クラウド・セキュリティとは

2021年6月18日

この記事の内容

クラウド・セキュリティの定義

クラウド・セキュリティとは、データ、アプリケーション、およびインフラストラクチャサービスを保護するための一連のポリシー、制御、およびテクノロジーを指します。これらのコンポーネントはすべて連携して、データ、インフラストラクチャ、およびアプリケーションの安全性を維持します。これらのセキュリティ対策は、クラウドコンピューティング環境を外部および内部のサイバーセキュリティの脅威と脆弱性から保護します。

クラウド・セキュリティが重要な理由

企業はデジタルトランスフォーメーション(DX)イニシアチブを加速させ、運用を積極的に再構築し、クラウドサービスを使用してビジネスモデル全体を再考しますが、この幅広い採用により、サイバー犯罪者がサイバー詐欺を行う新しい機会も生まれてしまいます。これらの組織は業務をデジタル化するために迅速に動いているため、効果的なセキュリティ管理はしばしば後から考えられます。多くの場合、リスクを正確に評価および管理することを不可能ではないにしても、企業は実証済みのベストプラクティスを控え困難にします。企業は進行中の変化に適応し、クラウドに積極的に移行するにつれて、異なる視点とアジェンダを統合してまとまりのある戦略にする必要があります。クラウドへの道のりを、安全第一の文化を積極的に育成する機会として扱う組織は、クラウド・サービスの使用を可能にすることと、機密性の高いトランザクションとデータを保護することの間でバランスを取る必要があります。

Oracle Cloud Guard とセキュリティ・ゾーンがOracle Cloud Infrastructureを保護(1:44)

クラウド・セキュリティの利点

  • 人工知能(AI)と機械学習(ML)を有効にして、セキュリティの脅威に自動的に適応して対処
  • 自律機能を使用して、セキュリティ応答をスケーリングし、リスクを修正、エラーを排除します
  • アクセス制御でデータをプロアクティブに保護し、ユーザーのリスクと可視性を管理、発見と分類のためのツールを提供します
  • クラウド共有セキュリティ責任モデルに従って、顧客とCloud Serviceプロバイダー間のセキュリティアクティビティを故意にカバーします
  • アーキテクチャの設計にセキュリティを組み込む安全第一のアプローチ

クラウド・セキュリティにおける重要なテクノロジー

クラウドセキュリティは、セキュリティ要件に対処し、組織が規制コンプライアンス要件を確実に順守するためのアプローチを組織に提供します。効果的なクラウドセキュリティには、クラウドテクノロジースタック全体で複数の防御層が必要です。

  • 機密性の高いシステムやデータへの許可されたアクセスをブロックするように設計された予防管理
  • 監査、監視、およびレポートを通じて、不正なシステムとデータアクセスおよび変更を明らかにするように設計された発見コントロール
  • 定期的および重要なセキュリティ更新を防止、検出、および対応するように設計された自動制御
  • セキュリティポリシー、標準、慣行、および手順に対応するように設計された管理制御

機械学習と人工知能は、クラウドセキュリティのポートフォリオ全体にコンテキストアウェアネステクノロジーを拡張します。クラウドセキュリティにより、企業はIaaS, PaaS,とSaaS全体を保護し、セキュリティをネットワーク、ハードウェア、チップ、オペレーティングシステム、ストレージ、およびアプリケーション層に拡張します。

クラウド・セキュリティの責任共有モデルとは

クラウドセキュリティは、クラウドプロバイダーと顧客の間で共有されるセキュリティ責任です。クラウド共有セキュリティ責任モデルは、Cloud Serviceプロバイダーとサービスのサブスクライバー間の分業を伝えるための基本的なクラウドセキュリティおよびRisk Management構造です。クラウドセキュリティ・プログラムでは、すべてのタイプのクラウドサービスの共有セキュリティ責任モデルを明確に理解することが重要です。残念ながら、共有セキュリティ責任モデルは、クラウドで最も理解されていないセキュリティ概念の1つであるとも言えます。実際、Cloud Serviceプロバイダー(CSP)と比較してSaaSのセキュリティ保護における役割を完全に理解しているCISOはわずか8%です。簡単に言うと、共有セキュリティ責任モデルは、サービスのセキュリティと可用性の維持に関するCloud Serviceプロバイダーの責任範囲と、サービスの安全な使用を保証するための顧客の責任の概要を示しており、両方が特定の義務を共有しています。

企業がその責任を理解するために必要です。データを適切に保護しないと、深刻でコストのかかる結果につながる可能性があります。侵害の結果を経験する多くの組織は、コストを吸収できない可能性があり、大企業でさえ、その財務への影響を目の当たりにする可能性があります。共有セキュリティ責任モデルのポイントは、迅速なデプロイメントを可能にする組み込みのセキュリティを備えた柔軟性を提供することです。したがって、組織はクラウド・セキュリティの責任を理解する必要があり、一般的には「クラウドのセキュリティ」対「クラウド内のセキュリティ」と言われています。

クラウドデータを安全に維持するために重要な他の要件

今日、企業には、ワークロードとデータをクラウドに移動するときに環境を保護するためのさまざまなクラウドセキュリティのツールが提供されています。ただし、これらのツールの一部には特注の手順が付属しており、個別のサービスとして提供されます。クラウドユーザーと管理者は、クラウドセキュリティ・サービスがどのように機能するか、それらを正しく構成する方法、およびクラウド・デプロイメントを維持する方法を知っている必要があります。セキュリティ・オプションには限りがありませんが、設定が複雑になることがあり、1つの領域で間違いを犯しやすくなります。さらに、フィッシング、マルウェア、サイバー詐欺の増加、およびさまざまな構成ミスのクラウドサービスの無限サイクルにより、すでに課題となっているサイバーセキュリティプログラムがさらに拡大しています。これにより、組織はデータ侵害を経験し、その結果、ブランドの損傷、回復コスト、および罰金が科せられました。クラウドデータを安全に保つためのいくつかの重要な要件を以下に示します。

  • 共有セキュリティの責任と信頼:信頼は、共有セキュリティモデルの終わりを維持するためのクラウドパートナーを選択するうえで最も重要です。組織は、役割と責任を明確に理解し、独立したサードパーティのセキュリティ監査と認証にアクセスできる必要があります。
  • 自動化と機械学習:従来のエンタープライズ・セキュリティが人間の速度で分析および対応する一方で、クラウドの脅威はマシンの速度で広がっています。クラウド環境の最新のセキュリティでは、脅威の検出と対応を自動化する必要があります。高度な脅威には、脅威の予測、防止、検出、機械学習による対応に新しいレベルの高度化をもたらすセキュリティソリューションが必要です。
  • 多層防御:テクノロジ・スタック全体にわたるセキュリティの複数層には、クラウド・プロバイダの物理データ・センターを保護するために、適切な人、プロセス、およびテクノロジの予防、検出、および管理の制御を含める必要があります。
  • アイデンティティ管理:モバイル・デバイス、アプリ、およびユーザーペルソナがより偏在するにつれて、IDが新しい境界となりました。安全な資格情報に基づいて、クラウドとオンプレミスのアクセスと特権を制御することが重要です。
  • 可視性:クラウド・アクセス・セキュリティ・ブローカーとクラウド・セキュリティ・ポスチャ管理ソリューションは、組織のクラウド環境全体の可視性と制御を拡張します。
  • 継続的なコンプライアンス:規制順守はオプションではなく、順守とセキュリティも同じではありません。組織は、構成のずれやエラーなどによるセキュリティ違反なしにコンプライアンス違反を経験する可能性があります。企業にとって、クラウド環境全体で包括的でタイムリー、実用的なコンプライアンス関連データを提供するクラウド管理ソリューションが不可欠です。
  • デフォルトのセキュリティ:セキュリティ制御は、企業がセキュリティをオンにすることを忘れないようにするのではなく、デフォルトでクラウド・プロバイダによって有効にする必要があります。さまざまなセキュリティ管理策と、それらがどのように連携してリスクを軽減し、完全なセキュリティ体制を実装するかについて、誰もが十分に理解しているわけではありません。たとえば、データ暗号化はデフォルトでオンにする必要があります。一貫性のあるデータ保護制御とポリシーをクラウド全体に適用する必要があります。
  • 監視と移行:管理者がワークロードを保護できるよう、クラウド・テナンシーとコンパートメントのセキュリティ・ポリシーを設定して適用する必要があります。クラウドテナント全体のクラウドセキュリティ・ポスチャの統一されたビューは、誤って構成されたリソースとテナント全体の安全でないアクティビティを検出するためにも不可欠であり、セキュリティ管理者にクラウドセキュリティの問題を切り分けて解決するための可視性を提供します。
  • 職務の分離と最小権限アクセス:職務の分離と最小特権アクセスの原則は、クラウド環境全体に実装する必要があるセキュリティのベストプラクティスです。そうすることで、個人が過度の管理者権限があり、追加の許可なしに機密データにアクセスすることはできないようにします。
Webキャスト:クラウド・ガードおよびセキュリティ・ゾーン(21:37)

クラウド・セキュリティの未来とは

デジタルトランスフォーメーションの優先順位の結果としてクラウドの採用が加速し続けているため、企業はクラウド環境のセキュリティ保護の複雑さを予測してナビゲートする必要があります。クラウドスタック全体に自動的に組み込まれるセキュリティを設計したクラウドプロバイダーを選択することが不可欠です(IaaS、PaaS、SaaS)。クラウドセキュリティの将来における追加の考慮事項は次のとおりです。

  • クラウド・インフラストラクチャ・セキュリティ:アーキテクチャから始めて、クラウド・インフラストラクチャのコンピューティング、ネットワーク、およびストレージ全体で安全第一のアプローチを使用してワークロードを保護します。さらに、この取り組みは、ビジネスクリティカルなワークロードの保護に必要なセキュリティ・レベルを提供するために不可欠なセキュリティ・サービスが活用されます。
  • データベース・クラウド・セキュリティデータ侵害のリスクを軽減し、クラウドでのコンプライアンスを加速します。暗号化、キー管理、データマスキング、特権ユーザーアクセス制御、アクティビティのモニタリング、監査を含むデータベースのセキュリティソリューションを採用します。
  • クラウド・アプリケーション・セキュリティ:組織のビジネスクリティカルなデータを保護するには、重要なアプリケーションを不正や悪用から守ることが不可欠です。緻密なアクセス制御、可視性、および監視は現在の多層防御の重要な要素です。
  • コーポレート・セキュリティ・プラクティスとプライバシー:使用されているクラウド製品に関係なく、クラウドでホストされているデータとシステムの機密性、整合性、および可用性を保護します。
  • 高度なカスタマー・サービス:クラウド環境やマルチクラウド環境に移行する場合、セキュリティ・チームは、攻撃対象の拡大、大量のアラート、サイバーセキュリティ・スキルの不足といった問題に直面します。Cloud Serviceプロバイダーの高度なサービスを採用して、これらの課題に対処してください。
  • Identity and Access Management(IAM):安全な資格情報を使用して、データにアクセスできるユーザー、アクセスの種類、特定のリソースへのアクセスを制御し、クラウドまたはオンプレミスで再ホストされます。

  1. オラクルとKPMGによるクラウド脅威レポート (PDF)
  2. 技術入門:Oracle Databaseの保護(PDF)