企業が知っておくべきクラウド セキュリティのベスト プラクティス 10 選

あらゆる大規模なサイバー攻撃や、あまり知られていない障害の背後では、IT セキュリティ専門家、アプリケーション開発者、ベンダー、および IT サービス サプライ チェーンのその他の関係者が緊密に連携し、より強力なクラウド防御を開発しています。既存の脆弱性と新たな脅威が特定され、修正プログラムが展開され、ベストプラクティスが開発され、共有されています。

これは特に最近当てはまり、多くの企業が従業員のリモートワークに対応するために IT リソースを増加またはシフトしています。多くの組織は、これらの変更を急いで行った結果、IT セキュリティ体制が弱体化し、新たな脆弱性にさらされたり、既存の脆弱性が露呈したりした可能性があることに気づきます。

クラウド セキュリティのベスト プラクティスの決定的なリストはありませんが、IT セキュリティを強化するための開発チーム、インフラストラクチャ、プロセスに関しては、考慮すべき点がいくつかあります。

1. DevOpsからDevSecOpsへの移行

DevSecOps (開発セキュリティ運用) を実装します。つまり、これは組み込みのセキュリティに関するものであり、アプリケーションとデータの境界周辺のセキュリティではなく、アプリケーションとインフラストラクチャのセキュリティは、アプリケーション ライフサイクル全体の不可欠な部分です。

たとえば、企業が継続的なテストを実行する場合、セキュリティ テストも含まれます。アプリケーションが IAM サービス、暗号化、およびアプリケーションに組み込まれているその他のセキュリティ プロセスを適切に使用しているかどうかを継続的に確認します。すべて正常に動作していることを確認してください。

クラウドでアプリケーションをステージングして展開した後は、継続的な運用フェーズ全体を通じてセキュリティに重点を置きます。アプリケーション、データ ストア、プラットフォーム内の IAM および暗号化操作を確認し、すべての保護がアクティブで適切に機能していることを確認します。

2. アプリケーションセキュリティの基礎を学ぶ

承認、監査/ログ記録、機密性、整合性といった基本的なアプリケーション セキュリティの概念を理解していることを確認してください。承認は、認証されたユーザーがアクセスできるファイルやデータベースなどのリソースを制御します。

リソース全体、リソースの一部、またはまったくアクセスできない場合があります。監査とログ記録により、ユーザーのアクションが確実に記録され、違反の兆候となる可能性のある使用パターンを特定して防御策を講じることができます。これらはコンプライアンスやその他の法的目的にとっても重要です。

機密性は、データがプライベートに保持され、権限のないユーザーやネットワーク トラフィックを監視する盗聴者によって閲覧できないようにするプロセスです。暗号化を使用すると、システム内でデータが保存されているときや移動しているときに機密性を強化することができます。

整合性とは、データのライフサイクル全体にわたってデータの正確性と一貫性 (有効性) を確保するための対策を指します。推奨されるプラクティスには、無効なデータの入力を防ぐための入力検証、データ転送のエラーを識別するためのエラー検出/データ検証、アクセス制御、暗号化、データ損失防止などのセキュリティ対策が含まれます。

3. 脆弱性スキャンを実装する

脆弱性スキャンを CI/CD プロセスに統合します。コードの記述から本番環境への展開まで、配信パイプラインのあらゆる主要段階でコードの脆弱性がチェックされるようにしてください。さまざまなパイプライン ステージの責任者が、コードの問題を検出するために必要なツールとトレーニングを備えていることを確認します。

静的アプリケーション セキュリティ テスト (SAST) は、独自コードの脆弱性を検出するために推奨されることが多く、組織のコード ベース内のすべてのオープン ソース コンポーネントを検出して追跡するには、SCA ツールが好まれます。

4. ランタイム保護を活用する

CI/CD パイプライン全体にランタイム保護を統合し、アプリケーションの実行開始直後から脅威から保護します。少なくとも、違反の兆候となる可能性のある異常な動作がないかアプリケーションを監視します。実行時にセキュリティ上の脆弱性を生み出す可能性のある変数または構成設定を識別するプロセスを開発します。

5. 具体的な問題と一般的な問題を考慮する

特定の種類の攻撃から保護するセキュリティ対策を使用します。たとえば、適切に構成されたコンテンツ セキュリティ ポリシー (CSP) ヘッダーは、XSS 攻撃や同一オリジン ポリシーを回避しようとするその他の試みから保護できます。強力なパスワードを適用すると、機密データを保護し、不正アクセスによるデータ侵害を防ぐことができます。運用レベルでは、DDoS 攻撃から保護するために DDoS 緩和サービスを使用します。

6. コンテナ/サービス管理のセキュリティ機能を活用する

オーケストレーション ツールとサービス メッシュによって提供されるセキュリティ機能を必ず使用してください。これらのツールは、コンテナと外部の世界の間の高度にスケーラブルな絶縁層として機能し、認証、承認、暗号化などのタスクを処理します。これらは、最初から自動化を目的として設計されています。

有効化または構成する必要があるかどうかを判断します。たとえば、Kubernetes のロールベース アクセス構成 (RBAC) は DevSecOps の重要な要素ですが、デフォルトでは有効になっていません。

7. バックアップとリカバリ戦略

データ保護、バックアップ、リカバリをクラウド セキュリティ プランの一部にします。安全な環境とセキュリティが組み込まれたアプリケーションを構築しても、サイバー攻撃者が操作を遅くしたりデータを侵害したりする方法を見つけられないということではありません。

適切なデータ保護、バックアップ、およびリカバリ戦略により、クラウド セキュリティで攻撃を阻止できなかった場合でも、最も重要なデータとアプリケーションにアクセスして使用できるようになります。

8. コンプライアンス基準を採用する

企業が CSP からクラウド サービスを購入することを検討している場合は、たとえ企業がこれらの標準への準拠を必要とする業界に属していなくても、PCI DSS 要件を満たすことが認定されているか、定期的な HIPAA コンプライアンス監査を受けているサービスを選択してください。 PCI および HIPAA 準拠のクラウド環境では、非常に厳格なセキュリティ要件を満たすことができるインフラストラクチャとプロセスが採用されています。これにより、より安全なクラウド環境が実現します。

ビジネスが規制要件の対象である場合は、その要件に準拠していることを確認してください。多くの規制、政府命令、業界標準では、データのセキュリティとプライバシーに関する厳格な技術要件が求められています。あなたの会社がコンプライアンスを遵守していれば、サイバー攻撃を軽減するための防御策が数多く導入されている可能性が高いでしょう。要件は変化するため、コンプライアンスは一度きりのものではないことに注意してください。

9. 防御姿勢を維持する

最新のファイアウォール、広告ブロッカー、ブラウザのスクリプトブロッカー、電子メールセキュリティ製品は、既知の悪意のある送信者をブロックし、既知の悪意のある添付ファイルの種類を削除できます。ホワイトリストを使用してソフトウェアのダウンロードを防止します。分離「サンドボックス」テクノロジーは、フィッシング リンク、ネットワーク ドライブバイ、ウォーターホール攻撃によるランサムウェアのダウンロードと実行を防止します。

チームに防御を監視および更新する専門知識がない場合は、セキュリティの責任を引き受けるマネージド サービス プロバイダーの利用を検討してください。また、マネージド セキュリティ サービスについては、CSP またはサードパーティの IT セキュリティ ベンダーを選択することも検討してください。企業はすべてのエンドポイントと潜在的な脆弱性をより適切にカバーできるようになります。

利点: マネージド セキュリティとは、多くの場合、先行投資や社内のセキュリティ専門知識なしで、最新かつ最高のセキュリティ テクノロジにアクセスできることを意味します。サービス プロバイダーが企業の IT セキュリティの監視と管理を担当するため、企業自身の IT スタッフとリソースを他の作業に割り当て可能になります。

10. 油断しない

100% 安全なクラウド環境は存在しないことを受け入れてください。企業が自社のクラウド環境が侵入不可能であると想定すると、クラウド セキュリティのベスト プラクティス、定期的な監査、従業員のセキュリティ意識向上トレーニングなどの要素について怠慢になりやすくなります。

新たなサイバー脅威が次々と出現し、また他の脅威も絶えず進化しています。今日の保護は、今後進化する新たな脅威に対しては効果がない可能性があります。最新の脅威に常に対応している CSP またはマネージド セキュリティ企業と連携することが重要です。しかし、企業の IT スタッフがセキュリティの最先端技術の進歩に遅れを取らないようにすることも同様に重要です。

信頼できるセキュリティ専門家やクラウド企業が書いた専門的な記事に注目し、IT セキュリティ ウェビナーに参加し、ベンダーやテクノロジー パートナーが提供する情報を活用します。