サイバーセキュリティの知識: クラウドセキュリティについてお話しましょう

概要

英国NCSCのクラウドセキュリティへのアプローチ

クラウド テクノロジーには曖昧な用語がいくつかあるため、一般的な用語をいくつか定義しておくとよいでしょう。 「クラウド」、「クラウド サービス」、または「クラウド コンピューティング」という場合、次のことを意味します。

「共有インフラストラクチャ上でホストされ、インターネット経由でアクセスできる、オンデマンドで大規模にスケーラブルなサービス。一般的なサービスでは、データ ストレージ、データ処理、ログ記録などの事前構築された機能が提供されます。

これは、クラウド サービスの共通の特性を識別するための NIST のクラウド コンピューティングの定義に従います。

クラウド サービスは次の 2 つのカテゴリに分けられます。

• ビジネス上の問題を解決する、事前に構築されたクラウド サービス。これらはサービスとしてのソフトウェアまたはSaaSと呼ばれることが多い
• ビジネス上の問題を解決するためのサービスを構築するためのコンポーネントを提供するクラウド プラットフォーム。このバナーの下にあるサービスには、プラットフォーム・アズ・ア・サービス（PaaS）、インフラストラクチャ・アズ・サービス（IaaS）、サーバーレス・コンポーネントが含まれます。

「クラウド サービスの理解」セクションでは、さまざまな種類のクラウドに関する詳細情報と、その展開、セキュリティ、管理モデルに関する情報が提供されます。

クラウドのセキュリティ

パブリック クラウド サービスの規模により、多くの機能上の利点だけでなく、多くのセキュリティ上の利点ももたらされます。ただし、ほとんどのクラウド サービスは共有されているため、サービスを導入する際に直面するリスクを明確に理解することが難しい場合があります。

このガイドは次の点で役立ちます:

• パブリッククラウドサービスのセキュリティの評価
• 目的の用途に適しているかどうかを判断する

これを行うには、まずサービスによって提供される分離対策を理解する必要があります。また、サービスの安全な運用のために、責任のバランス（およびプロバイダー間）を明確に理解する必要があります。

クラウド プラットフォームを使用してサービスを構築する場合は、この設定で暗号化が通常どのように処理されるかを十分に理解する必要があります。クラウド暗号化に関する当社のガイドでは、関連するすべての用語とテクノロジーを網羅しています。

ほとんどの概念は、ハイブリッド クラウド、マルチクラウド、および一部の大規模なプライベート クラウドの展開にも同様に適用されます。サービス展開モデルのセクションでは、あまり一般的ではないクラウド展開タイプに関する追加の考慮事項について説明します。

クラウド サービスを安全に使用するガイドには、クラウド プラットフォームを構築する前に実行する必要があるアクションや、 Software as a Service (SaaS) アプリケーションのセキュリティ保護が含まれています。

クラウドセキュリティへの取り組み

サイバーセキュリティは、プロジェクトの開始時から考慮するのが最適です。最後の瞬間にセキュリティを追加しようとすると、予測できない（そして高価な）結果が生じる可能性があります。

このガイドの推奨事項は、適切な開発プロセスに完全に統合されると、最良の結果が得られます。私たちが提案するアプローチは、次の 4 つのステップで構成されています。これらを順番に確認することで、目的の用途に適した安全なクラウド サービスを決定するのに役立ちます。

1. ビジネスニーズを理解する

まず、クラウド サービスの使用目的と、そこで保存および処理されるデータを理解する必要があります。サイバーセキュリティのリスクを特定して管理する際には、NCSC のリスク管理ガイダンスを参照することをお勧めします。

2. ニーズに合ったクラウドプロバイダーを選択する

当社のクラウド プロバイダー選択ガイドでは、次のいずれかの方法を使用して適切なクラウド プロバイダーを選択する方法について説明しています。

クラウド サービスの商用入札を行う場合は、入札にクラウド セキュリティ原則への対応を含めることを義務付けることをお勧めします。

サービスを選択する際には、「コストパフォーマンス」が常に考慮されます。一部のクラウド サービスでは、セキュリティ機能 (シングル サインオンや必須の多要素認証など) が異なるライセンスが価格設定されています。取得したライセンス見積に、セキュリティ ニーズを満たすサービスが含まれていることを確認する必要があります。

クラウドセキュリティの原則、または

クラウドセキュリティへの軽量アプローチ

3. クラウドサービスを安全に使用する

クラウド プロバイダーを選択したら、そのサービスまたはプラットフォームを使用する際のセキュリティ責任を理解する必要があります。すべてのクラウド サービスでは、ニーズを満たすために何らかの構成を適用する必要があります。クラウド サービスが「デフォルトで完全に安全」であるというのは珍しいことです。クラウド サービスを安全に使用するには、このガイドで実行する必要がある最も重要なアクションについて説明します。

クラウド プロバイダーを選択した後にサービス アーキテクチャを設計すると、サービスに組み込まれているネイティブ セキュリティ テクノロジーを最大限に活用できるようになります。

多くのパブリック クラウド サービスでは、セキュリティのベスト プラクティス ガイド、サンプル アーキテクチャ、構成ベースラインを公開しており、作業の開始に役立ちます。

4. リスクを継続的に監視し管理する

使用後は、サービスとその使用方法が引き続きビジネスおよびセキュリティのニーズを満たしているかどうかを定期的に確認してください。また、定期的に見直す必要があります。