AWS、Google Cloud、Azure: クラウド コンピューティング大手のセキュリティ機能の比較

CISO が直面している難問は、Amazon AWS、Microsoft Azure、Google Cloud の 3 大クラウド サービス プロバイダーのうち、どのプロバイダーが最も優れたセキュリティを提供しているかを判断することです。この質問には 2 つの部分があります。どれが自社のインフラストラクチャを最もよく保護しているか?では、企業がデータとアプリケーションを安全に保つのに最も役立つのはどれでしょうか?

パブリック クラウド セキュリティは、「責任共有」モデルに基づいて構築されています。大規模なクラウド サービス プロバイダーは安全なハイパースケール環境を提供しますが、クラウドに移行するすべてのものを保護するのは顧客の責任です。企業にとって、セキュリティ責任の分離は、単一のクラウド プロバイダーを使用する場合でも十分に面倒ですが、マルチクラウド環境を導入する場合はさらに複雑で困難になります。

ベテランのセキュリティ専門家である Andy Ellis 氏は、次のように述べています。「共有責任モデルは非常に明確でシンプルに見えますが、精査に耐えるものではありません。企業にとって、クラウド プラットフォームとそこで実行されるアプリケーション間の接続を解析するのは非常に困難です。実際には、顧客がクラウド サービスをどのように構成するかが、アプリケーションのセキュリティにとって重要です。顧客が直面する可能性のある厄介な状況は数多くあります。」

しかし、クラウド サービス プロバイダーの責任と顧客の役割を隔てる壁は崩れ始めています。 ESGのシニアアナリスト、メリンダ・マークス氏は、クラウドサービスプロバイダーは差別化を図るために、責任共有モデルの欠陥を認識し、顧客とのより協力的な関係を構築しようとしていると述べた。

では、CISO は、3 大クラウド サービス プロバイダーがこれらの問題にどのように対処し、安全で回復力のあるクラウド プラットフォームを提供するかという点において、どのように違いがあるかをどのように判断できるでしょうか。

各ベンダーの詳細に入る前に、Securosis のアナリスト兼 CEO である Richard Mogull が挙げた 3 つの基本的な出発点を以下に示します。

1. ビッグスリーは社内のプロセスや手順を秘密にする傾向があります。これらはすべて、データセンターの物理的なセキュリティを保護し、内部者による攻撃を防御し、アプリケーションと開発プラットフォームの運用をサポートする仮想化レイヤーを保護するという優れた機能を備えています。

2. クラウドは本質的に新しいタイプのデータセンターであり、各クラウド サービス プロバイダーはテクノロジーと実際の実装の詳細の点で根本的に異なります。企業にとって最善の選択肢は、従業員のトレーニングに投資して、これらのクラウド環境で業務を遂行するための専門知識を習得できるようにすることです。

3. 各ベンダーのプラットフォームの詳細を超えて、市場シェアは、サードパーティツールの最も幅広い範囲、最も深い知識ベース、および最大のコミュニティを持つことと相関関係にあると Mogull は考えています。分析会社Canalysによる2022年第1四半期のクラウドサービス収益の分析によると、AWSは33％の市場シェアを持ち、Azureは21％で2位、Googleは8％で3位となっています。

Google Cloud: 「責任の共有」から「運命を共有するコミュニティ」へ

Google のスローガンが最も印象に残っているのは、共有責任モデルの再定義です。 Google は「運命の共有」という新しい用語を作り出した。

Google の CISO である Phil Venables 氏は、次のように述べています。「責任共有モデルでは、脅威の検出、構成のベスト プラクティス、セキュリティ違反や異常なアクティビティに関するアラートを誰が担当するかという特定の側面について「不確実性」が生じます。運命共有は、クラウド サービス プロバイダーとその顧客とのより緊密なパートナーシップを構築するための次の進化的ステップを表しており、これにより誰もがデジタル変革の約束を果たしながら、現在のセキュリティ上の課題や増大するセキュリティ上の課題に適切に対処できるようになります。」

Fate の共通機能には、安全な基盤を確保するために設計されたデフォルト構成、顧客が製品やサービスをより簡単に構成できるようにするためのブループリント、インフラストラクチャ全体でポリシーの意図を自動的に有効にするセキュリティ ポリシー階層が含まれます。さらに、Google には、Google Cloud ワークロードに特化した保険を提供する保険会社とクラウド顧客を結び付け、独自のリスク管理コンポーネントを提供するプログラムがあります。

ビッグ3と比較すると、Googleは興味深い立場にいます。モグル氏は、Google Cloud は Google の長年にわたるエンジニアリングとグローバルな運用に基づいて構築されており、それが素晴らしいと指摘した。

しかし、モグル氏は、Google のクラウド コンピューティング市場シェアが 8% であることは問題であり、これは Google Cloud に関する深い経験を持つセキュリティ専門家が少なく、コミュニティの堅牢性とツールが劣っていることを意味していると指摘しました。全体的に、Google Cloud は AWS ほど成熟しておらず、同様の広範なセキュリティ機能を備えていないと彼は述べた。

Google はこの問題の解決に取り組んでおり、最近「目に見えないセキュリティ」と呼ぶコンセプトを発表しました。 Google は、顧客がサードパーティのツールにあまり依存しないように、クラウドネイティブのセキュリティ サービスを継続的に拡張していく予定です。

一例として、Google の Cloud IDS が挙げられます。これは、企業が数回クリックするだけで導入でき、マルウェア、スパイウェア、コマンド アンド コントロール攻撃、その他のネットワークベースの脅威から身を守ることができるホスト型侵入検知システムです。

Microsoft Azureはマルチクラウドのセキュリティ問題に焦点を当てています

Microsoft は、Azure、AWS、Google Cloud 全体でクラウド セキュリティ ポスチャ管理 (CSPM) とクラウド ワークロード保護 (CWP) を提供する Microsoft Defender for Cloud をリリースし、マルチクラウド環境の保護という課題に対処する取り組みを開始しました。

これらのツールの目的は、クロスクラウド構成の弱いリンクを見つけ、全体的なセキュリティ体制を強化し、マルチクラウドおよびハイブリッド環境全体で進化する脅威からワークロードを保護することです。 Microsoft Defender for Cloud は、仮想マシン、コンテナー、データベース、ストレージ、アプリケーション サービスをカバーします。

ただし、Azure クラウドでは共有責任モデルが依然として存在します。企業は、自社のデータと ID、オンプレミスのリソース、エンドポイント、アカウント、アクセス管理のセキュリティに対して引き続き責任を負います。

モグル氏は、特に一貫性、ドキュメント、そして多くのサービスが安全でないデフォルト設定を使用しているという事実の点で、Azure は成熟度の点で AWS にわずかに遅れをとっているだけだと述べた。しかし、Azure にはいくつかの利点があります。 Azure Active Directory を企業の Active Directory にリンクすると、承認とアクセス許可の管理に関する単一の信頼できるソースが提供され、すべてを単一のディレクトリから管理できるようになります。 Mogull 氏は、Azure の ID およびアクセス管理は階層化されており、すぐに使用でき、AWS よりも管理しやすいと考えています。

市場の勢いに関して、マイクロソフトが力強く成長しているのは、企業顧客との既存の関係を活用する方法を知っているからだ、とモグル氏は語った。しかし、マイクロソフトは純粋なセキュリティベンダーのようにセキュリティをDNAに組み込んでいるわけではないことを企業は考慮すべきだと同氏は警告した。

Amazon Web Services（AWS）は、幅広いセキュリティツールを提供しています。

最も古く、最も支配的なクラウド サービス プロバイダーとして、AWS は知識とツールにおいて絶対的な優位性を持っています。 「答えを得たり、助けを求めたり、サポートのためのツールを見つけたりすることがより簡単になった」とモグル氏は語った。 「これは AWS プラットフォーム全体の成熟度にとって基本的なことです。」

AWS にはサードパーティベンダーの大規模なマーケットプレイスがあり、さまざまなアドオン製品のほか、コンサルティング、トレーニング、認定サービスも提供しています。マークス氏は、AWS が自社の機能に多大な配慮を払っていると指摘した。一例として、Inspector があります。これは、Amazon EC2 インスタンスとコンテナイメージを継続的にスキャンして、ソフトウェアの脆弱性や意図しないネットワークの露出を検出するサービスです。

Amazon GuardDuty は、AWS アカウントとワークロードを継続的に監視して悪意のあるアクティビティを検出し、可視性と修復のための詳細なセキュリティ検出結果を提供する脅威検出サービスです。

これらの追加サービスおよびその他のサービスは、AWS Security Hub の傘下にあり、AWS のサービスおよびサードパーティのパートナーからセキュリティデータを収集し、顧客のセキュリティ体制の包括的なビューを提供します。

Mogull 氏は、AWS の最も優れたセキュリティ機能の 2 つは、セキュリティ グループ (ファイアウォール) と詳細な IAM の優れた実装であると付け加えました。ただし、AWS セキュリティは、アクセスが明示的に有効にされていない限り、依然としてサービスを相互に分離することに大きく依存しています。これはセキュリティの観点からはうまく機能しますが、エンタープライズ規模での管理がより困難になり、大規模な IAM の管理の難しさも悪化するという代償を伴います。