目次
クラウド・セキュリティ・ソリューションとは?
クラウド・セキュリティ・ソリューションは、クラウド・アーキテクチャとアイデンティティを保護し、脆弱性を特定して修復し、脅威を防止し、インシデント発生時の対応を支援するソフトウェア・ツールである。
より多くの企業がクラウドインフラを採用し、機密データの保存やミッションクリティカルなアプリケーションの実行にクラウドリソースを使用するようになるにつれ、データプライバシーとセキュリティに関する懸念は拡大し続けている。
クラウド環境が直面する多くのセキュリティ脅威により、企業はセキュリティ・インシデントを自動的に検出し、環境全体の脅威をプロアクティブに特定する必要がある。クラウドセキュリティは、クラウド技術とセキュリティツールが連携して初めて対処できる、進化し続ける課題である。
このコンテンツは、クラウドセキュリティに関するシリーズの一部です。
クラウドで何を守るべきか?
クラウド環境は複雑で、多数の可動部品で構築されている。多くの組織は、SaaSクラウド・サービスのセキュリティを管理するためにSaaS Security Posture Management(SSPM)を使用しており、DevOps、セキュリティ、ITの各チームがSaaS環境のセキュリティ・ポスチャを可視化し、管理できるようにしている。以下は、クラウド・セキュリティ・ソリューションが対応しなければならない主な資産の種類である:
クラウド・ネットワーク
ファイアウォールはオンプレミスと同様にクラウドでも重要だが、いくつかの異なる要件がある。クラウド・ファイアウォールは、仮想プライベート・クラウド(VPC)内や、より広範なクラウド・ネットワーク内の重要な接続を妨害しないように導入されなければならない。ファイアウォールやその他のテクノロジーは、クラウド・リソースとの間のネットワーク・トラフィック(イングレス/エグレス・トラフィック)の検査やフィルタリングに使用できる。
計算インスタンス
仮想マシン(VM)としても知られるコンピュート・インスタンスは、クラウドのワークロードを実行するコンピューティング・リソースである。コンピュート・インスタンスは、他のサーバーと同様に、脆弱性、マルウェア、制御不能な変更から保護されなければならない。クラウドインスタンスは動的に起動・停止されるため、保護はより複雑になります。また、各インスタンスはセキュリティ・ポリシーによって管理されなければならない。
容器
クラウドにおける一般的なデプロイパターンは、アプリケーションをコンテナで実行することだ。コンテナは、ソフトウェア環境全体を格納できる軽量なプロセスである。コンテナは、あらゆる環境でソフトウェアを確実に実行するために使用される。
コンテナはイメージに基づいているため、セキュリティ・ソリューションは、コンテナ・イメージを使用する前や使用中に、脆弱性や不正な変更がないかスキャンする方法を提供する必要がある。さらに、実行中のコンテナの監視と保護、およびKubernetesのようなコンテナ・オーケストレーターのための追加のセキュリティ・レイヤーも必要です。
クラウドアプリケーション
クラウドアプリケーションは、クラウドインスタンス、コンテナ、サーバーレスプラットフォームのいずれにデプロイされるかにかかわらず、独自のセキュリティ対策が必要です。これには、アプリケーション・コンフィギュレーションの保護、強力な認証の確保、悪意のあるパターンや異常なパターンがないかアプリケーションのトラフィックを監視することなどが含まれる。ログも認証方法も安全でなければならない。IT管理者とセキュリティ・チームは、脅威の検知と対応を可能にするために、クラウド・アプリケーションを一元的に可視化し、コントロールする必要がある。
クラウドセキュリティの脅威についての詳しい解説をお読みください。
クラウド・セキュリティ・ソリューションはガバナンスとコンプライアンスにどう影響されるか?
クラウド・セキュリティ・ソリューションは、組織に影響を与える標準や規制をサポートし、コンプライアンスを支援する必要がある。
一般データ保護規則(GDPR)のような規制や、PCI DSS(Payment Card Industry Data Security Standard)のような基準は、クラウド環境に広範な影響を及ぼす。理想的には、クラウド・セキュリティ・ソリューションが組織を支援する必要がある:
- コンプライアンス要件に違反する可能性のある環境要素を特定する。
- コンプライアンスに関する問題の修正
- アクセスログや変更ログなど、環境から関連データを収集する。
- 監査人にコンプライアンスを示す報告書を作成する
エキスパートからのアドバイス
スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
私の経験から、クラウドのセキュリティ戦略をより最適化するためのヒントを紹介しよう:
アプリケーション層でのデータの暗号化
クラウド・プロバイダーは、静止時および転送中のデータの暗号化を提供しているが、アプリケーション層にも暗号化を導入することを検討しよう。これにより、下位レイヤーが侵害されても有効なセキュリティの追加レイヤーが提供される。
クラウドネイティブの脅威インテリジェンスを統合
クラウドネイティブの脅威インテリジェンス・フィードを活用することで、既存のセキュリティ・ソリューションを強化します。これにより、特定のクラウドサービスを標的とする最新の脆弱性や脅威に関するリアルタイムのアップデートを提供し、防御を常に最新の状態に保つことができます。
マイクロセグメンテーションによるネットワーク分離の強化
ファイアウォールだけでなく、クラウド環境内でマイクロセグメンテーションを使用して、侵入時の横方向の動きを制限します。このアプローチでは、ワークロードを分離し、きめ細かなセキュリティ制御を適用することで、攻撃者のアクセスを制限します。
自動ドリフト検出の実装
自動化ツールを使用して、設定のドリフトを定期的に監視する。これらのツールは、クラウド資産が安全なベースライン構成から逸脱した場合に警告を発し、脆弱性が悪用される前に迅速な修復を可能にする。
イミュータブル・インフラストラクチャの活用
クラウドインスタンスをデプロイ後に変更しない、イミュータブル・インフラストラクチャを採用する。パッチやアップデートの代わりに、インスタンスを完全に置き換えます。これにより、不正な変更のリスクを低減し、セキュリティの一貫性を高めることができます。
クラウド・セキュリティ・ソリューションの主要8カテゴリー
以下は、組織がクラウド・コンピューティング環境のセキュリティを確保するために、最も一般的に使用されている SSPM ソリューション・カテゴリーである:
クラウド・アクセス・セキュリティ・ブローカー(CASB)
CASBツールは、ユーザーとクラウドサービス間のゲートウェイとして機能する。CASBは物理的なデバイスとしても、ソフトウェア・アプリケーションとしても、クラウドでもオンプレミスでも導入できる。CASBは、オンプレミス環境を超えてセキュリティ・ポリシーを拡張し、オンプレミスとクラウドの両方に同じアクセス・ポリシーを適用することを可能にする。
CASBソリューションは、組織で使用されているクラウドサービスを自動検出し、各サービスに関連するリスクを判断し、データ使用とユーザーアクセスのポリシーを設定して実施することで機能する。CASBソリューションは通常、データの暗号化やマルウェア対策も行う。
クラウド・セキュリティ・ポスチャ管理(CSPM)
CSPMツールは、クラウド構成をスキャンして、安全でない構成や、セキュリティ標準やコンプライアンス要件から逸脱した構成を特定する。セキュリティ構成の誤りは、クラウドにおけるセキュリティ侵害の最大の原因の1つである。CSPMは誤設定を特定し、影響を受けるシステムの脆弱性を自動的に修正することができる。また、コンプライアンス目的でクラウド構成をレポートすることもできる。
関連コンテンツ:クラウド・セキュリティ・ポスチャー・マネジメントに関する解説をお読みください。
クラウド・ワークロード・プロテクション・プラットフォーム(CWPP)
CWPPツールは、仮想マシン、コンテナ、サーバーレス機能などのクラウドワークロードを保護する。複数のクラウド環境で稼働するワークロードを検出し、すべてのワークロードに一貫したセキュリティポリシーを適用できる。CWPPは通常、クラウドプロバイダーのAPIと統合するのではなく、オペレーティングシステムから直接情報を収集する。
クラウド・コンプライアンス
クラウド・コンプライアンス・ソリューションは、クラウド・ワークロードの可視性を向上させる。クラウド環境のどの部分がコンプライアンス要件に違反しているかを把握するのに役立つ。クラウドコンプライアンスツールは、クラウドシステムが特定の規制や標準に準拠しているかどうかを示す監査を生成し、コンプライアンス上の問題に対する改善策を提案することができる。
セキュリティインシデント・イベント管理(SIEM)
最新の SIEM ソリューションは、あらゆるクラウドまたはオンプレミスのデータソースからすべてのセキュリティアラートデータを取り込んで動作分析し、組織がサイバー攻撃をより効率的に検出、調査、対応できるようにする独自の機能を備えています。
クラウドサイバーコップとして効果的に機能するために、最新のSIEMには、クラウドセキュリティを確保するために必要なあらゆるソースからのアラートデータの取り込みを可能にする複数のAPIベースのコネクタが必要です。また、オンプレミスのデータ・ソースをハイブリッド・マルチクラウド環境に取り込むこともできる。一般的には、オンプレミスのインフラを保護するのと同じで、プロセスは次のようになります:
- ログはSIEMに取り込まれ、一元管理される。
- セキュリティツールまたはSIEMの相関ルールからアラートが発せられるか、行動分析から注目すべきユーザーまたはエンティティのイベントが作成される。
- これが調査の引き金となり、アナリストはSIEMに集められた証拠を検証する。
- 証拠はインシデント・タイムラインに処理される
- タイムラインに基づき、アナリストは攻撃に対応することができる。
アナリストは、どのシステムとユーザーが関与していたかを把握し、そのアクティビティを表示し、修復のためのプレイブックに相談したり、適用したりすることができる。
eXtendedディテクション&レスポンス(XDR)
XDRは、組織が脅威検知とインシデントレスポンス(TDIR)をより効果的に提供できるようにする新しいセキュリティパラダイムである。クラウド環境には、パブリック・ネットワーク、仮想プライベート・ネットワーク(VPN)、API、ワークロード、アプリケーションなど、複数のレイヤーがあります。もう一つの次元は、クラウドサービスに接続する保護されていないユーザー・デバイスです。
XDRは、3種類のデータをTDIR体制に組み合わせ、攻撃のタイムラインを自動的に構築することで、インシデントの迅速な調査に役立てることができる:
- アイデンティティ管理 -人間のユーザーとサービス・ロールを監視し、異常な活動を監視する。
- クラウドログ -クラウド環境の複数のレイヤーから大量のログデータを収集し、異常なイベントを抽出する。
- ネットワークフローの分析 -クラウド環境全体のネットワークトラフィックを観察することで、クラウドマシンのNetFlowを監視するだけでなく、ネットワークセグメンテーションを設定することで自動的に対応します。
XDRは、クラウド環境からのデータを、オンプレミスシステムやIoTなどの分散システムからのデータと組み合わせる能力で輝きを放っている。
セキュアアクセスサービスエッジ(SASE)
SASEは、デバイスやエンティティのアイデンティティに基づき、リアルタイムのコンテキスト、セキュリティ、コンプライアンスポリシーを備えたクラウドシステムへのリモートアクセスを可能にする。
SASEは、SD-WANやZTNA(Zero Trust Network Access)など、様々な統合ネットワークとセキュリティ機能を提供します。また、ブランチオフィス、リモートワーカー、ローカル向けの一般的なインターネットセキュリティもサポートしています。
SASEは、クラウド・デリバリー・モデルを通じて、重要なネットワーク・サービスの提供と運用を大幅に簡素化し、俊敏性、回復力、セキュリティを向上させる。その最大の利点は、完全に統合されたソリューションであることです。旧世代のリモート・アクセス・ソリューションでは、完全に安全なソリューションを提供するために4~6種類のツールを統合する必要がありました。
セキュリティ・サービス・エッジ(SSE)
SSEは、ウェブ、クラウドサービス、個人用アプリケーションへのアクセスを保護します。機能には、アクセス制御、脅威保護、データ・セキュリティ、セキュリティ監視、および許容可能な使用制御が含まれ、これらはすべてWebベースおよびAPIベースの統合によって実装されます。
SSEテクノロジーにより、企業はクラウド中心のアプローチで、いつでもどこでもセキュリティ・ポリシーを実施し、従業員をサポートすることができる。複数のセキュリティ機能を単一の製品に統合することで、複雑さを軽減し、ユーザー・エクスペリエンスを向上させる機会を即座に提供します。
クラウド・セキュリティ・ソフトウェアの選び方
ここでは、クラウド・セキュリティ・ソリューションを選択する際に考慮すべき重要な点を説明する:
パブリッククラウド対応
- ソリューションは複数のパブリッククラウドプロバイダーをサポートしていますか?
- 各クラウドプロバイダーで複数のアカウントを管理できますか?
- ソリューションのさまざまな機能に対して、きめ細かなアクセス制御を行っていますか?
コンプライアンスとポリシー
- ソリューションは、CISセキュリティベンチマーク、NISTクラウドセキュリティガイドライン、PCI DSSなどのコンプライアンス基準をサポートしていますか?
- カスタムセキュリティポリシーが可能か。
脅威の検出
- セキュリティの脆弱性をリアルタイムで検出しているか、また、どのような種類の通知を提供しているか。
- セキュリティの脆弱性をどのように可視化し、迅速な対応を可能にする実用的な情報を提供するのか。
- ソリューションは自動修復や脅威対応を行うことができるか、またその程度はどの程度か。
データの取り扱い
- ソリューションが保存できるデータ量と保存期間は?
- ソリューションは、クラウド・オブジェクト、サービス、ユーザー・アカウント間の関係を識別できるか?
- このソリューションは、書き込み権限がなくても動作しますか?
デベロッパーサポート
- セキュリティ問題を、開発者が行った特定の変更まで追跡できるか。
- どのようなサードパーティとの統合がサポートされているか?既存のセキュリティ・ツールとの連携は可能か?
- そのソリューションはAPIとサポート文書を提供していますか?
使いやすさ
- ソリューションは使いやすく、どの程度のトレーニング、文書化、サポートが受けられるか。
- ソリューションはどのくらいの頻度で更新され、更新には組織からのアクションが必要ですか?
エクサビーム:高度なセキュリティ分析で脅威検知を強化
Exabeam Fusion Enterprise Edition Incident Responderは、SIEM、行動分析、自動化、ネットワークの可視性を強力に組み合わせ、企業が脅威を検知、調査、対応する方法を変革します。ファイアウォールのログと、エンドポイント、クラウド環境、アイデンティティ・システム、その他のセキュリティ・ソースからのデータを相関させることにより、Exabeamは、通常であれば検出されない進化する脅威について、より深い洞察を提供します。
Exabeamは、行動分析によって静的なルールやシグネチャの枠を超え、クレデンシャルの不正使用、内部脅威、ネットワーク全体の横移動を示す異常な行動を特定します。通常のユーザーやエンティティの行動を長期にわたって分析することで、Exabeamは従来のセキュリティ・ツールが見落としていたリスクの高い行動を発見します。
自動化された調査は、異種のデータポイントを包括的な脅威のタイムラインにリンクすることでセキュリティ運用を合理化し、アナリストが手作業でインシデントをつなぎ合わせる時間を短縮します。これにより、チームは攻撃の根本原因を迅速に特定し、的確に対応できるようになります。
その他のクラウドセキュリティの説明
Exabeamについてもっと知る
ホワイトペーパー、ポッドキャスト、ウェビナーなどのリソースで、Exabeamについて学び、情報セキュリティに関する知識を深めてください。
