Adapting to Changes in Securing the Cloud

クラウドのセキュリティ確保における変化への対応

今日の常時接続のデジタル・ビジネスにおけるスピードと俊敏性の必要性により、ITチームは従来のオンプレミス・インフラストラクチャからクラウド・ネイティブ・アーキテクチャへの転換を迫られている。DevOpsの台頭と、Platform as a Service（PaaS）とInfrastructure as a Service（IaaS）の利用は、この変化の基盤となり、今や標準となっている。その結果、スピードと俊敏性が増すと、セキュリティ問題を引き起こすリスクも増大する。

サイバー攻撃のライフサイクル

一見すると、クラウドにおける攻撃のライフサイクルは、従来のネットワークと似ているように見える。しかし、両者を詳しく検討すると、セキュリティの検討方法を変えるような重要な違いがいくつかある。

クラウドの導入にはどのような種類があり、それぞれにセキュリティ上の課題があるのか？

クラウドにおける責任の共有

クラウド・サービスを採用する場合、セキュリティは本質的に責任共有モデルとなる。このモデルでは、クラウド・サービス・プロバイダー（CSP）の顧客は、CSPのアーキテクチャによって変化する脅威の表面に完璧に適応し、セキュリティ運用の半分を提供する必要があります。

クラウドセキュリティの最大の課題とは？

サービスとしてのインフラ

当初、IaaSのセキュリティはオンプレミス環境から最も変化が少ないように見える。結局のところ、クラウドはあなたのアプリケーションを他人のコンピューター上で動かしているだけなのだ。

しかし、クラウド・セキュリティ・プロバイダー（CSP）は、まったく新しい、見慣れない管理・制御プレーン、新しいアイデンティティとアクセス・パラダイム、新しい形態のストレージとともに、そのコンピュータを提供する。

クラウドに関連する第一世代の情報漏洩は、組織がこの新しいパラダイムを理解せず、機密情報をクラウドストレージに置きながら、インターネットへのアクセスをオープンにしたことに起因している。

ネットワーク・ファイアウォールとセグメンテーションがこの種の設定ミスを防いでいたからだ。何が変わったのか？クラウド上のすべての資産を物理的にネットワークで囲み、そのネットワークの端にファイアウォールを設置する方法はない。

問題の本質は単純だ：CSPは信じられないほど複雑なエコシステムを提供しており、新機能が追加されるにつれて常に流動的である。

サービスとしてのプラットフォーム

PaaSを採用することのセキュリティ上の意味は、多くの組織で十分に理解されていない。問題となるサービスは、単純なもの（ストレージなど）から複雑なもの（分析スタックなど）まで多岐にわたる。そして、これらのサービスにはそれぞれ独自のセキュリティ上のニュアンスがある。

PaaSを介して提供されるすべてのサービスには、より広範な課題がある：セキュリティ・チームは一般的に、アプリケーションに組み込まれたサービスを安全なネットワークで囲むことなく、どのようにセキュアにするかについて、既存のモデルを持っていない。そのモデルをPaaSで提供されるサービスに適用する方法はない。

また、CSPのゴールは顧客のそれとは異なることに留意されたい。新サービスを展開する際、そのサービスを開発するCSPはサービスの採用率によって判断される。

新サービスのデフォルトのセキュリティ態勢を決定する際、CSPは一般的に、顧客による採用を遅らせる可能性のあるセキュリティ管理を追加するのではなく、顧客の導入を容易にするために障壁を取り除く。

サービスとしてのソフトウェア 

SaaSでは、アクセスできるのはアカウントとIDだけなので、すべてが同じであるという幻想はない。しかしSaaSは、文字通り一夜にして新しいアプリケーションを導入でき、ソフトウェアのアップグレードやバックアップ、その他のありふれたサポート作業を心配する必要がないことに組織が気づいたため、広く採用されるようになった。

これらのSaaSアプリケーションはどこからでもアクセスすることができ、運が良ければアクセスするデバイス上のエンドポイント検出とレスポンス （EDR）の要素、そしておそらくクラウド・アクセス・セキュリティ・ブローカー（CASB）が昔の安全性を再現することが期待されている。

さらに、SaaSアプリケーションは非常に複雑になっている。そして、これは、アクセスのプロビジョニングとデプロビジョニング、アプリケーションのセキュリティ問題の監督を任務とするIT組織にとって、より大きな仕事の一部に過ぎないことに留意してほしい。

エンドユーザーがフィッシングに成功したり、クラウド・アプリケーションの一部の設定にミスがあったりすると、攻撃者はすぐにデータにアクセスできるようになり、他のサービスへの絶好の入口となる。

さまざまなクラウド・セキュリティ・ソリューションを攻撃のライフサイクルにマッピングする

クラウドセキュリティの適用範囲は、選択するクラウドセキュリティソリューションによって異なります。以下に、ツールによってカバーできる範囲の広さと深さが異なることを示します。

定義

CASB

クラウドアクセス・セキュリティ・ブローカー

クラウドサービスコンシューマーとクラウドサービスプロバイダーの間に位置し、クラウドアプリケーションのセキュリティ、コンプライアンス、ガバナンスポリシーを実施する。

CWPP

クラウドワークロード保護プラットフォーム

主に、エージェントを活用してパブリッククラウドのIaaS (Infrastructure as a Service) 環境でサーバーのワークロードを保護するために使用される。

CSPM

クラウドセキュリティポスチャ管理

ポリシーを監視することで、クラウドの誤設定の発見、評価、解決を支援します。

IDPS

侵入検知・防止システム

悪意のあるアクティビティやポリシー違反がないか、ネットワークやシステムを監視する装置またはソフトウェアアプリケーションで、通常はシグネチャベースである。

ウェブアプリケーションファイアウォール

ウェブ・アプリケーション・ファイアウォールは、ウェブ・アプリケーションとの間でHTTPトラフィックをフィルタリング、監視、ブロックする。

ウェブと電子メールのセキュリティ

電子メールなど、特定のサービスの保護を目的としたその他のセキュリティツール。

NAC

ネットワークアクセス制御

エンドポイントセキュリティ技術 (アンチウイルス、ホスト侵入防御、脆弱性評価など)、ユーザーまたはシステム認証、ネットワークセキュリティの実施を一元化しようとするもの。

【日本語・英語版レポート】侵害を防ぐことはますます困難になっていますが、指揮統制からデータ漏洩に至るまで、発生する行為を検知することは可能です。

‍

検知とレスポンス

クラウドへの移行は、コストと俊敏性において直接的な利点がある一方で、可視性の低さによるリスクの増加は明らかであり、目に見えるものである。ハイブリッドクラウド の世界で脅威を検知するためのサイロ化されたアプローチは、侵害されたユーザー、アカウント、ロール、および誤った設定を見えなくする。

従来のハードウェアベースの方法では、ファイアウォールや仮想パッチという形で導入後にセキュリティを追加することができたが、クラウド導入ではもはや不可能だ。クラウドでの展開が本番になってから、予防的なセキュリティについて考えるのでは時すでに遅しなのだ。

ガートナーによれば、クラウドのセキュリティ障害の99％は顧客の責任である。現実には、クラウドはその規模とスケールの大きさ、そして絶え間ない変化のために、セキュアに構成されることはない。理想的には、エージェントや静的なポリシー・ルールに頼ることなく、アカウントの作成や変更、サービスの利用状況を可視化することだ。

従来の運用とセキュリティの慣行はパブリック・クラウドにはうまく適用できず、保護と監査が必要なクラウドの対象領域は常に変化している。