Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
ハイブリッドクラウドのセキュリティは、オンプレミスインフラ、プライベートクラウド、パブリッククラウド、SaaSプラットフォームにまたがる環境全体において、ワークロード、データ、ID、およびネットワークトラフィックを保護します。これには、分散システム全体にわたる統一された可視性、一貫したポリシーの適用、および連携した検知機能が必要です。ハイブリッド環境では従来の境界が曖昧になるため、攻撃者はID管理の不備、クラウドの設定ミス、トークンの悪用、およびドメイン間の死角を悪用してきます。
最新のハイブリッドクラウドセキュリティプラットフォームは、セキュリティオペレーションセンター(SOC)チームが脅威の優先順位付けを改善し、アラート疲労を軽減し、分散環境全体にわたる攻撃者の行動を検知するのにも役立ちます。
ハイブリッドクラウドのセキュリティとは、オンプレミスインフラ、プライベートクラウド、パブリッククラウド、およびSaaSプラットフォームにまたがる環境全体において、ワークロード、データ、ID、およびネットワークトラフィックを保護する取り組みのことです。
従来の境界ベースのセキュリティとは異なり、ハイブリッドクラウドのセキュリティでは、動的なワークロード、フェデレーションされたID、API主導の通信、および複数のコントロールプレーンにまたがる暗号化されたイースト・ウエスト・トラフィックを考慮に入れる必要があります。
ハイブリッドクラウドのセキュリティは、アイデンティティガバナンス、ワークロード保護、ネットワークの可観測性、構成管理、および脅威検知を、単一の連携した運用モデルに統合することにかかっています。
そのような統合がなければ、環境間の継ぎ目に死角が生じ、現代の攻撃者はまさにその継ぎ目を狙って活動する。
ハイブリッドクラウドのセキュリティが重要視される理由は、現代の企業がもはや単一の境界や管理領域内で業務を行っているわけではないからです。アプリケーションはデータセンターや複数のクラウドプロバイダーにまたがっています。ID認証はSaaSとインフラストラクチャプラットフォームの双方で行われます。APIが従来のネットワークフローに取って代わっています。リスクはもはや一箇所に集中していません。ID、ワークロード、API、SaaSアプリケーションの相互接続が進むにつれ、ハイブリッドクラウドの攻撃対象領域は拡大し続けています。
ツールや環境ごとに可視性が断片化すると、攻撃者はその隙間を突いてきます。あるクラウド上のストレージバケットの設定ミスは、機密データを流出させる恐れがあります。ディレクトリ間で同期された古いID情報は、横方向の移動を可能にしてしまう可能性があります。侵害されたSaaSアカウントは、エンドポイント制御の枠を超えて持続的な攻撃を可能にしてしまう恐れがあります。
ハイブリッドクラウドのセキュリティにより、組織は相互接続されたシステム全体の活動を、単一の統合された攻撃対象領域として把握し、管理できるようになります。この統合された視点がなければ、検知が遅れ、ポリシーの適用がずれてしまい、封じ込め対策も予防的ではなく事後対応的なものになってしまいます。
ハイブリッド・クラウドのセキュリティ脅威は、企業がオンプレミス、プライベート・クラウド、パブリック・クラウドの各環境にまたがる場合に出現する。このモデルは柔軟性と拡張性をもたらしますが、同時に新たなリスクももたらします。攻撃者は、多くの場合、環境と環境の継ぎ目を狙い、以下を悪用します。 誤設定されたワークロード(API、ストレージ、シークレット)、アイデンティティとアクセス制御の脆弱性や一貫性のなさ(過剰な特権アカウントや古いアカウント、不十分なMFA/条件付きアクセス)、統合モニタリングと脅威検知のギャップを悪用する。
レガシーなインフラとは異なり、ハイブリッド環境は非常に動的である。ワークロードはスピンアップとダウンを繰り返し、IPアドレスは再利用され、データフローは環境を横断し、APIは重要なゲートウェイとなる。セキュリティ・チームにとって、これは攻撃対象が常に拡大し、従来の境界が消滅することを意味する。
ハイブリッド・クラウドのセキュリティとは、孤立したシステムを保護するだけではなく、分散して移り変わるインフラ全体で、継続的な可視化、ポリシーの一貫した実施(ガバナンスと最小権限)、強力なアイデンティティ・ハイジーン、迅速な検知とレスポンスを実現することです。特に規制部門では、コンプライアンスや監査への対応、ツールの乱立を抑えることによるコスト管理も重要です。
ハイブリッドクラウドのセキュリティ脅威は、アイデンティティ、クラウドインフラストラクチャ、SaaSプラットフォーム、およびオンプレミスシステム間の接点に集中しています。これらの分散型システムは、相互接続された単一の最新ネットワークとして機能するため、信頼関係や同期化されたアイデンティティによって依存関係が生まれ、攻撃者は設定、認証、監視における不整合を悪用してこれを利用します。以下の表では、ハイブリッドクラウドにおける最も重大な脅威、その典型的な現れ方、そしてハイブリッドアーキテクチャにおいてこれらが特に危険である理由について概説しています。
こうした脅威が成功するのは、ハイブリッドクラウド環境において接続性と運用速度が最優先されるためです。多くの場合、攻撃者はまず偵察を行い、ID間の関係、公開されているAPI、ネットワーク経路を把握してから、認証情報の悪用や権限の昇格に踏み切ります。
個々の脅威を理解することは重要です。アイデンティティ、SaaS、インフラストラクチャ、ネットワークの各レイヤーを横断して脅威がどのように関連しているかを把握することで、その真の影響範囲が明らかになります。
最近の事件は、攻撃者がハイブリッド環境の複雑さを悪用して被害を拡大させている実態を浮き彫りにしている。
ある事例では、攻撃者は脆弱性のあるエンドポイントを通じて初期アクセス権を取得し、認証情報を収集した後、Azure ADおよびExchangeへ攻撃範囲を拡大し、ディレクトリサービス内で持続的な存在を確保した上で、クラウドリソースを削除しました。この侵害は、封じ込め措置が講じられるまでに、エンドポイント、ID、インフラストラクチャの各領域にまたがって拡大しました。
「オペレーション・クラウド・ホッパー」でも、同様のドメイン横断的な攻撃パターンが見られた。攻撃者はマネージド・サービス・プロバイダーを侵害し、 フィッシング、PowerShell、およびリモートアクセス マルウェアを利用してテナント環境間を横方向に移動した。
これらの事案は、ハイブリッド攻撃が単発的な出来事ではないことを示しています。こうした攻撃は、アイデンティティ、SaaS、インフラストラクチャの各レイヤーにまたがって展開されます。したがって、検知においては、これらの領域を独立したサイロとして扱うのではなく、各領域にわたる挙動を相互に関連付けて分析する必要があります。
ハイブリッドクラウド環境は、従来のセキュリティモデルでは管理するよう設計されていなかった構造的な複雑さをもたらします。
まず、責任分担モデルでは、クラウドプロバイダーと顧客の間で責任の所在が明確化されています。プロバイダーはインフラのセキュリティを確保しますが、アイデンティティ、データ、ワークロードの設定、およびアクセス制御については、引き続き組織が責任を負います。この境界線を誤解すると、常に死角が生じることになります。
第二に、ワークロードのライフサイクルが短くなり、トラフィックが暗号化され、IDシステムがドメイン間で連携するにつれて、可視性のギャップは拡大しています。従来の境界防御型やシグネチャベースのツールでは、APIやIDトークンを介した通信、およびクラウド内の東西方向のトラフィックを横断するアクティビティを見逃しがちです。ハイブリッドクラウドインフラストラクチャ全体で攻撃者の行動を特定するには、行動ベースの検知と統合テレメトリが不可欠です。
第三に、マルチクラウドの無秩序な拡大により、デフォルトのポリシー、ログ形式、および管理フレームワークに一貫性が失われます。プラットフォーム間でアクセスポリシーがばらつきが生じると、ポリシーの適用が断片化され、攻撃者が攻撃の余地を得ることになります。
最後に、HIPAA、PCI DSS、FedRAMP などのコンプライアンス要件では、分散した資産全体にわたる継続的なガバナンスが求められます。SaaS、IaaS、オンプレミスシステム全体で一貫した監査対応体制を確立するには、統一されたテレメトリと調整された制御が必要です。
これらの課題は、運用上のミスではありません。これらはハイブリッドクラウドのアーキテクチャ上の現実なのです。
ハイブリッドクラウドのセキュリティアーキテクチャは、分散環境において、アイデンティティ、ワークロード、ネットワーク、およびデータ各層にわたって制御がどのように機能するかを定義するものです。
回復力のあるアーキテクチャには、以下の要素が含まれます:
攻撃者はこれらのレイヤー間を移動するため、アーキテクチャは重要です。監視が単一のレイヤー内に限定されたままでは、横方向の移動や権限昇格が見逃されてしまう可能性があります。
ハイブリッドクラウド環境を保護するための6つのベストプラクティス
効果的なハイブリッドクラウドのセキュリティを実現するには、コントロールプレーン全体にわたって一貫したガバナンスと検知体制が不可欠です。
ベストプラクティスは、個々のプラットフォーム内で断片的に適用するのではなく、環境全体で一貫して適用されて初めて成果を上げるものです。
ハイブリッドクラウドのセキュリティソリューションは、複数の技術を組み合わせることで、分散したリスクに対処します。
一般的なソリューションのカテゴリーには、次のようなものがあります:
重要なのは統合です。ハイブリッドクラウドのセキュリティソリューションは、ID管理システム、クラウドワークロード、SaaSアプリケーション、ネットワークトラフィックにまたがるドメイン横断的な可視性を提供しなければなりません。ツールは、ID、ネットワーク、ワークロード、SaaSの各レイヤー間でテレメトリデータやコンテキスト情報を共有する必要があります。個別に動作するソリューションでは、ハイブリッドアーキテクチャがもたらすのと同じ死角が再び生じてしまいます。
ソリューションを評価する際、組織は、ドメイン横断的な可視性、検知の遅延、自動対応機能、およびプロバイダー間での一貫したポリシー適用を優先すべきである。
ハイブリッドクラウドを監視するには、ID関連のアクティビティ、API呼び出し、ワークロードの挙動、およびネットワークトラフィックを統合されたデータセットとして相関分析する必要があります。
効果的なハイブリッドクラウドのセキュリティ検知モデルには、次のようなものがあります:
脅威ハンティングおよび検知エンジニアリングチームは、ID、クラウド、SaaS、ネットワークのテレメトリにわたる行動検知モデルを継続的に改善すべきである。
攻撃者はドメイン間を横方向に移動するため、検知には静的な指標ではなく、行動パターンを追跡する必要があります。アイデンティティ、インフラストラクチャ、ネットワークの各レイヤーにわたるテレメトリを統合している組織は、侵害を早期に検知し、被害の拡大範囲を最小限に抑えることができます。
ハイブリッドクラウドのセキュリティは、境界防御から、行動ベースの適応型保護へと移行しつつあります。
攻撃者は、認証情報の収集、トークンの悪用、および横方向の移動を自動化している。これに対し、防御側は、 AIを活用した検知、自動化された調査、およびドメイン横断的な相関分析への依存度を高めている。
敵対的AIやディープフェイクを活用した フィッシングや自動化されたSaaSの悪用といった新たなリスクは、統合された可観測性の必要性をさらに強めています。
将来のレジリエンスを確保するには、検知の遅延を短縮し、テレメトリのサイロ化を解消し、ID、クラウド、ネットワークの各レイヤーにわたる自動化された封じ込めを実現することが不可欠です。
Attack Signal Intelligence によるハイブリッドクラウド防御の詳細は、こちらからご覧ください。
ハイブリッドクラウド環境では、自動化やインフラストラクチャ・アズ・コードによってエラーが大規模に複製される可能性があるため、設定ミスが発生しやすくなります。IAMロールの権限設定が緩すぎたり、ストレージバケットが外部に公開されたりといった単一のエラーが、複数の環境に波及する恐れがあります。継続的な設定の監視とガバナンスが行われない場合、こうしたエラーによるリスクの拡大は、手動による是正措置が追いつかないほど急速に進んでしまいます。
攻撃者は、ハイブリッドクラウド環境において、認証情報を盗み出し、フェデレーションによる信頼関係を悪用し、トークンの不正利用や多要素認証(MFA)の不十分な適用を通じて権限を昇格させることで、ID情報を悪用します。ID情報はクラウドシステムやSaaSシステム間で同期されるため、侵害されたアカウントからドメインを跨いだアクセスが可能になります。これにより、攻撃者は正当なユーザーを装いながら、ネットワーク内を横方向に移動することが可能になります。
ラテラルムーブメントにより、攻撃者は初期アクセス後に、ID、クラウドワークロード、オンプレミスシステム間を横断的に移動することが可能になります。ハイブリッド環境では、この移動は多くの場合、 マルウェア のシグネチャではなく、有効な認証情報や内部APIを介して行われることがよくあります。ドメイン間で監視が断片化していると、こうした挙動を早期に相関分析することが困難になります。
「オペレーション・クラウド・ホッパー」は、マネージド・サービス・プロバイダーが侵害されると、攻撃者が複数のテナント環境にアクセスできるようになることを実証した。このキャンペーンは、どのようにして フィッシング、PowerShell、およびリモートアクセス マルウェア が、ハイブリッドインフラストラクチャ全体での検知されにくい横方向の移動を可能にすることを示しました。また、ドメイン横断的な監視と信頼境界の徹底の重要性を改めて浮き彫りにしました。
責任分担モデルでは、セキュリティ上の義務がクラウドプロバイダーと顧客の間で分担されます。プロバイダーは基盤となるインフラストラクチャのセキュリティを確保する一方、顧客はID管理、データ保護、アクセス制御、およびワークロードの設定について責任を負います。この役割分担を誤解すると、攻撃者に悪用される死角が生じます。
ハイブリッド環境におけるランサムウェアは、エンドポイントの侵害とクラウド上のIDの持続化を組み合わせることが多い。攻撃者は防御機能を無効化し、権限を昇格させ、IaaS、SaaS、オンプレミスシステムを横断してデータを暗号化または持ち出す。検知が遅れると、ハイブリッドアーキテクチャによって被害範囲が拡大する。
ワークロードの存続期間が短く、トラフィックが暗号化されており、ID関連のイベントが複数のプロバイダーにまたがって発生するため、可視化は困難です。従来の境界防御ツールでは、API、SaaSプラットフォーム、およびクラウド内のイースト・ウエスト・トラフィックにまたがるアクティビティを容易に相関分析することはできません。統一されたテレメトリがなければ、攻撃の進行状況は把握できないままとなります。
組織は、最小権限の原則を徹底し、構成を継続的に監視し、ID、ネットワーク、クラウドの各領域にわたるテレメトリを統合することで、ハイブリッドクラウドの脅威を軽減しています。自動化された検知と対応により、認証情報の悪用や権限昇格の特定にかかる遅延を短縮できます。プロバイダー間で一貫したポリシーを適用することで、セキュリティのドリフトを防ぎます。
ハイブリッドクラウドセキュリティの未来は、境界防御型ではなく、行動ベースで適応性の高いものとなります。攻撃者が認証情報の窃取や横方向の移動を自動化していく中、防御側はAIを活用した検知と自動対応への依存度を高めています。テレメトリのサイロ化を解消し、ドメインを横断してアクティビティを相関分析することが、レジリエンスの鍵を握ることになるでしょう。