クラウド セキュリティに関する重要なガイド: リスク、基準、ポリシー、ベスト プラクティス

By Andy Marker | 2019年7月19日

クラウド コンピューティングは、インターネット上でデジタル リソースをオンデマンドで低コストで利用できる新しい方法となっています。クラウド セキュリティ リスクを最小限に抑え、クラウド コンピューティングのメリットを最大限に引き出す最も便利なヒントをご紹介します。

このページでは、クラウド ソリューションのセキュリティ上の課題の詳細、クラウド セキュリティと従来の IT セキュリティの比較クラウド セキュリティ アーキテクチャに関する情報などについて説明します。

クラウド セキュリティとは何か?

クラウド セキュリティ は従来の IT セキュリティと似ていますが、データ、ソフトウェア アプリケーション、関連するクラウド コンピューティング インフラストラクチャを保護するために採用されるポリシーとコントロールに重点を置いています。

クラウド コンピューティングの歴史は 1960 年代まで遡ります。今日、ビジネスや個人の生活でクラウド サービスが広く採用されているため、堅牢で安全なプラクティスとコントロールの必要性が高まっています。

クラウド セキュリティ モデルとは何か?

クラウド コンピューティングには、パブリック クラウド、プライベート クラウド、ハイブリッド クラウドなど、いくつかの導入オプション (モデルと呼ばれる) が用意されています。下のグラフでは、各導入モデルに関連する特定のクラウド管理情報を確認できます。

導入モデル説明ターゲット ユーザー使用事例利点
パブリック クラウド

サードパーティーのクラウド サービス プロバイダー (Microsoft (マイクロソフト)、Amazon (アマゾン)、Google (グーグル) など、最も人気のある 3 社) は、これらのリソース (ハードウェア、ソフトウェア、インフラストラクチャなど) を所有しています。企業は、これらのリソースを他の組織と共有しています。

ソフトウェア開発者とテスター電子メール、オフィス アプリケーション、ストレージに一般的に使用されます。

  • 低コスト/手頃な価格
  • メンテナンスフリー
  • 拡張性
  • オン デマンド
  • 高い信頼性
プライベート クラウドサードパーティーのサービス プロバイダーや組織のデータ センターがホストできるこれらのリソースを 1 つのビジネスが有しています。政府および金融機関規制の厳しい業界で機密性の高いワークロードに一般的に使用されます。
  • 特定のビジネス ニーズに対応する柔軟性
  • 高度なセキュリティ制御
  • 拡張性のあるハイブリッド クラウド
ハイブリッド クラウドこの導入モデルでは、ワークロードをパブリック クラウドとプライベート クラウド インフラストラクチャに分散します。アプリケーションはリソースを共有し、セキュリティとパフォーマンスのニーズに基づいて、パブリック クラウドとプライベート クラウド間で相互運用できます。規制やセキュリティ要件が異なる複数の組織にサービスを提供する事業体一貫性のない要件が不明なスタートアップ企業や、さまざまな顧客を持つ IT サービス プロバイダーによって一般的に使用されます。
  • 高度なコントロール
  • 必要に応じてプライベートとパブリックの両方のインフラに柔軟に対応
  • 拡張性

タスクごとに異なるクラウドを使用している場合は、マルチクラウド モデルも利用できます。ハイブリッド クラウドとは異なり、マルチクラウド ソリューションは、さまざまなプロバイダーのさまざまなパブリック クラウド サービスを使用する組織にサービスを提供します。また、組織にはプライベート クラウド インフラストラクチャやオンプレミス インフラストラクチャを持っていることもあります。これらの環境は、独立したサイロ化された目的で使用します。一方、ハイブリッド クラウドには、常にパブリック クラウドとプライベート クラウド インフラストラクチャが含まれており、連携して相互に動作します。 

プライバシー、セキュリティ、コンプライアンスに関して同様の懸念を抱く特定のビジネス部門の個人や組織は、コミュニティ クラウドとして知られているものを共有します。これらの組織には、銀行、病院、政府機関が含まれます。 

クラウド セキュリティと従来の IT セキュリティの違い

従来の IT テクノロジーとクラウド テクノロジーは、データの盗難、漏洩、中断に直面しています。2 つのテクノロジーの主な違いは、クラウド コンピューティング リソースが従来のオンプレミスのハードウェア、サーバー、ソフトウェアよりも抽象的である点です。 

従来の IT インフラストラクチャは、専用のハードウェア、ソフトウェア、その他のインフラストラクチャを自社で購入、インストール、管理するものでした。従来の IT インフラストラクチャを使用すると、会社のデータ、アプリケーション、インフラストラクチャを完全にローカルで制御でき、一見安全なシステムを構築しているように見えます。組織が成長し、データ ストレージ要件が増加するにつれ、キャパシティ ニーズに合わせて追加のハードウェアを購入することになります。従来の IT 環境では、ハードウェア デバイスとオンプレミスのデータ センターにあるサーバー間の接続が可能で、境界セキュリティ モデルに依存しています。

クラウド コンピューティングは、従来の IT インフラストラクチャと比較すると抽象的なものです。クラウド コンピューティング リソースは、物理的にもアクセスできませんし、オン プレミスにもありません。クラウドはバーチャル ソリューションを提供し、企業はクラウド サービス プロバイダーからサーバー スペースを借りることで、外部ホスティングを実現します。これは、クラウド サービス プロバイダーがセキュリティを担うことを意味しています。アプリケーション プログラミング インターフェース (API) を使用して、クラウド コンピューティング環境にアクセスします。API を使用することにより、デバイスとクラウド サーバー間のコミュニケーションが可能になります。クラウド環境は、これらの API と同じ安全性を持っています。従来のセキュリティとクラウド セキュリティは同様の方法に依存していますが、複雑化するクラウド インフラストラクチャと高度なセキュリティ脅威に対応するために、境界セキュリティから、より強力な認証と暗号化方法を使用するクラウド コンピューティングへの移行を余儀なくされています。 

クラウドと従来の環境を比較すると、クラウド コンピューティングは非常に安全でないと思われるかもしれませんが、適切な予防措置と適切なクラウド サービス プロバイダーにより、クラウド コンピューティングのメリットはリスクを上回っているため、クラウド セキュリティはほとんどの組織にとって考えなければならない課題となっています。

クラウドの安全性は?

クラウド サービスは非常に一般的になりましたが、セキュリティ上の懸念事項は引き続き最優先事項として捉えられています。企業にとって、セキュリティ、可用性、プライバシーの維持は非常に重要です。クラウド データ センターは通常、クラウド セキュリティの専門家がスタッフを配置し、サードパーティー組織によって監査され、厳格なポリシーと基準に準拠します。これらのセンターの多くは、保証業務基準書 (SSAE) の基準に関する記述に従い、医療保険の積算と責任に関する法律 (HIPAA) と周辺コンポーネント相互接続 (PCI) に準拠しています。これらのクラウド サービス プロバイダーは、堅牢なセキュリティ要件にコミットし、機密情報を保護する能力を実証しています。

クラウド セキュリティが重要な理由は?

クラウド コンピューティングへの投資が増え続ける中、クラウド セキュリティはこれまで以上に重要です。RightScale のクラウド調査の状態によると、96% の IT プロフェッショナルがクラウドを使用しています。エンタープライズ パブリック クラウドの投資は、迅速かつ大幅に増加すると予想されます。 

クラウド サービス プロバイダーはハッカーの標的になります。クラウド セキュリティ アライアンス® (CSA) による、プロバイダーが直面しているクラウド セキュリティの最も重要な脅威を以下に示します。

  • データ漏洩
  • 不十分な ID、認証情報、アクセス管理
  • 安全でないインターフェイスと API
  • システムの脆弱性
  • アカウント乗っ取り
  • 悪意のある内部関係者
  • 高度な永続的脅威 (APT 攻撃)
  • データの損失
  • 不十分なデュー デリジェンス
  • クラウド サービスの悪用および悪質な使用
  • サービス拒否攻撃 (DDoS 攻撃)
  • テクノロジーに関する共通の課題

その他のセキュリティ上の脅威には、次のものがあります。

  • BadRabbit などのランサムウェア 
  • コイン マイニング 
  • クリプトジャッキング 
  • Dridex、Trickybot、Zbot、エモテットなどのトロイの木馬 
  • エターナルブルーなどの Windows (マイクロソフト ウィンドウズ) セキュリティの問題 
  • グレイウェア 
  • ハッカーは、「環境に寄生する」 
  • Petya/NotPetya のような、ソフトウェアのアップデートを利用し、Meltdown、Spectre、単一障害点問題などの CPU の欠陥やセキュリティ対策の破綻を利用したマルウェア 
  • Ramnit などのワーム 
  • スピア フィッシング 
  • パッチが適用されていないソフトウェアの脆弱性 (ゼロデイ攻撃) 
  • ソーシャル エンジニアリング攻撃
  • ネットワークの傍受
  • 人為的ミス
  • 盗まれた資格情報 
  • 従業員による不正行為
  • 過失
  • 不正使用
  • 未削除データ 
  • クラウド サービス プロバイダーが業務を停止した際に発生するデータの損失
  • 未熟または過労の IT スタッフ
  • シャドー IT

クラウド セキュリティのメリット

クラウド セキュリティのベスト プラクティスに従い、適切な予防策を実施することで、データとシステムが安全であることを確認でき、セキュリティ対策を可視化し、アラートを配信し、異常な活動が発生した場合に備えることができます。また、これらのプラクティスに取り組むことで、支障をきたすことなく運用できる可用性、信頼性、セキュリティを確保できます。

誰がクラウド コンピューティングに依存しているか?

クラウド コンピューティングの柔軟性、コスト効率、信頼性は、あらゆる業界のあらゆる規模の企業に適しています。企業、中小企業、スタートアップ企業、政府、金融、教育機関のリーダーや IT 専門家は、急速なペースでクラウドに移行しています。ターゲット コーポレーションのような有名企業は、クラウド コンピューティングに大きく依存しています。実際、ターゲット コーポレーションは、2013 年にセキュリティのギャップにより大規模なサイバー攻撃を受けました。攻撃者は、RAM スクレーピングと呼ばれる手法を使って、4,000 万人の顧客の銀行データと 7,000 万人の顧客の個人データを乗っ取りました。

クラウド セキュリティ プロバイダーの責任

クラウド コンピューティング サービスの急速な需要に伴い、サービス プロバイダーは、クラウドの層、サービスとしてのインフラストラクチャ (IaaS)、サービスとしてのプラットフォーム (PaaS)、サービスとしてのソフトウェア (SaaS)、クラウド ストレージ、テスト、統合、クラウドネイティブ アプリケーションなど、さまざまな便利な機能を提供するようになっています。最も一般的に人気のあるクラウド サービスには、Amazon (アマゾン)、Microsoft (マイクロソフト)、Google (グーグル)、IBM などがあります。

クラウド コンピューティング サービスの需要の高まりに伴い、クラウド セキュリティの需要も高まっています。ほとんどのクラウド サービス プロバイダーは、非常に厳しい規制基準、アクセスしやすいセキュリティ ツール、データの機密性を維持するためのプラクティス、DDoS 攻撃に対する厳格な規制基準を設けています。クラウド サービス プロバイダーを評価する際は、必ず各プロバイダーに次のセキュリティ対策について確認してください。

  • アイデンティティ管理
  • 物理的なセキュリティ 
  • 人材育成
  • プライバシー、機密性、データの整合性、アクセス制御
  • 事業継続と災害復旧
  • 暗号化方法、例えば、属性ベース (ABE)、属性ベース暗号 (CP-ABE)、鍵ポリシー属性ベース暗号 (KP-ABE)、完全準同型暗号 (FHE)、または検索可能暗号 (SE)
  • ログと監査証跡
  • HIPA など、独自のコンプライアンス要件

クラウド ソリューションの提供に伴うセキュリティ上の課題

前述のとおり、ハッカー、マルウェア、およびランサムウェアは、クラウド コンピューティングに伴う脅威です。一般的なクラウド セキュリティの問題に加えて、法的責任といった問題も発生します。

  • クラウド サービス プロバイダーが保存する情報が増加するに伴い、悪意のあるアクティビティの主要なターゲットとなっています。
  • クラウド ソリューション プロバイダーは、データの損失やデータの漏洩を取り巻く知的財産および条件について責任を負います。
  • リクエストに応じて公文書を保持または提供しなければならない要件は、クラウド サービス プロバイダーを不安にさせてしまう可能性があります。
  • データや情報保存の要件によって廃止処置を制限されてしまう可能性があるため、クラウドの実装数は簡単に手に負えなくなります。 

クラウド ソリューションへの容易なアクセスのと膨大な可用性は、企業や組織にとっても課題となっています。従業員はクラウド ソリューションやアプリを簡単に利用できるため、社内の IT 部門が IT サービスを管理できなくなってしまうことがあります。シャドー IT は組織を危険にさらします。組織は、利用されているサービス、情報の場所、アクセス権を持つ人々、セキュリティ ポリシーに関して暗闇の中にあります。これらの要因により、セキュリティ ポリシーの適用が困難となり、企業は規制上の要件に違反するリスクにさらされます。

クラウド ソリューション セキュリティ アーキテクチャ

確立されたすべてのクラウド サービスおよびソリューション プロバイダーの第 1 の目標は、独自の機密データを安全に保つことです。プロバイダーは、データを保護および必要な柔軟性を提供するために、要件とプロトコルに基づいてソリューションを設計および構築しています。クラウド サービス/ソリューション プロバイダーと顧客の両方がセキュリティを担当します。プロバイダー サービスレベル契約は、顧客の責任レベルを示す必要があります。クラウド サービス プロバイダーは、クラウドのセキュリティ保護方法を示すクラウド セキュリティ アーキテクチャを開発します。

クラウド セキュリティ基準とは何か?

クラウド セキュリティ基準とは、国際標準化機構 (ISO) や CSA などのさまざまな業界組織が、クラウド サービス プロバイダーやクラウド サービス顧客に対して概説し、定義するセキュリティ関連の基準、管理、および具体的なガイダンスです。

クラウド セキュリティ制御と標準

CSA は、クラウド コンピューティングのベスト プラクティスを定義しており、また認識の向上に力を注いでいます。上記の最も重要なセキュリティ脅威を定義することに加えて、クラウド セキュリティ アライアンスのクラウド コントロール メトリック (CCM) を設計し、ガバナンスと運用ドメイン全体でガイダンスを提供しています。これらのドメインには、次のものが含まれます。

  • アプリケーションとインターフェイスのセキュリティ
  • 監査の保証とコンプライアンス
  • ビジネス継続性管理と運用回復力
  • 変更管理と構成管理
  • データ セキュリティと情報ライフサイクル管理
  • データセンターのセキュリティ
  • 暗号化と鍵管理
  • ガバナンスとリスク管理
  • 人的情報セキュリティ
  • アイデンティティ管理とアクセス管理
  • インフラストラクチャと仮想化
  • 相互運用性と移植性
  • モバイル セキュリティ
  • セキュリティ インシデント管理、電子ディスク、クラウド フォレンジック
  • サプライ チェーン管理、透明性、説明責任
  • スレッドと脆弱性の管理

CCM は、16 のドメインに沿った 133 のコントロールのフレームワークを提供し、セキュリティ上の問題の抑止、防止、検出、修正に焦点を当てています。

CSA に加え、米国国立標準技術研究所 (NIST) は、イノベーションを促進する業界標準を開発するために米国商務省が設立した非規制機関です。NIST クラウド コンピューティング ガイドラインは、特別出版 (SP) 800 シリーズに基づき公開され、連邦政府機関に適用されます。 

NIST は、クラウド サービスが、NIST のクラウド コンピューティングの定義 (NIST SP 800-145) に沿っているかを確認するレポート (NIST SP 500-322) を提供しています。このレポートでは、クラウド コンピューティング、クラウド サービス モデル、クラウド展開モデルの本質的な特徴を分析するためのガイダンスを提供します。

クラウド セキュリティのベスト プラクティス

クラウド コンピューティングは企業に多くのメリットをもたらしますが、企業は脅威から身を守るために保護対策を実施する必要があります。組織は、CSA と NIST のベスト プラクティスを実装することに加えて、次のような追加のセキュリティ制御を確立することができます。

  • 既知の信頼できるソフトウェアのみを使用する。
  • コンプライアンス規制を理解する。
  • パッチとアップグレードを適用して、クラウド インスタンスのライフサイクルを管理する。
  • クラウド セキュリティ違反を継続的にモニタリングする。 
  • 熟練したクラウド プロバイダーを選択し、厳しい要件と照らし合わせて評価する。
  • 必要に応じてワークロードを別のプロバイダーに移植できるようにする。
  • 追加のセキュリティ対策 (クラウド サービス プロバイダーが提供するものに加えて) を導入し、侵害されたクラウド インフラストラクチャから身を守る。
  • クラウド アクセス セキュリティ ブローカー (CASB) ソフトウェアを使用し、スキャンと侵入テスト製品を使用してクラウドの脆弱性テストを実行する。
  • クラウド インシデント対応計画をまとめる。
  • コンピューターやネットワーク セキュリティなど、従来のセキュリティ ソリューションを交換する。
  • セキュリティを開発チームのプロジェクトに統合するために、DevOps と DevSecOps を検討する。
  • すべてのクラウド サービスでセキュリティ プラクティスを統一し、一元化する。
  • すべてのクラウド アセットの完全なリストを維持する。
  • クラウド セキュリティのベスト プラクティスを理解する。
  • クラウド セキュリティのトレーニングを従業員を対象に行う。
  • セキュリティのベスト プラクティスに従う。
  • 自動化して人為的ミスを取り除く。
  • API を適切に保護する。

クラウド セキュリティ基準を確立すると、組織のデータ セキュリティ計画を作成できます。このカスタマイズ可能なテンプレートは、オン プレミスとクラウドでのデータの処理方法に関するガイダンスを提供します。

 
データセキュリティ計画テンプレート

データ セキュリティ計画テンプレートのダウンロード

Word

クラウドとは何か?

簡単に言えば、クラウドはインターネットであると言えます。リソース、ソフトウェア プログラム、情報、サービスなどが、クラウドを使用することによって、ローカル コンピューターではなく、インターネット上で利用することができます。これらのリソースは、データ センターのどこかの物理的なサーバーに保存されますが、クラウドを利用するとオンプレミスのハードウェア インフラストラクチャが不要になります。クラウド テクノロジーと従来のテクノロジーの比較を以下に示します。

クラウド従来
アプリケーションとデータは、サードパーティーのデータ センターに保存されます (管理が軽減される)。アプリケーションとデータは、ローカル コンピューターまたは社内のデータ センターに保存されます。
最小限のインフラ投資額高いインフラ投資額
簡単かつ迅速に拡張拡張が遅い
従量課金制 (より費用対効果が高い場合があります)使用料は関係ない定額料金

クラウドはどのように機能するのか?

クラウドを利用すると、ユーザーが場所やデバイスに関係なく、インターネット上でデータやアプリケーションにアクセスできるようにします。

パブリック クラウドは安全か?

サービス プロバイダーが安全であれば、パブリック クラウドも安全です。クラウド プロバイダーのセキュリティを評価する場合は、コンプライアンス監査を確認し、上記のベスト プラクティスに基づいた質問をし、その施設を視察します。

クラウド セキュリティの未来

多くの組織にとって、贅沢品と考えられていたクラウド サービスは、戦略的優先事項へと移行しています。クラウドに保存されている大量のデータは、ハッカー、不正行為者、サイバー犯罪者にとって巨大なターゲットとなります。これらの潜在的な脅威は大きな影響をもたらせるため、セキュリティは業界の最優先事項となっています。多要素認証と生体認証などを使い、より堅牢な認証方法がすでに使用されています。

Smartsheet による情報とデータのセキュリティの向上

ニーズに合わせ変化に対応できるようデザインされた、柔軟性のあるプラットフォームで、チームの能力を最大限に引き出しましょう。 Smartsheet プラットフォームなら、いつでもどこでも簡単に作業の計画、保存、管理、およびレポート作成が可能なため、チームはより効率的かつ効果的に仕事を進めることができるようになります。作業に関して主要なメトリックを表示したり、リアルタイムの可視性を提供したりするために、ロールアップ レポート、ダッシュボード、および自動化されたワークフローを作成する機能も装備されており、チーム メンバーをつないで情報共有を促進することが可能です。 やるべきことを明確にすると、チームの生産性と作業達成能力が向上します。ぜひこの機会に Smartsheet を無料でお試しください。

Smartsheet がこの Web サイトに掲載している記事、テンプレート、または情報などは、あくまで参考としてご利用ください。Smartsheet は、情報の最新性および正確性の確保に努めますが、本 Web サイトまたは本 Web サイトに含まれる情報、記事、テンプレート、あるいは関連グラフィックに関する完全性、正確性、信頼性、適合性、または利用可能性について、明示または黙示のいかなる表明または保証も行いません。これらの情報に依拠して生じたいかなる結果についても Smartsheet は一切責任を負いませんので、各自の責任と判断のもとにご利用ください。

これらのテンプレートはサンプルとしてのみ提供されています。これらのテンプレートは、決して法的またはコンプライアンス上のアドバイスを意味するものではありません。これらのテンプレートのユーザーは、必須の情報および目的を達成するために必要な情報を見極める必要があります。

シンプルで使いやすいプラットフォームで、従業員、プロセス、ツールをつなげましょう。

Smartsheet を無料で試す Get a Free Smartsheet Demo