異なるクラウド インフラストラクチャ間で一貫したセキュリティを確保する方法

クラウド セキュリティの管理における可視性の役割と、それが今日の CISO が直面している大きな課題である理由についてお話しいただけますか?

クラウド インフラストラクチャの性質上、クラウド攻撃者より一歩先を行くには、セキュリティ体制の可視性が重要です。クラウド インフラストラクチャは主に API 駆動型であり、主に広範な攻撃対象領域に分散された動的リソースで構成されています。これらの要因とその他多くの要因の組み合わせは、効果的なクラウド セキュリティにとって大きな課題となります。したがって、クラウド セキュリティを確保するための中核的な要件は、信頼性の高い可視性を実現することです。ログ記録と監視のメカニズムの実装、クラウド リソースと構成のすべての変更を追跡する変更管理ポリシーの有効化、脅威検出とインシデント対応ポリシーの実装など、いくつかのメカニズムを活用して可視性を高めることができます。

DevOps の動的な環境、特にマイクロサービスとコンテナの導入により、クラウド環境の明確な可視性を確保する複雑さはどのように増大するのでしょうか?

マイクロサービスとコンテナには利点があるものの、複数の抽象化レイヤーが導入され、クラウドネイティブ システムの複雑さが増します。 Kubernetes セキュリティ チームは、この現象を説明するために「クラウド ネイティブ セキュリティの 4C」という概念を使用しています。マイクロサービスとコンテナは、さまざまな種類の通信プロトコルを含む複数のテクノロジーで構成されるさまざまな抽象化レイヤー上で動作します。セキュリティ メカニズムは通常、特定のテクノロジにおけるセキュリティの問題に対処するために設計されます。

したがって、抽象化レイヤーでのセキュリティ メカニズムの有効性が制限されます。最終的に、クラウドネイティブ インフラストラクチャでは、可視性を実現するためにいくつかのセキュリティ メカニズムが必要になります。ただし、これらのセキュリティ メカニズムは独立して動作することが多く、統一された可視性を提供することが困難です。これらの課題を克服するには、さまざまな抽象化レイヤーのさまざまなセキュリティ メカニズムにわたって通信チャネルを展開する必要があります。さらに、マイクロサービスとコンテナは動的に設計されているため、追跡と可視性の確保が困難です。

脅威アクターが誤った構成を利用して企業に侵入する傾向が高まっていることを考えると、クラウド環境におけるこれらのリスクを軽減するために CISO はどのような戦略を採用すべきでしょうか?

脅威の蔓延と巧妙化は急速に進行しており、これは多くの企業にとって重大な懸念事項となっています。これらの課題を克服するための万能なアプローチは存在せず、十分なセキュリティ予算を持つ確立された企業であっても、その影響を免れることはできません。したがって、解決策としては、クラス最高のセキュリティ ソリューションを導入するのに十分な予算を持つだけでは不十分です。基本的なセキュリティ設定は、関連するリスクを軽減するための基礎となります。企業はサイバーセキュリティの文化を育むことでこれを保証する必要があります。さらに、100% の安全性を保証することはできないため、「想定デフォルト」の概念が不可欠です。

企業は、セキュリティ メカニズムの効率を継続的に検証するセキュリティ メカニズムを実装する必要があります。セキュリティ カオス エンジニアリング、敵対者シミュレーション、脅威ハンティングなど、いくつかのセキュリティ ソリューションを活用して、セキュリティの有効性を継続的に検証できます。最後に言及したいのは、サイバーセキュリティからサイバーレジリエンスへの移行です。サイバーセキュリティは攻撃を検出して防止することを目的としているのに対し、サイバーレジリエンスは、逆境に直面してもビジネスの継続性を維持しながら、攻撃を阻止または適応する能力を推進します。

複数のパブリック クラウド、プライベート クラウド、オンプレミス環境を使用すると、管理の複雑さと運用コストがどのように増加するのでしょうか。

複数のパブリック クラウド、プライベート クラウド、オンプレミス環境を使用すると、さまざまな課題が生じ、企業の管理の複雑さと運用コストが増加します。マルチクラウド環境とハイブリッド環境は、柔軟性、拡張性、回復力などさまざまな利点を提供しますが、同時に、慎重に管理する必要がある固有の複雑さも伴います。オンプレミス環境を含む複数のパブリック クラウドとプライベート クラウドを使用するということは、異なる API、テクノロジーなどを使用する異なるインフラストラクチャを意味します。

このような多様な環境で一貫したセキュリティ体制を維持することは非常に困難です。各クラウドのセキュリティ メカニズムは異なり、それらを管理するために必要なスキルも異なります。この多様な環境の影響は、人、プロセス、テクノロジーに及び、攻撃者が悪用できる盲点を生み出す可能性があります。同様に、この多様なインフラストラクチャ全体で公開される攻撃対象領域は、ガバナンス上の課題をもたらします。

企業がクラウド サービスをアドホックに追加する際に直面する可能性のある問題について説明していただけますか?この慣行をどのように改善できるでしょうか?

クラウド サービスは企業に多くの価値をもたらします。ただし、クラウド サービスを追加する決定には、機能的な観点だけでなく、セキュリティの観点からもガバナンスと考慮が必要です。特にクラウド サービスには重複する機能があることが多いため、デフォルトでのセキュリティの概念を順守する必要があります。したがって、適切な計画なしにサービスを追加すると、冗長性、リソースの浪費、既存の攻撃対象領域の拡大につながる可能性があります。

これらの問題は、セキュリティ アーキテクチャと設計のレビュー、およびこれらのサービスの必要性を正当化するための脅威モデリング演習など、いくつかのセキュリティ プラクティスを採用することで回避できます。この問題に対する他のアプローチとしては、クラウド サービス プロバイダーが提供するサービスを使用して企業全体のポリシーを適用することが挙げられます。このようなサービスを使用すると、厳格なガバナンスを適用して、事前に計画されていなかったクラウド サービスの意図的な使用や誤った使用を回避できます。

複数のパブリック クラウド、プライベート クラウド、オンプレミス環境を含むハイブリッド展開を管理するために必要な専門知識を持つ IT チームはほとんどないため、CISO は潜在的な問題にどのように備えればよいのでしょうか。どのようなトレーニングやスキルアップを行うことができますか?

現在、業界が直面している大きな課題は、十分なスキルの不足です。この課題に対処するには、教育予算の提供や、職員が職務に関連する知識やスキルを習得するための研修機会の提供など、いくつかの対策を講じることができます。企業向けのクラウド トレーニング プログラムを提供するオンライン トレーニング プログラムがいくつかあります。企業は、このようなプログラムに加入し、従業員に登録と参加を奨励することで、これらの機会を活用できます。

さらに、企業内でクラウド トレーニングを開催し、外部または内部の専門家を招いて知識を共有することもできます。これは、従業員のクラウド コンピューティング スキルを強化するための理論と実践の組み合わせになります。