マルチクラウド環境において、クラウドセキュリティが依然として困難な理由
ブログを読む
Vectra AI、2026年のガートナー「NDRマジック・クアドラント」においてリーダー企業の一つに選出
レポートを読む
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコンのボトムライン
  1. ブログ
    >
  2. クラウドセキュリティ

マルチクラウド環境において、クラウドセキュリティが依然として困難な理由

June 24, 2026
6/24/2026
Aakash Gupta
シニア・グループ・プロダクト・マネージャー
Zoey Chu
プロダクト・マーケティング・マネージャー
マルチクラウド環境において、クラウドセキュリティが依然として困難な理由

現代のクラウド攻撃を想像してみてください。ログインに成功し、権限が過剰に付与されたアプリがあり、是正措置をくぐり抜けたトークンが存在し、その接続は通常のクラウドトラフィックに紛れ込んでいる――といった状況です。

これは単なる仮説ではありません。マイクロソフトの報告によると、 「Midnight Blizzard」(APT29 や NOBELIUM としても追跡されている)、パスワードスプレー攻撃を用いて、多要素認証(MFA)が設定されていないレガシーな非本番環境のテナントアカウントを侵害し、その足掛かりを利用して OAuth アプリケーションを悪用し、横方向の移動を行い、企業の電子メールにアクセスして情報を持ち出したとのことですNSAおよびパートナー機関は、APT29が非アクティブなアカウントや自動化されたアカウントを通じてクラウドホスト型インフラを標的としており、トークン、デバイス登録、プロキシインフラを利用してアクセスを維持し、活動を隠蔽する可能性があるとして警告を発している

APT29は例外ではありません。Storm-0558は偽造された認証トークンを使用してクラウド上のメールにアクセスし、一方、Storm-0501では、金銭的動機を持つ攻撃者がハイブリッド環境からクラウド環境へと移行し、データの窃取や業務妨害を行っていることが確認されています。

これこそが、クラウドの問題を端的に表している。攻撃自体は確かに存在するが、その証拠は、ID、アプリケーションの権限、クラウド管理、データアクセス、ネットワークの動作など、あちこちに散在しているのだ。

長年にわたり、クラウドセキュリティは部分的な情報に基づいて構築されてきました。具体的には、コントロールプレーンのログ、導入が現実的な場所でのパケットキャプチャ、そして事後的に再構築されたSIEMのタイムラインなどです。それぞれのアプローチには価値があります。しかし、これらはいずれも単独では、攻撃がクラウド内をどのように移動していくかという全体像を防御側に提供することはできません。

攻撃者は、セキュリティツールの配置に合わせて行動するわけではありません。彼らはID、API、ワークロード、サービス、ネットワーク経路を縦横無尽に行き来するため、防御側は、あまりにも多くの要素を、手作業で、しかも手遅れになってから結びつけざるを得ない状況に陥ります。

クラウドセキュリティには相関性の問題がある

多くの組織において、クラウドセキュリティに関するデータが不足しているわけではありません。セキュリティ態勢の分析結果、ID関連のアラート、クラウドネイティブのログ、ワークロードのシグナル、ネットワークテレメトリ、SIEMイベントなどがすでに存在しています。問題は、これらのシグナルがしばしば異なるツールに分散しており、異なるチームが管理し、さらに各クラウドプロバイダー固有の形式で記録されている点にあります。

こうした断片化により、攻撃が隠れる余地が生まれます。侵害されたID、権限の変更、新しいワークロード、そして異常なアウトバウンド接続は、それぞれ異なる場所で検出される可能性があります。個々に見れば、いずれも説明のつく現象に見えるかもしれません。しかし、これらを総合すると、環境内を移動する攻撃の兆候である可能性があります。

リスクオーナーやセキュリティ責任者にとって、これは危険な錯覚を生み出します。つまり、組織はクラウドの多くの部分を把握しているにもかかわらず、リスクがどのように展開しているかを見逃してしまうのです。実務者にとっては、コンソールを切り替えたり、タイムラインをつなぎ合わせたり、プロバイダー固有のログを解析したり、一見無関係に見えるイベントMITRE ATT&CK 照らし合わせた攻撃者の行動の連鎖であるかどうかを判断したりするという、日々の負担となります。 一見孤立したシグナルのように見えるものも、実際には、クラウド全体で展開されている偵察、認証情報の取得、権限の昇格、横方向の移動、あるいは持続化を表している可能性があります。問題は、一箇所での可視性の有無ではありません。攻撃者が移動する各場所間の相関関係が欠如していることにあります。

マルチクラウド化により、可視性のギャップを無視しづらくなっている

ほとんどの企業は、単一の「クリーンな」クラウド環境だけで事業を展開しているわけではありません。AWSやAzureを運用し、分析やAIにはGCPを利用し、エンタープライズアプリケーションにはOCIを活用したり、買収を通じて新たなクラウド環境を引き継いだりしています。

各クラウドは、独自のアイデンティティモデル、ロギング形式、ネットワーク抽象化、運用用語を採用しているため、防御担当者が迅速な対応を必要とするまさにその瞬間に、手動での相関分析が困難になってしまいます。あるクラウドで攻撃者の動きを把握し始めた矢先、別の場所ですでに攻撃が進行している可能性があるのです。

攻撃者はこの弱点を悪用しています。「Scattered Spiderとしても知られる「UNC3944」は、IDプロバイダー、SaaSのセキュリティ上の脆弱性、およびAzure、AWS、GCPなどのクラウドプラットフォームを標的とし、権限や仮想化プラットフォーム、クラウド同期ツールを悪用して横方向の移動を行い、データを窃取していることが確認されています。マルチクラウド環境そのものが問題を引き起こすわけではありません。問題はすでに存在しています。マルチクラウド環境は、その問題をさらに深刻化させるのです。  

ハイブリッド・マルチクラウド環境における攻撃経路の例

ハイブリッド・マルチクラウド攻撃は、組織やクラウドの境界をほとんど無視します。攻撃者は、ID、権限、ワークロード、信頼関係がどこへつながっていようとも、その先を追跡します。防御側にとっての課題は、攻撃自体が相互に関連しているにもかかわらず、調査がクラウドネイティブツール間で断片化されがちであるという点です。

そして、攻撃者の動きがますます速くなるにつれ、その課題はますます困難なものとなっています。最近の研究では、自律型のAIシステムが、人間の介入なしに脆弱性を悪用し、認証情報を収集し、クラウド環境内で横方向の移動を行うことが実証されました。かつては数時間から数日かかっていたような活動が、ますます数分で完了するようになってきています。防御側は、可視性の断片化という問題に直面しているだけでなく、点と点を結びつけるための時間がますます少なくなっているという課題にも直面しています。

当社の電子書籍で、攻撃者がどのように動き回るのかについて詳しくご覧ください。

コントロールプレーンには変化が見られる。フローログには動きが記録されている。

クラウド攻撃は、多くの場合、コントロールプレーンから始まります。具体的には、アイデンティティの認証、アイデンティティおよびアクセス管理(IAM)ポリシーの変更、鍵の作成、ロールの変更、セキュリティグループの開放、あるいはワークロードの起動などが挙げられます。こうしたシグナルは重要です。それらは、誰が何を行ったか、何が変更されたか、そして現在どのようなアクセスが可能になったかを示しています。しかし、そのアクセスによって何が可能になるかまでは、必ずしも示されているわけではありません。

クラウドネットワークプレーンは、ワークロード、サービス、アプリケーション、およびユーザー間の通信の仕組みを示しています。たとえば、新しいワークロードが機密性の高いデータベースにアクセスした場合、サービスが未知の宛先に接続した場合、あるいは通常は相互に通信すべきではない環境間でトラフィックが移動した場合などが挙げられます。

調査においては、こうした詳細情報を迅速に結びつける必要があります。新しいキー、一見ありふれたワークロードの関連性、そして一見無害に見える外部へのデータ流出は、個別に検討すれば見過ごされがちです。しかし、これらを時間軸で結びつけると、あるIDが、アクセス権の取得、環境内での移動、そしてデータへの到達に利用されていることが明らかになる可能性があります。

パケットは、実用的な場面において詳細な可視性を提供します。しかし、動的なマルチクラウド環境では、広範囲にわたるパケット収集のアーキテクチャ設計、スケーリング、および保守は複雑になりがちです。一方、フローログは、クラウドのネットワークプレーンにおける動作(どのシステムが、どのポートやプロトコルを介して、どの方向へ、どの程度のトラフィック量やパターンで通信したか)を観察するための、よりスケーラブルな手段となります。

しかし、フローログは、識別情報、コントロールプレーンの活動、ワークロードのコンテキスト、および攻撃者の行動と関連付けられない限り、あくまで単なるシグナルに過ぎません。こうした相関関係により、クラウドテレメトリは、影響が生じる段階に至る前に、具体的な対応につながる検知情報へと変わります。

次のステップは、クラウドの可観測性と検知の統合です

各チームが各プロバイダーを個別に解釈することに依存するクラウド戦略では、時代の変化に対応し続けることは困難です。Zero Trust さえ、連携された可視性にZero Trust 。防御側は、アイデンティティ、コントロールプレーンの変更、およびワークロードの挙動が、アプリケーションが通信し、サービスが相互作用し、データが移動し、ビジネスが実際に稼働しているクラウドネットワークプレーンでの状況と整合していることを検証するために、連携された可視性を必要としています。

答えは、アナリストを再び同じ手動調査のループに追い込むような、新たなダッシュボードや生のログストリーム、あるいはアラートではありません。クラウドセキュリティは、テレメトリの収集から、行動の関連付けへと移行しなければなりません。

セキュリティチームは、ID関連のアクティビティ、コントロールプレーンの変更、ワークロードの挙動、クラウドのネットワークプレーンにおける通信が、同じ攻撃の一部であるかどうかをリアルタイムで把握する必要があります。既存のツールは有用ですが、防御担当者に「セキュリティ状態」「ID」「トラフィック」「ログ」といった断片的な情報しか提供できないことが多すぎます。急速に展開するクラウド攻撃においては、こうした断片的な情報だけでは不十分です。 さらに、チームにはクラウド検知・対応機能も必要です。これには、AIを活用した調査ツールと対応機能が支えとなり、相互に関連するシグナルを、現代の攻撃が要求するスピードでコンテキスト、指針、そしてアクションへと変換する能力が求められます。

これにより、信号が異なるプレーンやプロバイダー間を高速で伝送される様子を把握できるため、セキュリティチームは、対応する時間的余裕があるうちに攻撃経路を把握することができます。

これが、Vectra AI PlatformがAmazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)、Oracle Cloud Infrastructure(OCI)にわたってクラウドネットワークの可観測性を強化した原動力となっています。Vectra AI Platformは、コントロールプレーンとクラウドネットワークプレーンの可視性を統合することで、組織がクラウド攻撃を、個別のイベントとしてではなく、マルチクラウド環境全体にわたる関連性のある行動として検知できるようにします。

攻撃者がAIを活用して攻撃のタイムラインを短縮し、さまざまな領域を横断して活動する中、現代のクラウドセキュリティでは、攻撃が侵害に発展する前にその実態を把握できるよう、適切なシグナルを迅速に結びつける必要があります。

Vectra AIチームからの情報をもっと知りたいですか?最新のポッドキャストで、マルチクラウドセキュリティについて詳しくご覧ください。

よくある質問 (FAQ)