クラウドコンピューティングセキュリティとは？

クラウドコンピューティングセキュリティは、クラウドセキュリティとも呼ばれ、クラウドインフラ、サービス、アプリケーション、およびクラウドに保管または処理されるデータを保護するための技術、プロセス、制御を指す包括的な用語です。

クラウドコンピューティングとは？

クラウドセキュリティの具体的な内容を掘り下げる前に、まずクラウドコンピューティングとは何かを理解する必要があります。

従来のデータ環境では、組織はバックエンドのハードウェアやその他のインフラを、オンサイトまたはデータセンター（後者は「プライベートクラウド」と呼ばれる）で所有、運用します。つまり、その組織自体がサーバーやその他のハードウェアを含むすべての設定、保守、セキュリティに責任を持ちます。

クラウドコンピューティング環境においては、企業は基本的にクラウドサービスプロバイダーからクラウドインフラを「借りる」ことになります。クラウドサービスプロバイダーは、データセンター、サーバーなどのハードウェア、海底ケーブルなどの基礎インフラをすべて所有、運用します。このため、企業はクラウドインフラの保守やセキュリティの確保から解放されるほか、拡張性の高さや従量制の価格設定など、多くのメリットを得ることができます。

すべてのクラウドコンピューティングサービスが同じように作られているわけではありません。クラウドサービスには主として 3 つのタイプがあり、現代の組織は通常、これらすべてを組み合わせて使用しています：

Software-as-a-Service（SaaS、サービスとしてのソフトウェア）は、クラウドサービスの中で最も一般的なタイプです。知らず知らずのうちに、ほぼすべての人が SaaS アプリケーション（アプリ）を使っています。インターネット上で配信される SaaS 製品は、モバイルアプリ、デスクトップアプリ、またはウェブブラウザを通じてアクセスします。SaaS アプリには、Gmail や Netflix のような消費者向けのアプリから、Salesforce や Google Workspace オフィススイートのようなビジネスソリューションまでが含まれます。

Infrastructure-as-a-Service（IaaS、サービスとしてのインフラ）は、主に企業向けのクラウドサービスですが、テクノロジー愛好家の中には、個人で IaaS サービスを購入する人もいます。クラウドサービスプロバイダーは、サーバー、ストレージ、ネットワーク、仮想化などのインフラサービスを提供し、顧客はオペレーティングシステムとデータ、アプリケーション、ミドルウェア、ランタイムを扱います。「パブリッククラウド」といえば、通常は IaaS を指します。パブリッククラウドプロバイダーの例としては、業界のビッグ 3 が挙げられます：Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Microsoft Entra ID (Azure) です。

Platform-as-a-Service（PaaS、サービスとしてのプラットフォーム）ソリューションは、開発者向けに開発されたものです。顧客はアプリケーションとデータを管理し、クラウドプロバイダはオペレーティングシステム、ミドルウェア、ランタイムを含む他のすべてを処理します。言い換えれば、PaaS ソリューションは、開発者が OS やソフトウェアのアップデートを気にすることなく、アプリケーションを構築、デプロイ、管理する上で、すぐに使える環境を提供するものです。PaaS の例としては、AWS Elastic Beanstalk、Heroku、Google App Engine などがあります。一般的に、PaaS は IaaS と組み合わせて使用されます。例えば、ある企業がホスティングに AWS、アプリケーション開発に AWS Elastic Beanstalk を使用することがあります。

クラウドプロバイダーは何に責任を持ち、クラウドカスタマーは何に責任を持つのかを理解することが、クラウドセキュリティを理解する鍵になります。

クラウドセキュリティとは？

クラウドセキュリティは、責任共有モデルと呼ばれるものに基づいています。このモデルでは：

クラウドプロバイダーは、クラウド（物理的なデータセンター、海底ケーブルなどのその他の資産、論理的なクラウドインフラ）のセキュリティに責任を負います。
クラウド上のセキュリティ、つまりクラウド上に常駐させるアプリケーション、システム、データについては、お客様の組織が責任を負います。

これは、セルフストレージを借りるのと同じようなものと考えられます。あなたは、ユニット内の荷物を安全に保管する責任があります。つまり、ユニットのドアをロックし、鍵を安全に保管することが必要です。セルフストレージの会社は、ゲート付きエントランス、カメラ、共用部の適切な照明、警備員などの管理を通じて、複合施設全体の安全を確保する責任があります。セルフストレージのプロバイダーは、ストレージセンターのセキュリティに責任を持ちますが、自分のユニットのセキュリティに関してはあなたが責任を持ちます。

クラウドセキュリティの仕組みとは？

SaaS アプリ、IaaS（パブリッククラウド）デプロイメント、PaaS 開発者プラットフォームのいずれについても、クラウドセキュリティはアイデンティティとアクセス管理（IAM）とデータ損失防止（DLP）に大きく基づいています。

セルフストレージの例で説明すると、もしあなたがストレージの鍵を放置し、誰かがそれを盗んであなたのユニットにアクセスした場合、ストレージプロバイダーのセキュリティ管理が失敗したのではなく、自分のセキュリティ管理が失敗したことになります。同様に、Gmail アカウントや GCP 管理コンソールを保護する上で脆弱で推測しやすいパスワードを使用し、脅威者がそれを侵害した場合、セキュリティの失敗は Google ではなく、あなたの側にあるのです。

クラウドセキュリティは、不正アクセスやデータの盗難を防ぐだけでなく、人為的なミスや過失によるデータの消失や破損を防ぎ、万が一データが消失した場合には確実にデータを復旧させ、個人の健康記録への不正アクセスを禁じた HIPAA などのユーザーのプライバシーに関する法律を遵守することを目的としています。クラウドセキュリティは、セキュリティ事故への対応、災害復旧、事業継続計画の根幹をなします。

一般的なクラウドセキュリティ対策は以下の通りです：

ロールベースのアクセス制御（RBAC）や最小特権アクセスなどの IAM 制御により、従業員は業務に必要なアプリケーションやデータのみにアクセスでき、それ以上のアクセス権を持ちません。
機密データを特定、分類し、使用状況のモニタリングとデータの誤用を防止（エンドユーザーに機密情報を企業のビジネスネットワーク外で共有させないなど）する DLP ツール
転送中および停止中のデータの暗号化
セキュアなシステム設定とメンテナンス

クラウドセキュリティにリスクはある？

ここでは、クラウドセキュリティに関する最大の課題とリスクについて紹介します。

クラウドではネットワーク境界がないため、攻撃対象が大幅に拡大します。クラウドへの移行時に組織が犯す最大の過ちのひとつは、現在使用しているセキュリティツールやポリシーをすべてそのまま移行できると考えてしまうことです。クラウドセキュリティの多くの側面はオンプレミスと同じですが、クラウドには定義されたネットワーク境界がないため、クラウド環境のセキュリティ確保はオンプレミスのハードウェアのセキュリティ確保とはまったく異なっています。
特に今日の高度に複雑なデータ環境では、クラウドでの可視性が欠如していることがあります。たったひとつのパブリッククラウドを使用している組織は稀です。ほとんどの組織は、少なくとも 2 つのパブリッククラウド（マルチクラウド環境と呼ばれています）を使用するか、パブリッククラウドとオンプレミスのインフラを組み合わせて使用しています（ハイブリッドクラウド環境と呼ばれます）。しかし、残念ながら、各クラウド環境には固有のモニタリングツールが付属しており、IT 管理者や DevOps 担当者がデータ環境を通して何が起こっているのかについての全体像を把握することは困難です。
たとえパブリッククラウドをひとつしか使用していない組織であっても、可視性に関するもう 1 つの問題があります。それは、ワークロードのスプロールです。仮想マシン（VM）とコンテナは簡単にスピンアップできるため、あっという間に増殖してしまいます。セキュリティが損なわれるだけでなく、未使用の VM やコンテナは、クラウドサービスの請求額を膨らますことになります。
シャドー IT、つまりセキュリティ担当者の審査を受けていないアプリを従業員が使用することも、クラウドにおける懸念事項のひとつです。
企業は、レガシーシステムやソフトウェアとの互換性の問題に直面することがあります。特にレガシー LOB（Line of Business）アプリは、現実的にはクラウド用に置き換えたりリファクタリングすることができません。
また、クラウドフォルダにセンシティブなデータが含まれているにもかかわらず、不注意で公開設定にしてしまうなど、クラウドの設定ミスも問題となっています。

クラウドコンピューティング・セキュリティのベストプラクティス

共有責任モデル、および組織がセキュリティ保護に責任を持つものと持たないものを完全に理解していることを確認してください。当たり前のように聞こえるかもしれませんが、誰が何に責任を持つかを整理することは、特にハイブリッド環境においては簡単なことではありません。

クラウドコンピューティングの利点のひとつは、どこからでも、どんなデバイスを使用していてもリソースにアクセスできることです。しかし、セキュリティの観点からは、保護すべきエンドポイントが増えることを意味します。エンドポイントセキュリティとモバイルデバイス管理ツールにより、アクセスポリシーの適用、アクセス検証ソリューション、ファイアウォール、アンチウイルス、ディスク暗号化、その他のセキュリティツールの導入が可能になります。その他のクラウドコンピューティングにおけるベストプラクティスは以下の通りです：

クラウド上で保管または処理するすべてのデータを、転送中および停止中の両方で暗号化する
環境の脆弱性をスキャンし、発見された場合はできるだけ早くパッチを適用する。
ランサムウェア攻撃や災害に備えて、定期的なデータバックアップを実施すること。
データ環境におけるすべてのユーザーとネットワークの活動を記録し、モニタリングする。
クラウドの設定は非常に慎重に。経験則としては、デフォルトの設定をそのままにしておくことはほとんどありません。クラウドプロバイダーのセキュリティ設定やツールを最大限に活用し、新しいツールや機能拡張に対応するようにしましょう。
ネットワークのセグメンテーションと、ロールベースのアクセス、最小特権アクセス、強力なパスワード、デバイス承認、多要素認証（MFA）を含む強力なアイデンティティとアクセス管理（IAM）ツールおよびコントロールを完備した、ゼロトラストのセキュリティポリシーを導入すること。