知っておくべきクラウドセキュリティの9つのベストプラクティス

クラウドセキュリティとは何か？

クラウドセキュリティは、外部および内部の脅威からクラウド環境を保護するための一連の技術、手順、ベストプラクティスを採用しています。

クラウドセキュリティのベストプラクティスは、組織が悪意のある活動を防止し、クラウドを新たな脅威や既存の脅威から安全に保つのに役立つ知識体系です。各組織は特定の業界のベストプラクティスや組織のポリシーに従うかもしれませんが、多くのクラウドセキュリティのベストプラクティスは普遍的に適用することができます。

クラウドセキュリティの利点

効果的なクラウド・セキュリティ戦略は、以下のような本質的な利点を提供しなければなりません。

集中セキュリティ

クラウド・セキュリティは、組織が保護活動を一元化するのに役立ちます。クラウド上に構築されたビジネス・ネットワークは、多くのエンドポイントやデバイスで構成されていることが多いです。このような設定は、BYOD（Bring-your-own-Device）やシャドーITに対応する組織にとって、管理が困難な場合があります。

これらすべてのエンティティを一元管理することで、組織は以下のことが可能になります：

• ウェブフィルタリングと並行してトラフィック分析プロセスを強化
• ネットワークイベント監視の合理化
• ソフトウェアやポリシーの更新を減らす
• 災害復旧計画を容易に実施

コスト削減

クラウド・コンピューティングは、オンプレミスのハードウェアへの投資を不要にします。クラウド・コンピューティングは、オンプレミスのハードウェアに投資する必要性をなくし、セットアップ・コストを回避しながらセキュリティを向上させることができます。クラウド・サービス・プロバイダーは、組織のセキュリティ・ニーズに積極的に対応できるため、社内にセキュリティ・チームを雇用してローカル・ハードウェアを保護・保守することに伴うコストとリスクをさらに削減できます。

管理の軽減

評判の高いクラウド・セキュリティ・プラットフォームやクラウド・サービス・プロバイダを利用すれば、手作業によるセキュリティ設定や更新を削減したり、完全に排除したりすることができます。ローカルでは、このような手作業はリソースを大幅に消費する可能性があります。しかし、クラウドに移行する組織は、集中型のセキュリティ管理だけでなく、特定のフルマネージド・オプションも活用できます。

信頼性と可用性の向上

クラウドセキュリティは、アプリケーションとデータを、許可されたユーザーが容易に、しかも安全に利用できるようにするのに役立ちます。クラウド・プロバイダーは、インフラを保護する特定の側面を処理し、クラウド・アプリケーションとデータへのアクセスを制御するのに役立つ機能とサービスを組織に提供する。これにより、企業は潜在的なセキュリティ脅威に迅速に対応することができます。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、クラウド・セキュリティの管理と強化に役立つヒントを紹介しましょう：

クラウドにおけるデータ損失防止（DLP）の導入
クラウドネイティブまたはサードパーティのDLPツールを使用して、機密データを偶発的または悪意のある流出から保護する必要があります。不正なデータ転送を監視し、機密情報を分類し、そのデータの取り扱い方法について自動ルールを設定します。

動的なセキュリティ・ベースラインの活用
自動化ツールを使用して、クラウド環境全体のセキュリティ・ベースラインを継続的に監視し、実施します。これらのツールは、構成とセキュリティ設定の逸脱を検出し、クラウド・リソースが常にベスト・プラクティスとコンプライアンス要件を満たすようにします。

行動ベースの脅威検知を統合
シグネチャベースのIDS/IPSにとどまらず、行動分析を導入してユーザーやシステムの行動の異常を検出します。これにより、従来の検知システムでは見逃してしまうような、巧妙な内部脅威や漏洩した認証情報を検知することができます。

アイデンティティ・ライフサイクル管理の自動化
アイデンティティ・ライフサイクル管理ソリューションを統合することで、最小特権の原則を自動的に適用します。ユーザーが役割を変更したり、組織から離脱したりすると、すべてのクラウド・リソースでそのアクセス権が動的に調整または失効されるようにします。

マルチクラウドの可視化に対応した設計
複数のクラウドプロバイダを使用する場合は、統一された監視プラットフォームを導入して、すべての環境にわたってセキュリティの可視性を確保します。これにより、クラウド間で監視にギャップが生じたり、ポリシーに一貫性がなくなったりするのを防ぐことができます。

クラウドセキュリティのベストプラクティス

以下は、業種を問わず、クラウドを活用するほぼすべての組織にとって有益なベストプラクティスです。

1.責任共有モデルを理解する

クラウドでは、お客様の組織とクラウド・プロバイダーが、環境の安全確保について責任を分担します。一般的に、クラウド・プロバイダーはインフラに責任を持ち、顧客はデータとワークロードの安全確保に責任を持ちます。

Amazon EC2インスタンスのようなIaaS（Infrastructure-as-a-Service）を利用する場合、最も大きな責任を負うのは自分自身であることを覚えておきましょう。Platform-as-a-Service (PaaS)やSoftware-as-a-Service (SaaS)を利用する場合、クラウドプロバイダーはスタックの大部分に責任を負います。

アマゾン ウェブ サービス (AWS) (AWS)、Google Cloud Platform (GCP)、Microsoft Azureのようなクラウド・プロバイダーは、顧客の責任を説明する詳細なドキュメントを提供し、顧客の環境の一部を保護するためのベスト・プラクティスを提供しています。これらのガイドラインをよく理解し、それに従ってください。

2.クラウドプロバイダーに対するデューデリジェンス

クラウド・プロバイダーを選択する前に、あるいは組織内の既存のクラウド・サービスを評価する前に、以下の質問をしてみましょう：

• プロバイダーのデータセンターはどこにありますか？
• プロバイダーは、セキュリティ・インシデントや災害にどのように対処するのか？
• どのようなテクニカル・サポートがあり、その費用は？
• プロバイダーはデータ暗号化を提供しているか、追加コストは発生するか、デフォルトでオンになっているか。
• プロバイダーのどのチームが、お客様のコンピュート・リソースやデータにアクセスできますか？
• プロバイダーは、どのコンプライアンス基準について認証を受けていますか？

3.アイデンティティ・アクセス管理（IAM）ソリューションの導入

不正アクセスはクラウド環境にとって大きな脅威である。こうした脅威に対抗するため、クラウドプロバイダーは洗練されたIAMソリューションを提供しています。プロバイダーのIAMを使用して、きめ細かいロールを設定し、最小権限の原則を使用して権限を適用します。常に多要素認証（MFA）を有効にします。

複数のクラウドにまたがって運用する場合、あるいはハイブリッド・クラウド・モデルの場合、プロバイダーのIAMだけでは十分でない可能性があります。この場合、すべての環境をサポートし、すべてのシステムで一貫したセキュリティ・ポリシーでシングルサインオン（SSO）を提供するIAMソリューションを探します。

4.クラウドセキュリティポリシーの確立

組織内の誰がクラウド・サービスを使用することを許可され、どのような種類のデータが保存され、どのデータが機密であり、どのように保護されるべきかを明記したポリシーを文書化します。組織で使用されているクラウドセキュリティ技術と、従業員が日常業務で従うべき具体的なベストプラクティスを明記します。

しかし、ポリシーだけでは十分ではありません。ゼロ・トラスト・アーキテクチャー（ZTA）セキュリティ・モデルを採用し、アクセス・ポリシーを一元的に定義・実施します。クラウド・アクセス・セキュリティ・ブローカー（CASB）やクラウド・セキュリティ・ポスチャ管理（CSPM）のような自動化システムを使用して、クラウド環境全体の構成を追跡し、ポリシー違反を特定し、できれば自動的に修復します。

5.転送中および静止中のデータを暗号化する。

データの暗号化は、たとえクラウドシステムが侵害されたとしても、機密データが攻撃者にとって無用の長物となることを保証する、もう1つの保護レイヤーを提供します。データは、クラウドストレージシステム内で静止しているときも、クラウド環境内またはクラウド環境外で送信されるときも暗号化されていなければなりません。

すべてのクラウド・プロバイダーは、組み込みの暗号化機能を提供しています。自社のニーズや組織の暗号鍵管理方法に合っているかどうかを確認しましょう。例えば、クラウド・プロバイダーは、独自の鍵を管理できる場合もあれば、鍵の管理とローテーションを代行するソリューションを提供する場合もあります。

6.侵入検知および侵入防御の使用

クラウドサーバーのセキュリティ確保に有効な侵入検知・防御システム（IDS/IPS）を導入します。IDS/IPSシステムは、攻撃シグネチャ、プロトコル、または異常な動作に基づいて悪意のあるトラフィックを検出することができます。IDS/IPSはアラートを出すか（IDS）、トラフィックを即座にブロックします（IPS）。これらのシステムは、重要なクラウドリソースへの脅威に対する防御の第一線となります。

7.コンプライアンスとセキュリティの統合

クラウド・プロバイダーは、評判の高いセキュリティ認証を取得しており、お客様のビジネスが準拠する特定の規制や標準にも準拠していることが望ましいです。例えば

• プロバイダがCloud Security AllianceのSecurity, Trust, and Assurance Registry (STAR)認証、または同等の認証を取得しているかどうかを確認する。
• プロバイダーがHIPAA、PCI DSS、GDPR、SOX、その他の関連基準に準拠しているかどうかを確認する。
• 関連する製品の機能や人的サポートを通じて、プロバイダーがコンプライアンスへの取り組みをどのようにサポートできるかを確認する。

8.監査および侵入テストの実施

すべてのクラウド・プロバイダーは侵入テストを行っているが、これらのテストは基盤となるインフラとプロバイダーが管理する要素にのみ焦点を当てています。攻撃者の視点からクラウドシステムをテストするには、外部のセキュリティコンサルタントか、少なくとも自動化されたアプリケーションテストツールを使用することが不可欠です。

ペネトレーションテストを定期的に実施し、その結果得られる監査報告書を非常に真摯に扱いましょう。監査報告書は、セキュリティ体制のギャップを示すものであり、速やかに是正する必要があります。多くのコンプライアンス基準では、環境の定期的な侵入テストを義務付けていることに注意してください。

9.セキュリティログを有効にする

堅牢なロギングはクラウドセキュリティの基本です。セキュリティ・インシデントを特定して調査できるようにするため、また監査人に活動の記録を提供するためにも、ログが必要です。

クラウドプロバイダのロギングインフラを使用して、認証やアクセス、権限の変更、データ転送、構成の変更、新しいクラウドリソースのデプロイなどの重要なアクティビティのログを一元的に収集します。できれば、ログを一元的に保存して分析し、実用的なセキュリティ・アラートを生成できるセキュリティ情報・イベント管理（SIEM）システムを導入します。

エクサビーム：高度なセキュリティ分析で脅威検知を強化

Exabeam Fusion Enterprise Edition Incident Responderは、SIEM、行動分析、自動化、ネットワークの可視性を強力に組み合わせ、企業が脅威を検知、調査、対応する方法を変革します。ファイアウォールのログと、エンドポイント、クラウド環境、アイデンティティ・システム、その他のセキュリティ・ソースからのデータを相関させることにより、Exabeamは、通常であれば検出されない進化する脅威について、より深い洞察を提供します。

Exabeamは、行動分析によって静的なルールやシグネチャの枠を超え、クレデンシャルの不正使用、内部脅威、ネットワーク全体の横移動を示す異常な行動を特定します。通常のユーザーやエンティティの行動を長期にわたって分析することで、Exabeamは従来のセキュリティ・ツールが見落としていたリスクの高い行動を発見します。

自動化された調査は、異種のデータポイントを包括的な脅威のタイムラインにリンクすることでセキュリティ運用を合理化し、アナリストが手作業でインシデントをつなぎ合わせる時間を短縮します。これにより、チームは攻撃の根本原因を迅速に特定し、的確に対応できるようになります。

詳細はこちらExabeam Fusion SIEM