クラウド コンピューティングが IT セキュリティをサポートする 12 の方法

過去 10 年間、クラウド コンピューティングはエンタープライズ IT における最も破壊的なトレンドとなっており、セキュリティ チームも変革の過程で「混乱」から逃れられていません。セキュリティ専門家がクラウドの制御を失っていると感じ、クラウドの「混乱」を回避して脅威から保護しようとするときにイライラするのは当然です。

ここでは、クラウド コンピューティングがセキュリティにどのような混乱をもたらしているか、また、セキュリティ チームがこれらの変化をどのように活用して、データを安全に保つという重要なタスクを正常に完了できるかについて説明します。

[[263403]]

1. クラウドコンピューティングは大きな責任を軽減する

企業がクラウド コンピューティング テクノロジーを採用すると、物理的な IT インフラストラクチャの取得と維持の負担が軽減され、企業のセキュリティ部門が物理インフラストラクチャのセキュリティを担当する必要がなくなります。クラウド コンピューティングの共有セキュリティ モデルでは、AWS や Azure などのクラウド コンピューティング サービス プロバイダー (CSP) が物理インフラストラクチャのセキュリティの責任を負うことが規定されています。クラウド コンピューティング リソースを安全に使用するのはユーザーの責任です。しかし、責任共有モデルについては多くの誤解があり、リスクが生じています。

2. クラウドでは、開発者が独自のインフラストラクチャの決定を下す

クラウド コンピューティング リソースは、アプリケーション プログラミング インターフェイス (API) を通じてオンデマンドで提供できます。クラウド コンピューティングはセルフサービス サービスであるため、開発者は迅速に行動し、従来のセキュリティ ゲートウェイをバイパスできます。開発者がアプリケーション用のクラウド コンピューティング環境を立ち上げる際には、インフラストラクチャのセキュリティを構成することになります。しかし、開発者は、重大なクラウド リソースの構成ミスや規制コンプライアンス ポリシー違反などのミスを犯す可能性があります。

3. 開発者はインフラストラクチャの構成を変更し続けます

企業はデータセンターよりもクラウドでより速く革新を起こすことができます。継続的インテグレーションと継続的デプロイメント (CI/CD) とは、クラウド コンピューティング環境を継続的に変更することを意味します。開発者はインフラストラクチャ構成を簡単に変更して、インスタンスからログを取得したり、問題をトラブルシューティングしたりするなどのタスクを実行できます。そのため、初日にクラウド インフラストラクチャのセキュリティを適切に確保できたとしても、翌日には構成ミスによる脆弱性が導入される可能性があります。

4. クラウドコンピューティングはプログラム可能で自動化できる

クラウド リソースは API 経由で作成、変更、破棄できるため、開発者は Web ベースのクラウド「コンソール」を放棄し、AWS CloudFormation や Hashicorp Terraform などのインフラストラクチャ アズ コード ツールを使用してクラウド リソースをプログラムしています。大規模なクラウド プラットフォーム環境を事前に定義し、オンデマンドで展開し、プログラムによって自動的に更新することができます。これらのインフラストラクチャ プロファイルには、重要なリソースのセキュリティ関連の構成が含まれます。

5. クラウドには保護すべきインフラがたくさんある

ある意味では、データ センターのセキュリティは管理が容易になります。企業のネットワーク、ファイアウォール、サーバーはすべてラック上で実行され、クラウド コンピューティングも仮想化された形式で存在します。しかし、クラウド コンピューティングは、サーバーレスやコンテナーなど、さまざまな新しいインフラストラクチャ リソースも提供します。 AWS だけでも、過去数年間で何百もの新しいサービスを立ち上げました。ネットワークやファイアウォールなどの馴染みのあるものでも、クラウドでは馴染みのない方法で動作します。これらすべてには、新たな、異なる安全対策が必要です。

6. クラウドには保護すべきインフラがたくさんある

組織は、追跡および保護するためにさらに多くのクラウド インフラストラクチャ リソースを必要としており、クラウド コンピューティングの弾力性により、時間の経過とともにさらに多くのリソースが変化することになります。クラウドで大規模に運用するチームは、複数のリージョンとアカウントにまたがる数十のクラウド環境を管理している可能性があります。それぞれのクラウド環境には、個別に構成され、API 経由でアクセスできる数万のリソースが含まれる可能性があります。これらのリソースは相互に作用し、独自の ID およびアクセス制御 (IAM) 権限を必要とします。マイクロサービス アーキテクチャにより、この問題は複雑になります。

7. クラウドセキュリティは設定ミスが重要

クラウド コンピューティングの運用は、ネットワーク、セキュリティ グループ、データベースやオブジェクト ストレージのアクセス ポリシーなど、セキュリティ上重要なリソースを含むクラウド リソースの構成がすべてです。企業が物理インフラストラクチャを運用および保守する必要がない場合、セキュリティの焦点はクラウド リソースの構成に移り、初日に正しく構成され、2 日目以降もその状態が維持されるようにします。

8. クラウドセキュリティはID管理にも関係する

クラウドでは、多くのサービスが API 呼び出しを通じて相互に接続されているため、セキュリティのために IP ベースのネットワーク ルールやファイアウォールなどではなく、ID 管理が必要になります。たとえば、Lambda から S3 バケットへの接続は、Lambda がサービス ID を受け入れるロールにアタッチされたポリシーを使用して行われます。アイデンティティおよびアクセス管理 (IAM) や同様のサービスは複雑で、機能が豊富です。

9. クラウドコンピューティングに対する脅威の性質は異なる

悪意のある行為者はコードと自動化を利用してクラウド コンピューティング環境の脆弱性を見つけ出し、それを悪用します。自動化された脅威は常に人間または半人間によるセキュリティ防御を上回ります。クラウド セキュリティは、今日の脅威から保護できなければなりません。つまり、すべての重要なリソースとポリシーをカバーし、それらのリソースの誤った構成から人間の介入なしに自動的に回復できる必要があります。ここで重要な指標は、重大なクラウド構成エラーの平均修復時間 (MTTR) です。時間、日、週単位で測ると、やるべき仕事があることがわかります。

10. データセンターのセキュリティはクラウドでは機能しない

ここまで読んで、データセンターで機能するセキュリティ ツールの多くはクラウドではほとんど役に立たないという結論に達したかもしれません。これは、これまで使用していたものをすべて捨てる必要があるという意味ではありませんが、何がまだ適切で何が時代遅れかを知る必要があります。たとえば、アプリケーションのセキュリティは依然として重要ですが、クラウド サービス プロバイダーが直接のネットワーク アクセスを提供しないため、トラフィックを検査するためにスパンやヒットに依存するネットワーク監視ツールは機能しません。企業が埋める必要がある主なセキュリティギャップは、クラウド コンピューティング リソースの構成に関連しています。

11. クラウドのセキュリティはより簡単かつ効果的になる

クラウド コンピューティングはプログラム可能で自動化できるため、データ センターよりもクラウドの方がセキュリティが簡単かつ効果的になります。

構成エラーや逸脱の監視は完全に自動化でき、企業は重要なリソースに自己修復インフラストラクチャを使用して機密データを保護できます。企業はインフラストラクチャを構成または更新する前に、自動テストを実行して、アプリケーション コードを保護するのと同じように、コードとしてのインフラストラクチャが企業のセキュリティ ポリシーに準拠していることを確認できます。これにより、開発者は修正が必要な問題があるかどうかをより早く知ることができ、最終的にはより迅速に行動して革新を継続できるようになります。

12. クラウドではコンプライアンスもより簡単かつ効果的になります

これはコンプライアンスアナリストにとっても朗報です。クラウド コンピューティング環境の従来の手動監査は、コストがかかり、エラーが発生しやすく、時間がかかり、完了する前に古くなってしまうことがよくあります。クラウド コンピューティングはプログラム可能で自動化できるため、コンプライアンス スキャンや調査レポートも可能です。コンプライアンス監査を自動化し、多くの時間とリソースを費やすことなくレポートを定期的に生成できるようになりました。クラウド コンピューティング環境は頻繁に変更されるため、1 日を超える監査間隔は長すぎる可能性があります。

クラウドセキュリティを始めるには

（１）開発者が何をしているのかを理解する

どのようなクラウド環境を使用していますか? アカウントごとに懸念事項をどのように分離していますか (開発、テスト、本番など)?どのような構成と継続的インテグレーションおよび継続的デプロイメント (CI/CD) ツールを使用していますか?現在、セキュリティ ツールを使用していますか?これらの質問に対する答えは、クラウド セキュリティ ロードマップを作成し、重点的に取り組むべき理想的な領域を特定するのに役立ちます。

（２）コンプライアンスフレームワークを既存の環境に適用する

違反を特定し、開発者と協力してコンプライアンスに準拠するようにします。組織が HIPAA、GDPR、NIST 800-53、PCI などのコンプライアンス体制に準拠していない場合は、Center for Internet Security (CIS) ベンチマークを使用します。 AWS や Azure などのクラウド コンピューティング プロバイダーは、企業の活動にどのように適用するかを推測する必要がないように、これをすでにクラウド プラットフォームに組み込んでいます。

（３）主要なリソースを特定し、適切な構成ベースラインを確立する

重要な詳細を見逃さないでください。開発者と協力して、重要なデータを含むクラウド リソースを特定し、それらのリソース (およびネットワークやセキュリティ グループなどの関連リソース) の安全な構成ベースラインを確立します。こうした構成のドリフトを検出し始め、誤った構成がインシデントにつながるのを防ぐための自動修復ソリューションを検討してください。

（4）開発者がより安全に作業できるように支援する

開発者と協力してソフトウェア開発ライフサイクル (SLDC) の早い段階でセキュリティを組み込むことで、「シフトレフト」を実現します。開発中の自動ポリシー チェックなどの DevSecOps 方法論は、時間のかかる手動のセキュリティおよびコンプライアンス プロセスを排除することで、イノベーションを迅速に進めるのに役立ちます。

効果的で回復力のあるクラウド セキュリティ体制の鍵は、開発チームと運用チームと緊密に連携し、すべてのメンバーが同じ認識を持ち、同じ言語で話すことです。また、クラウドでは、セキュリティをスタンドアロン機能として実行することはできません。