:すべての認証ユーザーは、インターネット接続さえあれば、事実上あらゆるデバイスや世界中のあらゆる場所から、クラウドでホストされるデータベースにアクセスすることができます。これは、現代のデジタルワークフォースを実現するためには必要不可欠です。
- スケーラビリティ:データベースなどのクラウドリソースは柔軟性が高いため、企業のさまざまなニーズに基づいて迅速にスピンアップまたはスピンダウンできます。これにより、組織は需要の急増や季節的な急増を、よりタイムリーかつ費用対効果の高い方法で管理できます。
クラウドにデータを保存することに対する企業リスク
クラウド内にデータを保存することは、組織に多くの重要な利点をもたらしますが、この環境には課題があります。ここでは、適切なセキュリティ対策を講じずにクラウドにデータを保存することで企業が直面する可能性のあるリスクをいくつか紹介します。
1. データ侵害
データ侵害の発生は、クラウド攻撃の場合とオンプレミス攻撃の場合とでは異なります。マルウェアはあまり関係がありません。代わりに、攻撃者は設定ミス、不適切なアクセス、盗まれた認証情報、およびその他の脆弱性をエクスプロイトします。
2. 設定ミス
設定ミスは、クラウド環境における最大の脆弱性で、アカウントに対する過剰な特権の許容、不十分なログ記録、その他のセキュリティギャップの原因となり、組織がクラウド侵害、インサイダーの脅威、脆弱性を利用してデータにアクセスする攻撃者にさらされる可能性があります。
3. セキュアでないAPI
多くの場合、企業はAPIを使用して、企業内、または対パートナー、サプライヤー、顧客でのサービス接続とデータ転送を行います。APIは特定の種類のデータをエンドポイント化するため、データポリシーまたは特権レベルが変更されると、ホストが意図した以上のデータに不正アクセスされるリスクが高まる可能性があります。
4. アクセス制御/不正アクセス
マルチクラウド環境を使用している組織は、クラウドプロバイダーのデフォルトのアクセス制御に依存する傾向があり、これは特にマルチクラウドまたはハイブリッドクラウド環境で問題になります。内部の脅威は、特権アクセス、攻撃する場所の知識、および痕跡を隠す機能が使用されることにより、大きな損害となる可能性があります。
クラウドセキュリティの6つのベストプラクティス
データのセキュリティを確保するために、組織はクラウドに固有のデータの脆弱性に対処する包括的なサイバーセキュリティ戦略を採用する必要があります。
堅牢なクラウドデータセキュリティ戦略の主な要素は次のとおりです。
1. 高度な暗号化機能を活用
データを保護する効果的な方法の1つは、データを暗号化することです。クラウド暗号化は、プレーンテキストを読み取り不可能な形式に変換してから、データをクラウドに入れます。データは、移動時および保存時の両方で暗号化されている必要があります。
ブロックストレージサービスとオブジェクトストレージサービスで保存されるデータに対しては、クラウドサービスプロバイダーが提供するすぐに使用できるさまざまな暗号化機能があります。移動中のデータのセキュリティを保護するには、クラウドストレージサービスへの接続は、暗号化されたHTTPS/TLS接続を使用して行う必要があります。
データの暗号化は、プラットフォーム管理の暗号化キーを使用してクラウドプラットフォームでデフォルトで有効になっています。ただし、顧客は独自のキーを持ち込み、クラウドの暗号化キー管理サービスを介して一元的に管理することで、これをさらに制御できます。より厳しいセキュリティ基準とコンプライアンス要件を持つ組織では、ネイティブのハードウェアセキュリティモジュール (HSM) 対応のキー管理サービスや、データ暗号化キーを保護するためのサードパーティサービスまでも実装することができます。
2. データ損失防止 (DLP) ツールを実装
データ損失防止 (DLP) は、侵害、流出、不正アクセスによるデータの損失、漏洩、誤用を検出して防止することに重点を置いた、企業の包括的なセキュリティ戦略の一部です。
クラウドDLPは、データストレージにクラウドリポジトリを活用する組織を保護するために特別に設計されています。
3. プライベート、ハイブリッド、マルチクラウド環境の統合された可視性を可能にする
マルチクラウド環境の統合された検知と可視性、およびすべてのクラウドリソースのインテリジェントな継続的監視は、クラウドセキュリティソリューションに不可欠です。その統合された可視性は、設定ミス、脆弱性、データセキュリティの脅威を検知しながら、実用的なインサイトとガイド付きの修復を提供できる必要があります。
4. セキュリティポスチャとガバナンスを確保
もう1つのデータセキュリティの重要な要素は、インフラストラクチャ全体にわたって業界や政府の規制を満たしながら、クラウドセキュリティのゴールド標準を適用する適切なセキュリティポリシーとガバナンスを適所に導入することです。設定ミスやコントロールプレーンの脅威を検知して防止するクラウドセキュリティポスチャ管理 (CSPM) ソリューションは、盲点を排除して、クラウド、アプリケーション、ワークロード全体のコンプライアンスを確保するために不可欠です。
5. アイデンティティ/アクセス管理 (IAM) を強化
アイデンティティ/アクセス管理 (IAM) は、組織がアイデンティティとアクセス管理のタスクを合理化および自動化し、よりきめ細かなアクセス制御と特権を有効にするのに役立ちます。IAMソリューションを使用すると、ITチームはアクセス制御を手動で割り当てたり、特権を監視および更新したり、アカウントのプロビジョニングを解除したりする必要がなくなります。また、組織はシングルサインオン (SSO) を有効にしてユーザーのIDを認証し、複数のアプリケーションやWebサイトへのアクセスを、1つのセットのみの認証情報で許可することもできます。
IAMコントロールに関しては、経験則として、最小特権の原則に従うこと、つまり、ユーザーは自分の作業に必要なデータとクラウドリソースのみにアクセスできるようにすることです。
6. クラウドワークロード保護を有効にする
クラウドワークロードは、攻撃対象領域を指数関数的に増加させます。ワークロードを保護するには、各ワークロードとコンテナイベントの可視性と検出が必要であり、さらに、あらゆるクラウド上の、すべてのワークロード、コンテナ、Kubernetes、サーバーレスアプリケーションにわたるクラウドネイティブスタック全体の保護を必要とします。クラウドワークロード保護 (CWP) には、コンテナ、Kubernetes、サーバーレス機能などのワークロードの脆弱性スキャンと管理、および侵害保護が含まれており、組織は開発から本番までのクラウドアプリケーションの構築、実行、保護が可能になります。
クラウドストライクのFalconクラウドセキュリティソリューション
クラウドストライクは、現代の企業を動かす人、プロセス、テクノロジーを保護し、円滑な機能を可能にする、世界で最も先進的なクラウドネイティブプラットフォームを提供し、セキュリティを再定義してきました。業界では、クラウドストライクはリーダーとして評価され続けています。最近ではCRNにより、2022年のBest Cloud SecurityのTech Innovator Awardの受賞者としてクラウドストライクが選ばれています。
CrowdStrike Falcon®プラットフォームは、CrowdStrike Security Cloudを搭載し、リアルタイムの攻撃指標 (IOA)、脅威インテリジェンス、進化する攻撃者の戦術、企業全体からの充実したテレメトリーを活用して、超高精度の検知、自動化された保護と修復、精鋭による脅威ハンティング、優先付けられた脆弱性の可観測性を提供します。
クラウドストライクのクラウドセキュリティソリューション(AWS、GCP、およびAzureに固有のサービス)の詳細については、下記を参照してください。
ギリェルメ(Gui)・アルバレンガ(Guilherme(Gui)Alvarenga)は、クラウドストライクのクラウドセキュリティポートフォリオのシニアプロダクトマーケティングマネージャーです。彼は、チェック・ポイント、NEC、シスコシステムズなどの企業向けにクラウド、SaaS、ネットワーク、MLソリューションを推進してきた15年以上の経験を有しています。彼はブラジルのパウリスタ大学で広告とマーケティングの学位を取得し、サンノゼ州立大学でMBAを目指しました。スタンフォード大学で応用コンピューティングを学び、クラウドセキュリティと脅威ハンティングを専門としています。
