/ クラウド セキュリティとは
クラウド セキュリティとは
クラウド セキュリティは、クラウド コンピューティング環境におけるユーザー、機密データ、アプリ、そしてインフラストラクチャーを保護するために設計された一連のセキュリティ ポリシー、手順、ツール、テクノロジーを指します。総合的なクラウド セキュリティ ソリューションであれば、ワークロード、ユーザー、そしてSaaSリソースをデータ侵害、マルウェア、その他のセキュリティ上の脅威から保護できます。
クラウド セキュリティが重要な理由
従業員やデータ、クラウド アプリの分散化が進むにつれ、オフィスの従業員やリソースを中心に構築されていた従来のネットワーク モデルでは、十分な速度や安全性を担保できなくなってきています。セキュリティや生産性、ユーザー満足度の低下に対処するには、どのようにして組織の環境を保護するかを再考しなければなりません。
イノベーションが複雑な経済を動かす一方、サイバー犯罪ビジネスが拡大する現在の状況で組織に求められるのは、クラウド サービスの柔軟性と拡張性です。ただし、このメリットを享受するには、クラウド固有のニーズへの対応を目的に構築されたクラウド セキュリティ ソリューションが不可欠です。
クラウド セキュリティの仕組み
クラウド環境のセキュリティは、1つでも弱点があれば損なわれてしまいます。したがって、効果的なクラウド セキュリティを実現するには、データとアプリケーションをあらゆる角度から保護するための複数のテクノロジーを利用することになります。このテクノロジーには、多くの場合、ファイアウォール、アイデンティティーとアクセス管理(IAM)、セグメンテーション、暗号化などが含まれます。
クラウド セキュリティでは、境界を保護するのではなく、リソースとデータを個別に保護します。したがって、クラウド セキュリティ ポスチャー管理(CSPM)、データ保護、データ セキュリティ、ディザスター リカバリー、コンプライアンス ツールなど、細分化された複数のセキュリティ対策を導入することになります。
クラウド環境、特にパブリック クラウドとプライベート データ センターを組み合わせたハイブリッド クラウド環境には、多数の内部脆弱性および外部脆弱性が存在する可能性があります。そのため、アクセス制御、多要素認証、データ保護、暗号化、構成管理などを活用して、アクセス性と安全性を維持することが重要となってきます。
98.6%の組織のクラウド環境には設定ミスがあり、データおよびインフラストラクチャーに重大なリスクをもたらしています。
クラウド コンピューティングとは
クラウド コンピューティングは、インターネット経由でリソースにアクセスする手段として、今や世界的に主流になっています。データやアプリの保存先や提供元、インフラストラクチャーの一部として、サードパーティーのクラウド プロバイダーを利用し、こうしたリソースの保存、管理、保護を委託できます。
クラウド サービスの種類
SaaS製品、ストレージ、各種プラットフォームやインフラストラクチャー サービスは、Amazon Web Services (AWS)、Microsoft Azure、Google Cloudなどのパブリック クラウド サービス プロバイダーから提供されています。
クラウド インフラストラクチャーの導入形態は以下の4つに分けられます。
- プライベート クラウド:専用のインフラストラクチャーを1つの組織で使用します。サードパーティーまたは利用する組織自らが所有し、セキュリティ管理に責任を負います。一般に、政府機関や金融機関をはじめ、保護が求められる特に機密性の高いデータを有する組織が多く利用しています。
- パブリック クラウド:サードパーティーが所有するインフラストラクチャーを複数の組織で共有します。セキュリティ上の責任も、責任共有モデルに従って利用者とプロバイダーの間で共有されます。Google WorkspaceやMicrosoft 365などのパブリック クラウド サービスは、世界中で広く使用されています。
- ハイブリッド クラウド:プライベート クラウドとパブリック クラウドを組み合わせて利用します。スケーラビリティーを求めるならパブリック クラウド、より厳密な制御を求めるならプライベート クラウドなど、それぞれの長所を生かした使い分けが可能です。一般に、柔軟で構成の変更が可能なシステムを必要とするDevOps部門などが多く利用しています。
- マルチクラウド:共有のインフラストラクチャーを複数の組織で利用します。一般に、各利用者は、同じアプリケーションにアクセスする必要があるか、同一のセグメンテーションおよびプライバシー要件(例:PCI DSS)を有しています。世界中の企業がマルチクラウド環境を利用し、さまざまなベンダーのサービスにアクセスしています。
また、クラウド サービスにも4つの形態があります。
- Software as a Service (SaaS):クラウド提供型の有料または無料の完全なソフトウェア ソリューション(例:Google Docs)
- Platform as a Service (PaaS):開発者がスケーラブルな環境でアプリケーションを構築、テスト、導入するために使用できるクラウド提供型のツール
- Infrastructure as a service (IaaS):サードパーティーによって管理され、組織がソフトウェアをインストールできる仮想インフラストラクチャー
- Functions as a Service (FaaS): PaaSに似ているものの、アプリの個々の機能に適しており、非常に迅速に立ち上げまたは削除が可能なインフラストラクチャー
クラウド セキュリティ:責任共有モデル
責任共有モデルは、クラウドにおけるセキュリティおよびリスクに関するフレームワークで、サイバー セキュリティ上のプロセスに関するクラウド セキュリティ プロバイダー(CSP)と顧客の責任範囲を明確化するものです。ITアーキテクチャーのクラウド移行が増えるなか、セキュリティの強化やクラウドのセキュリティに関する説明責任の確立に役立っています。
詳細は、責任共有モデルとはをご覧ください。
55.1%の組織は複数のクラウド プロバイダーを併用しており、また66.7%の組織はパブリック クラウド ストレージ バケットを所有しています。
クラウド セキュリティの長所と短所
組織のリソースをネットワーク外に移すと境界による防御は機能しなくなるため、ユーザーの生産性の支援、セキュリティ上の問題の特定、脆弱性の軽減、マルウェアの阻止、情報漏洩の防止を最も効果的に行うための方法を考え直さなければなりません。
そこで、クラウド セキュリティについて考えることとなります。クラウド セキュリティには、さまざまなメリットがあるものの、潜在的なリスクも伴います。特に重要な点について、簡単に見ていきましょう。
メリット
- スケーラビリティー:組織の成長や進化に伴って変化するセキュリティ上のニーズに対応できます。
- 可視性とセキュリティの向上:クラウド リソースおよび固有のエンドポイント デバイスの可視性とセキュリティを高めることができます。
- コスト削減:オンプレミスのインフラストラクチャーとその維持費を削減できます。
- 一元管理:セキュリティ ポリシーの監視、制御、適用を簡素化できます。
- 冗長性:複数のポイント オブ プレゼンスによって冗長性が担保され、ディザスター リカバリーに役立てられています。
- 自動更新:最新の脆弱性に対する保護が迅速に適用されます。
デメリット
- 設定ミスのリスク:データが不正アクセスに対して脆弱になる可能性があります。
- コンプライアンス上の懸念:政府や業界が定めるデータ処理に関する規制への準拠が課題となる可能性があります。
- レイテンシーとデータのプライバシー/主権の問題:グローバルなポイント オブ プレゼンスを持たないプロバイダーの場合、問題となる可能性があります。
これだけ見ると不安に思われるかもしれませんが、デュー デリジェンスと適切なパートナーの選定によって、こうした弱点を克服することが可能です。
クラウド セキュリティと従来型のネットワーク セキュリティの比較
ネットワーク セキュリティ スタックは、クラウドではなく組織のネットワークを保護することを念頭に設計されており、現在のSaaSアプリ、大きな帯域幅を要するサービス、モバイル ユーザーに求められる包括的なサイバーセキュリティを提供することはできません。コストや複雑性の増加を招くことなく包括的なサイバーセキュリティを実現するには、弾力的に拡張できるマルチテナント セキュリティ プラットフォームが必要です。従来のネットワーク セキュリティ アーキテクチャーでは決して対応できません。
あらゆる場所のアプリ、ワークロード、クラウド データ、ユーザーを保護するには、セキュリティとアクセス制御をクラウドに移行するアプローチが最適です。
クラウド セキュリティのメリット
包括的なクラウド セキュリティ プラットフォームには、以下のようなメリットがあります。
- 組み込みのセキュリティ サービスやクラウド アクセス制御機能により、分散したクラウドおよびオンプレミス インフラストラクチャーを通過するすべてのトラフィックを可視化できる
- 世界中のユーザー、場所、サーバー、エンドポイント デバイスによるすべてのリクエストを単一のインターフェイスを通じてごく短時間で把握できる
- SD-WAN、クラウド アクセス セキュリティ ブローカー(CASB)、IAM、エンドポイント保護サービスとのAPI統合によってセキュリティ態勢を強化できる
クラウド セキュリティの一般的な課題
上述のようなメリットを通じて、セキュリティ管理の大幅な簡素化、可視性の大幅な向上を実現できるものの、クラウド セキュリティには課題も伴うため、適切なパートナーを見つけることが重要です。
1. アイデンティティーとアクセス制御
クラウド プロバイダーは継続的にサービスを追加しており、こういったサービスへの個別の権限やアクセスの平均数は現在5,000を超えています。これほどの量の権限を従来のアイデンティティーとアクセス管理(IAM)のアプローチで管理するのは簡単ではありません。
2. ログ記録、監視、インシデント対応
インシデントに効果的に対応するうえで、包括的で精度の高いログは不可欠です。多くの組織の既存ソリューションは、クラウド コンピューティングによって一般的に生成される量のデータを処理するには不十分で、完全なログを確実に収集することができません。
3. ストレージと暗号化
キュー管理サービスや通知サービスには、処理された後に適切なセキュリティ対策が適用される前の機密情報が残ることがありますが、この機密性は軽視されがちで、多くのサービスにはサーバー側の暗号化機能がありません。
4. クラウド ランサムウェア
クラウド環境は依然としてサイバー攻撃に対して脆弱です。攻撃者がターゲットの環境に侵入する際に最もよく利用するのは、設定ミスや、過剰なアクセス許可、不十分なポリシー制御、脆弱なパスワードなどといった不適切なセキュリティ慣行です。
5. クラウドでのサプライ チェーン攻撃
サプライヤーや請負業者などのサードパーティーとデータやアクセスを共有すると、クラウド環境がサプライ チェーン攻撃を受けるリスクが高まるため、サードパーティーからのアクセスの監視と管理はセキュリティ チームにとって重要課題となります
外部ユーザーが(付与された権限またはゲスト ユーザーを利用して)クラウド環境に管理者権限でアクセスできる状態の組織は68%に上ります。
クラウドがアプライアンスより優れた保護を提供できる理由
一貫性あるポリシーを施行してユーザーを保護するためには、URLやWebのフィルタリング以上の機能が必要です。多くの組織がITセキュリティをアプライアンスからセキュア クラウド サービスへと移行している理由はそこにあります。両者の主な違いをいくつか見ていきましょう。
企業全体の保護
アプライアンスベースのセキュリティでは、すべての出力ポイントでセキュリティ スタックを展開するか、支店やリモート サイトからのトラフィックを高コストのMPLSリンクでバックホールする必要があります。また、モバイル ユーザーは保護されません。
クラウドベースのセキュリティでは、ユーザーが本社、支店、外出先、自宅のどこにいても、同一の保護を受けることができます。
統合されたセキュリティ
アプライアンスベースのセキュリティでは、多くの場合、さまざまなベンダーのアプライアンスが独立して機能するため、簡単にデータを集約してセキュリティ上の問題を把握することができません。
クラウドベースのセキュリティでは、統合されたセキュリティ制御とクラウド サービスが情報を関連付け、ネットワーク全体の完全な概要を提供します。
ユーザー エクスペリエンス
アプライアンスベースのセキュリティでは、ユーザーとインターネットの間にあるすべてのアプライアンスが遅延を引き起こします。ユーザーがVPNでデータ センターに接続する必要がある場合、エクスペリエンスはさらに低下します。
Zscalerのクラウドベースのセキュリティでは、高速なローカル ブレイクアウトを利用できるほか、Single-Scan Multi-Action (SSMA)テクノロジーを通じて複数のセキュリティ サービスによる同時スキャンが行われ、より高速なパフォーマンスが実現します。
ITの複雑さ
アプライアンスベースのセキュリティでは、複数のセキュリティ ベンダーのアプライアンスを使用し、継続的なパッチの適用やアップグレードが必要となるため、維持のコストや難易度が高くなります。
クラウドベースのセキュリティでは、複数のポイント製品を一元的なプラットフォームに統合できるほか、ハードウェアやソフトウェアの購入や管理が不要になります。
インテリジェンス
アプライアンスベースのセキュリティでは、一般に各ポイント製品がそれぞれ1つの手法で脅威を特定し、次のアプライアンスにデータを渡します。保護の更新はパッチが利用可能になって初めて適用されます。
Zscalerのクラウドベースのセキュリティでは、無数のソースからインテリジェンスを収集し、Zscalerのクラウドのどこかで脅威が検出されるたびに、その脅威に対応した保護があらゆる場所に適用されます。
費用
アプライアンスベースのセキュリティでは、購入コストが高くなるうえ、脅威が増加するたびにアプライアンスを追加購入したり、古いものとリプレースしたりする必要があります。
Zscalerのクラウドベースのセキュリティでは、設備投資費用を伴うことがなく、月額にしてユーザー1人あたりコーヒー1杯程度の経費でまかなえます。
クラウド セキュリティの4つの柱
クラウド セキュリティは、境界を保護するだけでなく、セキュリティをデータにまで適用することを目的としています。最も一般的な対策としては、以下のようなものがあります。
- アイデンティティーとアクセス管理(IAM):クラウド環境のリソースへのアクセスのプロビジョニングをサポートします。クラウド全体で共有されるデータ、アプリ、インフラストラクチャーへの不正アクセスを防ぐのにも役立ちます。
- 情報漏洩防止(DLP):データを監視および検査し、流出を防止します。クラウド セキュリティにおける必須要素であるものの、従来型のセキュリティ モデルでは効果的に実施できません。
- データの暗号化:復号しなければ攻撃者が理解できないようにデータを符号化します。信頼の確立と匿名性の維持にも役立ち、世界のさまざまなプライバシー規制で必須要件となっています。
- セキュリティ情報とイベント管理(SIEM):セキュリティ ログをリアルタイムで分析します。これにより、セキュリティ部門はクラウド エコシステムに対する可視性を高めることができます。
以上が中核的なセキュリティ テクノロジーです。しかし、現在の狡猾な脅威アクターやコンプライアンス要件の増加に対応するために、クラウド セキュリティは進化を迫られてきました。
クラウド セキュリティの進化
グローバルなテクノロジー環境の進化に伴い、クラウド セキュリティも進化しています。ここ最近で最も重要な概念が、セキュリティ サービス エッジ(SSE)とゼロトラストの2つです。
SSEは、リモート ワーク、クラウド、セキュア エッジ コンピューティング、デジタル トランスフォーメーションに関する根本課題を解決し、インターネット、SaaS、クラウド アプリ、組織のプライベート アプリケーションへの安全なアクセスを提供します。
SSEを構成する重要な要素であるゼロトラストも、急速に採用が広がっています。ゼロトラストのアプローチは、ユーザーやエンティティーは本質的に信頼してはならないという考えに基づいており、特定のコンテキスト(アイデンティティー、コンテンツ、場所、デバイスなど)に応じてデータやアプリへのアクセスを許可しつつ、ユーザー エクスペリエンスも強化できます。
ゼロトラストを採用すべき理由
クラウドのメリットは、ますますオンプレミス テクノロジーに勝るものになっています。クラウド環境の保護にあたっては、データ侵害を防止しながらユーザーの満足度や生産性を維持できるテクノロジーに投資する必要がありますが、現在それを実現できるセキュリティ アプローチはゼロトラストしかありません。
Cybersecurity Insidersによると、72%の組織がゼロトラストの採用を優先事項としています。時代遅れでサイロ化されたセキュリティ ツールには、アクセス元の場所に関わらず、すべてのクラウド リソースを保護するキャパシティーやスケーラビリティーを有していないことを理解しているためでしょう。
ゼロトラストを謳うベンダーの中には、従来のネットワーク アプライアンスにクラウド プラットフォームを追加しただけで「クラウド対応」と声高に宣伝するものも少なくないため、ゼロトラスト サービスを比較評価する際は注意が必要です。クラウドのためにクラウドで構築されたゼロトラスト ソリューションを提供できるパートナーこそが求められているのです。
Zscalerのソリューション
Zscalerは、Zscaler Zero Trust Exchange™プラットフォームの一部をなすZscaler Private Access™ (ZPA™)を通じ、クラウド ネイティブのゼロトラスト アーキテクチャーによってクラウド環境を保護します。世界で最も広く導入されているZTNAプラットフォームを活用するZPAは、最小特権の原則を適用することで不正アクセスやラテラル ムーブメントを阻止しながら、ユーザーにプライベート アプリへの安全な直接接続を提供します。
ZPAの具体的なメリットは以下のとおりです。
- 従来のVPNやファイアウォールを超えた卓越したセキュリティ:ユーザーはネットワークではなくアプリに直接接続されるため、攻撃対象領域の最小化とラテラル ムーブメントの排除が可能になります。
- プライベート アプリの侵害を防止:インラインでの侵害防止、デセプション、脅威の分離などの機能によるアプリ保護で、ユーザーの侵害リスクを最小限に抑えます。
- 現代のハイブリッド ワーカーのための優れた生産性を実現:リモート ユーザーをはじめ、本社や支店、サードパーティーに対し、プライベート アプリへの高速アクセスをシームレスに提供します。
- ユーザー、ワークロード、OT/IoT向けの統合型ZTNAプラットフォーム:プライベート アプリ、サービス、OT/IoTデバイスに安全に接続します。
Zscaler for Workloadsは、オンプレミスのデータ センターなどを利用したマルチクラウド環境のワークロードを包括的に保護します。Zscaler Posture Controlは、以下の機能によって、ビルド、デプロイ、ランタイムを通じてクラウド ネイティブのアプリを保護します。
- クラウド セキュリティ ポスチャー管理(CSPM):すべての主要なパブリック クラウド プロバイダーの設定ミスと脆弱性を特定して修正します。
- クラウド インフラストラクチャー エンタイトルメント管理(CIEM):パブリック クラウド サービスにおける過剰な権限を特定して最小限に抑え、クラウド リスクを管理します。
- クラウドDLP:パブリック クラウドのリスクへの影響をより深く理解することで、機密データを保護し、リスク トリアージを改善します。
さらに、Zscaler Workload Communications (ZWC)は、すべてのクラウド ワークロードのトラフィック(南北および東西)を保護し、クラウド インフラストラクチャー全体にマルウェアが拡散するのを防ぎます。すべての主要なクラウド プロバイダー間でのオーケストレーションを可能にする統合ソリューションであり、一貫したセキュリティと運用の簡素化を実現します。
無料のクラウド セキュリティ リスク評価で、パブリック クラウド環境全体の重大なリスクを特定
実行可能な修復ガイダンスで、パブリック クラウドのリスク、コンプライアンス態勢、クラウド資産インベントリーの全体像を把握できます。