目次
クラウドセキュリティツールとは?クラウド・セキュリティ・ソリューションとは?
クラウド・セキュリティツールとは、クラウド・コンピューティング環境のセキュリティ確保を支援するソフトウェア・アプリケーションやクラウド・サービスのことである。クラウド環境は非常に複雑であり、手動で監視してセキュリティを確保することは非常に困難です。組織は、専用のクラウド・セキュリティ・ツールを使用して、クラウド・ワークロードを可視化し、より効果的に脅威を検知して対応します。
さまざまなツールがさまざまな機能を実行し、サービスやアプリケーションに追加の保護レイヤーを提供することができる。これらの機能には以下が含まれる:
- アイデンティティとアクセス管理(IAM)
- バックアップを含むネットワーク・セキュリティ
- DevSecOpsと統合されたワークロード・セキュリティ
- コンプライアンス管理とセキュリティ態勢
- 脅威の緩和
このコンテンツは、クラウドセキュリティに関するシリーズの一部です。
クラウドセキュリティの責任は誰が負うのか?
クラウドを採用する企業は、セキュリティに対する共有責任を認識することが重要である。責任共有モデルは、すべてのクラウドプロバイダーが実践している。つまり、クラウドプロバイダーはクラウドのセキュリティに責任を負わなければならないが、クラウド上で実行されるワークロードとデータのセキュリティ保護はクラウドの顧客である企業の責任であるということだ。
以下の表は、各当事者の責任をまとめたものである。
| クラウドプロバイダーの責任 | クラウド顧客の責任 |
| クラウド・プロバイダーの物理的施設、ソフトウェア、ネットワーク、ハードウェアの保護 | クラウド上で動作する独自のアプリケーション、システム、データセットのセキュリティ確保 |
| クラウドサーバー全体に影響を及ぼす攻撃の防止 | 特定のアプリケーションへのトラフィックを利用したり、ワークロードに直接接続したりする攻撃を防ぐ |
| クラウドプロバイダーのシステムが更新され、セキュリティパッチが適用されていることを確認する。 | クラウドリソース上にインストールまたは実行するソフトウェアのアップデートとパッチ適用 |
| 災害やシステム障害に備えて、クラウドプロバイダーのインフラに事業継続のためのオプションを提供する。 | ワークロードのバックアップとディザスタリカバリを確実に実施するか、クラウドプロバイダー経由でそのような機能を設定する。 |
さらに、クラウドの顧客は以下の責任を負う:
- クラウド上で稼働するプラットフォームやアプリケーションの継続的なメンテナンス(フルマネージド型は除く)
- オペレーティングシステム、データベース、アプリケーションのセキュアな構成、ロギング、すべてのSaaSアプリケーションのセキュアな構成の確保
- ログイン制御、認証メカニズム、権限管理
- クラウドリソースへのデータ転送時およびクラウドリソースからのデータ転送時(イングレス/エグレス)のデータ保護
- クラウドに保存されたデータの暗号化
- すべてのクラウドリソースに関連するクラウドセキュリティのベストプラクティスを適用する
エキスパートからのアドバイス
スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
私の経験から、クラウド・セキュリティ・ツールとソリューションをよりよく活用するためのヒントを紹介しよう:
コンテキストを意識したセキュリティ制御の導入
特定の事前定義された条件下でのみリソースにアクセスできるようにするため、時間ベースや地理的位置情報ポリシーなど、コンテキストを考慮したアクセス制御を適用するセキュリティ・ソリューションを使用して、保護レイヤーを追加します。
データレジデンシーと主権要件の評価
クラウドセキュリティツールが地域のデータ主権法(特に複数の法域で事業を展開している場合)に適合していることを確認します。これは、コンプライアンスを満たし、コストのかかる違反を回避するために非常に重要です。
多要素統合戦略の採用
マルチクラウドやハイブリッド環境において、多要素認証(MFA)やIDフェデレーションとシームレスに統合するクラウドネイティブなIAMツールを使用する。これにより、ID管理を簡素化しながらセキュリティを強化できます。
クラウド固有の脅威モデリングの活用
特定のクラウドアーキテクチャに合わせた脅威モデリング演習を定期的に実施する。これにより、クラウドサービス特有の攻撃ベクトルを特定し、より効果的なセキュリティ対策に役立てることができる。
ポリシーベースの自動化による最小権限の実現
自動化されたポリシーベースの実施ツールを使用して最小権限アクセスを実装します。このツールは、手動による介入なしに、ユーザーとアプリケーションに必要な権限のみが付与されるようにし、ヒューマンエラーのリスクを低減します。
クラウドプロバイダーのセキュリティツール:長所と短所
AWS、Google Cloud Platform、Microsoft Azureなどの主要なクラウド・プロバイダーは、ビルトインのセキュリティ・ツールを幅広く提供している。例えば
- AWSは、AWS Security Hub、DDoS緩和サービスのAWS Shield、アプリケーション層の攻撃から保護するセキュリティソリューションのAmazon Web Application Firewall(WAF)を提供している。
- グーグル・クラウド・プラットフォームは、クラウドベースのファイアウォール、Cloud Security Command Center、WAFベースのネットワーク・セキュリティ・サービスであるCloud Armorを提供している。
- Microsoft Azureは、管理用のAzure Security Center、Azure DDoS Protection、クラウドネイティブのセキュリティ情報・イベント管理(SIEM)ソリューションであるAzure Sentinel、Azure WAFなど、数多くのセキュリティ製品を提供している。
ファーストパーティ製クラウドセキュリティツールの長所
クラウドプロバイダーが提供するセキュリティツールの利点には、以下のようなものがある:
- クラウドプロバイダーのインフラ上の脅威ベクトルや弱点に対する防御のために特別にカスタマイズされた。
- 事前に構築されたセキュリティ・ポリシー、WAFルールなど。
- ロギングやレポーティングなど、他のすべてのクラウドプロバイダーサービスと統合されています。
- 大規模な統合作業を行うことなく、同じクラウド上でクラウドリソースを保護することができる。
- これらのソリューションの中には、サードパーティのセキュリティ・ツールと比較して、無料または低コストで提供されているものもある。
ファーストパーティ製クラウドセキュリティツールの短所
- 例えば、クラウドプロバイダーのDDoSサービスは主にネットワークレベルの保護に重点を置いており、アプリケーションレベルのDDoSには対応していない。
- 継続的なメンテナンス- セキュリティ・ポリシーを常に監視し、微調整して保護を確保する必要がある。
- 非全体的-どのクラウド・プロバイダーも、完全で全体的なセキュリティ・ソリューションを提供していない。セキュリティ・ホールを特定し、システムを安全に構成したり、他のサードパーティ製ツールを追加したりしない限り、クラウド環境のいくつかの側面は安全でないままである。
- クラウドは安全だ」と多くの組織が感じている。AWSのような組織には広範なセキュリティ機能があり、特にクラウド・プロバイダーのセキュリティ・ツールをすでに使用している場合はなおさらだ。しかし、クラウドプロバイダーのツールの適用範囲外のリソース、システム、アプリケーションが複数存在する可能性がある。
クラウド・セキュリティ・ソリューションのカテゴリーについての詳しい説明をお読みください。
クラウドネイティブ・セキュリティとサードパーティ・セキュリティ:どう選ぶ?
セキュリティ戦略を策定する際には、以下のような質問を検討する必要がある。
オンプレミスのセキュリティには何が必要ですか?
Azure Advanced Threat ProtectionやAmazon GuardDutyなど、一部のクラウド・ネイティブ・セキュリティ・サービスは、クラウド・ベースとオンサイト・インフラの両方のセキュリティ・リスクを軽減するために使用できる。しかし、クラウドのみで機能するサービスもある。
例えば、クラウドベースの情報セキュリティ・サービスのネイティブな暗号化属性を使用して、オンサイトの情報を暗号化することはできない。クラウドベースのファイアウォール・サービスは、オンサイトのアプリケーションを保護するために採用することができるが、アプリケーションをクラウド・ファイアウォール・ソリューションと統合するために、比較的高価で複雑なアーキテクチャを構築する場合に限られる。
このため、オンサイトとパブリック・クラウドの両方において大きなプレゼンスを持つ組織は、サードパーティのオプションを利用するのが理想的です。このような状況では、パブリック・クラウド・ネイティブのセキュリティ機能では不十分であり、サードパーティ・プロバイダーは、オンサイトとクラウドベースのリソースの両方を保護する上で、より統一性のある機能を提供する。
あなたの組織はマルチクラウド戦略を持っていますか?
マルチクラウド・アプローチを採用する組織は、サードパーティのセキュリティ・ツールも選択する必要がある。通常、あるクラウド・ベンダーのネイティブ・セキュリティ機能は、競合他社のパブリック・クラウド上のセキュリティ機能とは連動しない。
場合によっては、手作業で複雑な統合を行い、ITチームがあるクラウドのセキュリティ関連情報を別のクラウドのセキュリティ・サービスに取り込むことも可能かもしれない。しかし、この場合、さらに困難が生じます。それよりも、さまざまなクラウド・ベンダー経由の情報やサービスと同時に統合できるサードパーティ製ツールを選択することをお勧めします。
クラウドのセキュリティ要件はどのように拡大・拡張していくのか?
また、クラウドのセキュリティ要件の範囲と、それが時間とともにどのように発展していくかを考える必要があります。
クラウド上で実行されているワークロードが2、3個しかなく、近い将来にこの状況が変わるとは思えない場合、クラウド・ベンダーのセキュリティ・ツールだけでこれらのワークロードを保護することは価値があるかもしれない。多くの場合、セキュリティ機能はクラウド・サービスにネイティブに統合されているため、この方法の方が迅速に実装できる。
クラウドのフットプリントが予測可能になることが予想される場合や、ワークロードをオンサイトに戻すために別のクラウドに移行する柔軟性が必要な場合は、サードパーティのセキュリティ・プロバイダを利用した方が俊敏性が高まる。
セキュリティのベストプラクティスについての詳しい説明をお読みください。
エクサビーム:高度なセキュリティ分析で脅威検知を強化
Exabeam Fusion Enterprise Edition Incident Responderは、SIEM、行動分析、自動化、ネットワークの可視性を強力に組み合わせ、企業が脅威を検知、調査、対応する方法を変革します。ファイアウォールのログと、エンドポイント、クラウド環境、アイデンティティ・システム、その他のセキュリティ・ソースからのデータを相関させることにより、Exabeamは、通常であれば検出されない進化する脅威について、より深い洞察を提供します。
Exabeamは、行動分析によって静的なルールやシグネチャの枠を超え、クレデンシャルの不正使用、内部脅威、ネットワーク全体の横移動を示す異常な行動を特定します。通常のユーザーやエンティティの行動を長期にわたって分析することで、Exabeamは従来のセキュリティ・ツールが見落としていたリスクの高い行動を発見します。
自動化された調査は、異種のデータポイントを包括的な脅威のタイムラインにリンクすることでセキュリティ運用を合理化し、アナリストが手作業でインシデントをつなぎ合わせる時間を短縮します。これにより、チームは攻撃の根本原因を迅速に特定し、的確に対応できるようになります。
その他のクラウドセキュリティの説明
