世界中の組織が市場投入までの時間の短縮、応答性の向上およびコスト削減を実現するため、ワークロードを急速にクラウドに移行し続けている中で、多くの組織にとってクラウドにおけるセキュリティが最大の関心事の一つであることは驚くことではありません。

 今回は、クラウドの特徴をおさらいしつつ、クラウドセキュリティのポイントを考察したいと思います。

• 1. クラウドの特徴とリスク
• 2. クラウドセキュリティの責任
• 3. クラウドセキュリティのベストプラクティス
• 4. クラウドセキュリティ監視運用のアウトソース
• 5. まとめ

1. クラウドの特徴とリスク

 NIST SP 800-145「The NIST Defenition of Cloud Computing」では、クラウドは次の5つの基本的な特性で構成されるモデルと定義しています。

1. オンデマンドセルフサービス （On-demand self-service）
   • 人手を介在せずに、利用者がサーバーやネットワーク、ストレージなどの資源をプロビジョニングできること
     
     
2. 広範なネットワーク経由でのアクセス （Broad network access）
   • 各種端末（携帯電話やノートパソコン、PDA など）からネットワークを経由して標準的な通信方式でアクセスができること
     
     
3. リソースプーリング （Resource pooling）
   • 複数の利用者に対してクラウド資源がマルチテナントモデルで提供されること
     
   • 一般的にそこで供給されるリソースの正確な位置を利用者が制御したり、把握したりすることはない
     
     
4. 迅速な伸縮性 （Rapid elasticity）
   • 迅速にスケールアウト/ スケールインすることが可能であること
   • 利用者にとって、このリソースが無限に利用できるように見え、必要なときに必要なだけ購入できること
     
     
5. 計測可能なサービス （Measured Service）
   • 自動的にリソース利用を制御し最適化すること
   • このリソース利用量の計測結果については、プロバイダーと利用者の双方に透明性があるように監視、制御、報告されること

 クラウド・コンピューティングは構成可能なコンピューティングリソース (ネットワーク、サーバー、ストレージ、アプリケーション、サービスなど) の共有プールへのユビキタスで便利なオンデマンド・ネットワーク・アクセスを可能にするモデルであり、最小限の管理労力で迅速にプロビジョニングおよびリリースできます。

 一方でマルチテナントゆえのデータ侵害、データ損失、情報漏洩のリスク、不適切なプロビジョニングゆえの不正利用のリスク、またクラウドアクセスに必要なネットワークへのDDoS攻撃のリスクなどが潜んでいることは想像に難くありません。

 クラウドのセキュリティリスクの多くは、クラウドの特性や環境と深い関係があります。

2. クラウドセキュリティの責任

 多くのパブリッククラウドプロバイダーは責任共有モデルを採用していますが全ての責任はクラウドプロバイダーにあると誤解しているクラウド利用者も決して少なくはありません。

 3つのサービスモデルである IaaS、PaaS、SaaS によって利用者の責任範囲は異なりますが全てのサービスモデルで共通なことは「情報・データガバナンス」、「IDアクセス管理」、「クライアントデバイス管理」は利用者の責任であるということです。PaaS ではこれらに加えアプリケーションまで、さらにIaaSではOSまでが利用者の責任となります。

 それぞれの責任のレイヤにおいて、対応すべきセキュリティ項目には次のようなものがあります。

1. ガバナンス（IaaS, PaaS, SaaSいずれにおいても利用者の責任）
   • 多数のアカウントの統合管理
   • 全社的なポリシーの実施
   • ログ・イベント監視、脅威検知
   • 定期的な監査、維持
   • レスポンス対応
     
     
2. ストレージ・データ（IaaS, PaaS, SaaSいずれにおいても利用者の責任）
   • 暗号化（鍵管理）
   • アクセス制御
   • 機密情報の管理
   • アクセスログ
   • 冗長化、バックアップ
     
     
3. ユーザアクセス（IAM）（IaaS, PaaS, SaaSいずれにおいても利用者の責任）
   • 認証
   • パスワードポリシー
   • 多要素認証
   • アクセス権限の付与
   • 監査イベント
     
     
4. アプリケーション（IaaS, PaaSにおいて利用者の責任）
   • 認証、アクセス制御
   • アプリの脆弱性、コンプライアンス管理
   • 脅威防御、DDoS対策
   • 通信、データ暗号化
     
     
5. ネットワーク（IaaSにおいて利用者の責任）
   • アクセス制御
   • エンティティ間の通信制御
   • 通信の暗号化、証明書管理
   • フローログ
     
     
6. コンピュート（IaaSにおいて利用者の責任）
   • OSの脆弱性、アップデート
   • 設定の適正化
   • ランタイム防御
   • アンチマルウェア
   • 操作ログ、インシデント

3. クラウドセキュリティのベストプラクティス

 セキュリティ原則は基本的にはオンプレミスと同じですが、多くの場合、実装は大きく異なります。マイクロソフト社ではクラウドセキュリティに関する5つのベストプラクティスを公開しており、参考になるのでご紹介します。

Five Best Practices for Cloud Security（Microsoft Azure）

3-1. アクセス制御の強化
 侵害を想定し、攻撃者がネットワーク境界を侵害することを前提に保護する。すべてのIDを検証して保護し、デバイスの正常性を検証し、最小特権アクセスを適用し、テレメトリをキャプチャして分析するゼロトラストアプローチが必要。

• 多要素認証の導入
  次の認証方法のうち2つ以上を要求する。
  
  • あなたが知っているもの (通常は、パスワード)
  • あなたが持っているもの (電話など、簡単に複製できない信頼できるデバイス)
  • あなたであるもの (バイオメトリクス)
• 条件付きアクセスポリシーの適用
  条件に基づいてクラウドアプリにアクセスするための自動化されたアクセス制御の決定を実装する。
• 最小限の特権アクセスの確保
  マルチクラウド環境でのアクセス管理を簡素化し、最小権限ポリシーの適用を一貫して自動化、最も機密性の高いクラウド リソースを保護する。

3-2. セキュリティ態勢の改善
 クラウドの動的な性質と、増え続けるワークロードやその他のリソースのランドスケープにより、クラウドでの会社のセキュリティ状態を理解することは困難な場合がある。現在の環境を評価し、リスクを特定して軽減するために必要なツールが必要になる場合がある。

• 現在の態勢の評価と強化
  業界のベストプラクティスと規制基準にマッピングされた推奨事項を確認する。
• 利害関係者の教育
  主要な関係者と共有できるインタラクティブなレポートを作成して、セキュリティ チームが組織のクラウド セキュリティ体制を継続的に改善していることを示す。
• ポリシーに関する DevOps チームとの協力
  DevOps チームは、主要なポリシーを理解して実装し、開発ライフサイクルの最初にアプリケーション セキュリティを展開する。

3-3. アプリとデータの保護
 ID、データ、ホスト、ネットワーク全体にわたるセキュリティ戦略により、データ、アプリ、インフラストラクチャを保護する。

• 暗号化
  保管中および転送中のデータを暗号化し、コンフィデンシャル コンピューティング テクノロジを使用して使用中のデータを暗号化することも検討する。
• セキュリティのベストプラクティスに従う
  オープンソースの依存関係に脆弱性がないことを確認する。さらに、セキュリティ開発ライフサイクルなどのセキュリティのベスト プラクティスについて開発者をトレーニングする。
• クラウド利用者はクラウドプロバイダーと責任を共有する
  オンプレミス利用からクラウド利用によって、クラウドプロバイダーに責任が一部移るが、クラウドをどのように使用するかによって、クラウド利用者の責任範囲が変わる。クラウド利用者の責任がゼロになることはない。

3-4. 脅威からの防御
 セキュリティインテリジェンスからの情報に基づいて、急速に進化する脅威を早期に特定し、迅速に対応できるようにする。

• すべてのリソースタイプの検出の有効化
  仮想マシン、コンテナー、データベース、ストレージ、IoT、およびその他のリソースに対して脅威検出が有効になっていることを確認する。
• 脅威インテリジェンスの統合
  脅威インテリジェンスを統合し、必要なコンテキスト、関連性、および優先順位を提供するクラウドプロバイダーを使用する。
• SIEMのモダナイゼーション
  ニーズに合わせてスケーリングし、AI を使用してノイズを削減し、インフラストラクチャを必要としないクラウドネイティブSIEMを検討する。

3-5. ネットワークの保護
 ネットワークセキュリティの状況変化に対応するために、セキュリティソリューションは進化する脅威環境の課題に対応し、攻撃者によるネットワーク悪用を困難にする必要がある。

• 強力なファイアウォール保護の維持
  境界を保護し、敵対的な活動を検出し、対応を構築するには、適切な管理が必要。
• DDoS防御の有効化
  アプリケーション層とネットワーク層を標的とする悪意のあるトラフィックからWeb資産とネットワークを保護する。
• マイクロセグメント化されたネットワークの作成
  フラットなネットワークでは、攻撃者が横方向に移動しやすくなる。 仮想ネットワーク、サブネット プロビジョニング、IP アドレッシングなどの概念をよく理解して、 マイクロセグメンテーションを使用し、マイクロ境界の概念を取り入れて、ゼロトラスト ネットワーキングをサポートする。

4. クラウドセキュリティ監視運用のアウトソース

 クラウド利用者が自身の責任範囲を脅威から保護するために、ベストプラクティスの全てを自ら実施することが困難な場合があります。

• クラウド利用者のセキュリティ監視運用の課題
  • 日々進化する攻撃手法をキャッチアップしなければいけない
  • 精度の高い分析が必要である
  • 適切に予防的対策を講ずる必要がある
  • 脅威インテリジェンスを収集し、活用する必要がある
  • セキュリティ人財を確保しなければいけない
  • 24/365体制が必要である
  • インシデントが発生した場合は確実に検知しなければいけない
  • インデントを速やかに是正しなければいけない
    

 このような課題に直面しているクラウド利用者の1つの解が、クラウド利用者のニーズに合った外部のSOCサービスを有効活用することです。

5. まとめ

 本稿では、まずクラウドの基本的な特性を理解し、その上で考えうるクラウド上のセキュリティリスクを考察しました。さらには多くのパブリッククラウドプロバイダーが採用する責任共有モデルに触れ、クラウド利用者のセキュリティの責任範囲と各々のレイヤにおける代表的なセキュリティ項目を再確認しました。

 続いて、クラウドセキュリティの5つのベストプラクティスを紹介しました。セキュリティは継続が必要です。これらの全てのベストプラクティスを自ら継続することが難しい場合は、ぜひ自身のニーズにあった外部のSOCサービスの利活用をご一考頂くことをお薦めいたします。

• JTPのマルチクラウド対応型SOCサービス
  JTP株式会社はクラウド運用サービス「Kyrios」の機能拡張にて、「マルチクラウドに対応したSOCサービス」を提供していますので、お気軽にお問い合わせください。
  www.jtp.co.jp