クラウドセキュリティツールはベンダーのさまざまな視点を反映している

最新のクラウド セキュリティ ツールは、ユーザーの問題に対処し、顧客を自ら保護するために大手プロバイダーが採用しているさまざまなアプローチを反映しています。

Amazon、Google、Microsoft はいずれも、パブリック クラウドのセキュリティに関するそれぞれの異なる見解を強化する機能を導入していますが、クラウド ワークロードが直面する最大の脅威にはまだ対処していません。

有名なクラウド コンピューティング ベンダー 3 社は今年、ユーザーがワークロードを脅威から保護できるように、自社の製品とサービスにいくつかの機能を追加しました。それぞれの製品の成熟度と、自社の技術的および文化的伝統を強調する、わずかに異なるアプローチを採用しています。しかし、これらのプラットフォームでワークロードを使用する上での最大の障壁の 1 つは、依然として顧客自身です。

[[213139]]

パブリック クラウドへの移行を検討している企業にとって、セキュリティは依然として最優先事項です。特にデータの保存場所やその他の政府規制が最も重要である企業では、依然として抵抗する人もいますが、全体的には、セキュリティはもはやクラウド コンピューティングに抵抗する理由ではありません。実際、業界関係者のほとんどは、これらのプラットフォームの背後にあるセキュリティ対策と人員配置は、社内で確立されたものよりも優れていると考えています。

Amazon は、セキュリティを向上させる技術革新の最前線に立ってきました。その理由は、Amazon Web Services (AWS) が最初に市場に登場したため、プラットフォーム上に階層化されたリソースを追跡および管理するためのツールが不足していたからです。かつては主にスタートアップ企業で見られましたが、大企業が AWS のサービスを採用するのは一般的であり、同社はストレージとコンピューティング リソースを販売してきた 11 年間にわたってクラウド セキュリティ ツールを継続的にアップグレードしてきました。

AWS は長年にわたり、クラウドで一般的な慣行となっている ID およびアクセス管理、構成ルール、その他のポリシー制御を追加してきました。最新のセキュリティアップグレードは、プラットフォームの成熟度と他の AWS ツールとの緊密な統合を反映しています。現在、アマゾンの最新の動きは、顧客を自らのミスから守ることを目的としている。

クラウドセキュリティとユーザーの脅威

クラウド セキュリティの問題に関する話題がニュースで頻繁に取り上げられており、AWS が問題の矢面に立たされています。過去 1 年間、Verizon や Dow Jones などの顧客が、パブリック インターネット上に公開された Amazon Simple Storage Service (S3) バケットに機密データを保存していたとして非難されてきました。

これらの注目度の高いケース、そしてその他多くのケースは、ユーザーエラーや S3 バケットの設定ミスが原因で発生しており、クラウドベンダーが修正できる手段はありませんでした。

「ドアを開けると、何が起こるか想像できるだろうか？ 物が盗まれたり、今回の場合はコピーされたりするのだ」と451リサーチのアナリスト、フェルナンド・モンテネグロ氏は語った。

アマゾンは通常、ユーザーにAWSが提供するツールを使ってアプリケーションを構築させ、「顧客が愚かなことをしないようにする」機能を追加しながら、介入を控えるアプローチを取っているとモンテネグロ氏は述べた。これらのルールには、ユーザーが公開されたバケットにタグを付けることができる新しい AWS 構成ルール、電子メールによる潜在的な侵害に関する顧客への警告、顧客の S3 バケットの異常を検出するための Macie と呼ばれる機械学習ベースのサービスが含まれます。

マイクロソフトとグーグルの異なる重点分野と異なるクラウド セキュリティ ツール

AWS が市場で大きな影響力を持っているため、他のパブリック クラウド プラットフォームよりも誤って設定されていることが多いかどうかは不明です。明らかなのは、アマゾンに続いてクラウドコンピューティングに対してより厳格なアプローチを取っているグーグルとマイクロソフトが、アマゾンの過去の失敗から学び、恩恵を受けているということだ。両社は、顧客データを悪意のある行為者から保護するための措置を講じ、それぞれの社内文化コミュニケーションを実施しました。

エンタープライズ市場と深いつながりを持つ Microsoft は、Azure の初期段階でより多くのセキュリティ機能を提供し、Active Directory をプラットフォームのコア コンポーネントにしました。一方、Google は同じエンタープライズ市場を狙うため、セキュリティ ツールの割引をさらに提供し始めています。

クラウド サービス プロバイダーである Evident.io の CEO 兼共同創設者である Tim Prendergast 氏は、新しいクラウド セキュリティ ツールとさまざまなアプローチの推進は、攻撃者がワークロードを侵害するために行う動きについてクラウド プロバイダーがより多くのことを学ぶにつれて革新していることを示していると述べています。

「私たちが目にしているのは、3つのクラウドプロバイダーが自社と顧客、そして資産のセキュリティに対して独自のアプローチを取っているということだ」と同氏は語った。

たとえば、マイクロソフト社は、Azure 向けに「コンフィデンシャル コンピューティング」と呼ばれる新しいセキュリティ モデルを導入しました。このモデルでは、主要なクラウド プロバイダーの間で現在標準的な方法となっている転送中および保存中のデータだけでなく、使用中のデータも暗号化します。

「これは、ユーザーのワークロードがマイクロソフトによって保護されているというさらなる保証であり、それが脅威モデルの一部である場合、強力なメッセージとなる」とモンテネグロ氏は述べた。 「ハッカーが悪意を持ってデータにアクセスすることはますます困難になっています。」

Google も同様の目標を持っていますが、手段は異なります。 Google は DIY ハードウェアの実装の歴史を継続し、今年初めにハードウェア レベルでクラウド インフラストラクチャにアクセスするための信頼のルートを提供する Titan と呼ばれるカスタム チップをリリースしました。

これらは前向きなステップではありますが、ますます蔓延しているクラウド セキュリティの問題には対処していません。この問題は、キーを安全に保つためのユーザーの努力に帰着し、パブリック クラウド プラットフォームの顧客の責任となります。

「外出時に誰かがドアに鍵をかけるが、誰かが鍵をコピーしてドアに鍵をかけ、それでもすべてが無防備な状態になるようなものだ」とIDCのアナリスト、アビ・デュガー氏は語った。

企業は新しい世界に適応するためにセキュリティに取り組む

もちろん、ユーザーエラーに関してはベンダーを批判すべきではありません。これらのプラットフォームを使用する上で基本となるのは、AWS が先駆けて導入した共有責任モデルであり、ベンダーが基盤となるインフラストラクチャに責任を持ち、ユーザーがトップレベルのものに責任を持ちます。

プレンダーガスト氏によると、このモデルの問題は、企業の IT 部門が通常のセキュリティ プロトコルを維持しながら、パブリック クラウド上のワークロードを管理する新しい方法にも適応する必要があることだ。これは、約 100 種類の異なるサービスと数千ページに及ぶセキュリティ ドキュメントを備えた AWS のようなプラットフォームにとって特に困難です。

「スタッフは一日中忙しく、使い慣れた従来の管理方法に加えて、この新しい安全管理方法とセキュリティ管理方法を習得する必要がある」と彼は語った。 「人も時間もないので、以前よりも早く仕事をしなければなりません。」

プレンダーガスト氏は、人々のスキルと期待のギャップが、多くの注目を集めるクラウドセキュリティインシデントにつながっていると述べた。 Macie のような高度なサービスは企業にメリットをもたらしますが、IT 部門が基盤を正しく構築しなければ成功は難しいでしょう。

管理者は市場の主要なターゲットである複数のクラウドにわたってセキュリティ体制を管理する必要があるため、これらすべての問題はさらに複雑になります。たとえば、企業がクラウド資産のほとんどを AWS 上に保有している場合、機械学習のために TensorFlow を備えた Google Cloud Platform を使用したいと言うと、問題が発生する可能性があります。

「セキュリティチームは『セキュリティインターフェースが理解できない』と言っていました」とデュガー氏は語った。 「そのため、企業はその問題に対処できる人材を採用しなければなりませんが、対処すべきスキルギャップがあります。」