クラウド セキュリティが実現する、より盤石な保護にご興味がおありですか?まずは無料のセキュリティ プレビュー テストで、現状ランサムウェアやその他の脅威から組織がどの程度保護されているか確認しましょう。
リモート ワークやクラウドの導入をきっかけとしてデジタル トランスフォーメーションが加速しましたが、従業員やデータ、クラウド アプリの分散が進むにつれて、ローカルの従業員とリソースを中心に構築された従来型のネットワーク モデルでは、作業速度と安全性が低下してしまいます。セキュリティや生産性、ユーザー満足度を損ねる負の効果に対処するためには、この環境を保護する方法について再考する必要があります。
その一方、皮肉なことに、クラウド移行を行わない主な理由としてセキュリティ上の懸念を挙げる組織は数多く存在します。しかし、イノベーションが経済を牽引すると同時に、サイバー犯罪の勢いも増してきている現在の複雑な状況下では、クラウド サービスの柔軟性とスケーラビリティーが必要となるのは間違いありません。そして、これを効果的に提供できるのは、クラウド固有のニーズを満たせる限られたクラウド セキュリティ ソリューションのみです。
脆弱な箇所が1つでも存在すれば、クラウド環境全体のセキュリティが損なわれていまいます。そのため、効果的なクラウド セキュリティを実現するには、複数のテクノロジーを組み合わせ、あらゆる角度からデータとアプリケーションを保護する必要があります。これには多くの場合、ファイアウォール、アイデンティティーとアクセス管理(IAM)、セグメンテーション、そして暗号化が含まれますが、セキュリティのニーズはクラウドの種類によって異なることがあります。
クラウド セキュリティでは、境界を保護するのではなく、リソースとデータを個別に保護します。したがって、クラウド セキュリティ ポスチャー管理(CSPM)、データ保護、データ セキュリティ、ディザスター リカバリーなどのよりきめ細かい具体的なセキュリティ対策、およびコンプライアンス要件に準拠するための多数のツールを実装することになります。
クラウド環境、特にパブリック クラウドとリモートまたはオンプレミスのプライベート データ センターを組み合わせたハイブリッド クラウドには、内部および外部の脆弱性が数多く存在する可能性があります。そのため、アクセス制御、多要素認証、データ保護、暗号化、構成管理などを活用して、アクセス性と安全性の両方を維持することが重要となります。
クラウド コンピューティングは単に「クラウド」として捉えられる場合も多く、ローカルのハードウェアやネットワークだけでなく、インターネット経由でアプリケーションやデータ、システムなどにアクセスする手段として、世界各地で普及が進んでいます。これにより、データ、アプリ、そしてインフラストラクチャーの一部をサード パーティーに委ねることができるようになりました。このようなサード パーティーは、サービスに応じてさまざまなレベルでこれらのリソースの管理と保護を提供します。
SaaS製品、クラウド ストレージ、および各種プラットフォームやインフラストラクチャー サービスは、Amazon Web Services (AWS)、Microsoft Azure、Google Cloudなどのパブリック クラウド サービス プロバイダーから提供されています。
政府当局や金融機関を含む一部の組織では、機密性の高いリソースをより適切に保護するためにプライベート クラウドを採用しています。まとめると、クラウド インフラストラクチャーには、メインとなる4つのサービス モデルと併せて4つのサブタイプが存在します。
クラウドの4つのサブタイプは以下のとおりです。
また、4つのクラウド サービス モデルは以下のとおりです。
クラウドは、リソースをフレキシブルに構築、導入、使用、およびメンテナンスする上で役立ちます。また、ハードウェアに関する責任を組織が負う必要はないため、スケーラビリティーを確保するためのアプライアンスに追加投資することなく、必要な分だけクラウド サービスを利用することができます。
ただし、リソースをネットワークの外に移動させると、境界に基づく保護は機能しなくなるため、従業員の働き方や働く場所をはじめ、セキュリティの問題の特定や脆弱性の軽減、マルウェアの阻止、情報漏洩の防止を最も効果的に行う方法について再考する必要性に迫られます。
Gartner, The Future of Network Security is in the Cloud
ここで、クラウド セキュリティが組織にどのようなメリットをもたらすか、そしてかえってクラウドのリスクを増大させる潜在的な可能性について見ていきましょう。
このように短所が並ぶとやや尻込みしてしまうかもしれません。しかし、この短所は適切な注意義務の実施と慎重なパートナーの選択で克服できるため、結果的に長所が持つ価値を十分に享受できます。
ネットワーク セキュリティ スタックは、クラウドではなく企業ネットワークを保護することを念頭に設計されており、現在のクラウドベースのアプリケーションやモバイル ユーザーが必要とする、総合的なサイバーセキュリティとクラウド データ保護を提供することはできません。コストや複雑さを増大させることなく、ビジネスにおいて極めて重要なSaaSアプリ(Microsoft 365など)をサポートし、帯域幅を大量に消費する他のサービスやより多くのネットワーク トラフィックを処理するには、弾力的に拡張できるマルチテナント セキュリティ プラットフォームが必要となります。旧来のネットワーク セキュリティ アーキテクチャーでは、これを実践できません。
接続場所を問わず、アプリケーション、ワークロード、クラウド データ、ユーザーを保護する最善の方法は、セキュリティとアクセス制御をクラウドに移行することです。クラウドベースのセキュリティは常に最新の状態に保たれ、最新のランサムウェアやその他の高度な脅威からデータとユーザーを保護することができます。
総合的なクラウド セキュリティ プラットフォームには、セキュリティ サービスとクラウド アクセス制御が組み込まれており、クラウドとオンプレミスからなる分散されたネットワーク内を移動するすべてのトラフィックを可視化します。また、単一のインターフェースを通じて、世界中のユーザー、場所、サーバー、エンドポイント デバイスごとに、すべてのリクエストをわずか数秒間で把握できます。加えて、SD-WANやクラウド アクセス セキュリティ ブローカー(CASB)、IAM、およびエンドポイント保護サービスを提供するプロバイダーなど、他のクラウド サービス プロバイダーとのAPI統合によってセキュリティ ポスチャーがさらに強化されます。
やる価値のあることは容易に成し遂げられないとよく言われますが、クラウド セキュリティについても同じことが言えます。セキュリティ管理を簡素化して可視性を高める効果が期待できる一方、対処すべき課題は確実に存在します。ここでは、そのような課題のいくつかを詳しく見ていきましょう。
クラウド プロバイダーは継続的にサービスを追加しており、このようなサービスへの個別のエンタイトルメントの平均数は5,000を超えています。これほどの量のエンタイトルメントは、これまでのアイデンティティーおよびアクセス管理(IAM)のアプローチで管理するのは困難になる場合があります。
総合的かつ精度の高いログは、インシデント対応を適切に行う上で不可欠です。多くの企業では、インストール アカウントはこの目的のための機能が不十分であり、すべてを十分にログに記録することができません。
キュー管理サービスや通知サービスには、処理されて適切なセキュリティ対策が適用される前の機密情報が存在することが多いのですが、この機密性が軽視されがちで、多くのサービスにはサーバー側の暗号化機能がありません。
クラウド環境と言えども、マルウェアやランサムウェア攻撃を受けないとは限りません。攻撃者が企業に侵入する最も一般的な方法は、正しく設定されていない資産、脆弱なパスワードの悪用、不十分なポリシー制御の悪用といった、「手順ミス」または「設定ミス」の悪用です。
クラウド環境では、サプライチェーン攻撃のリスクが高く、コンプライアンスのリスクにつながる恐れもあります。セキュリティチームは、クラウド環境におけるサードパーティのリスクを最小限にするよう注力する必要があります。このリスクが、サプライチェーン攻撃の余地となりかねないからです。
一貫性のあるポリシーを適用することでユーザーを保護するうえで必要とされるのは、URLやWebのフィルタリングだけではありません。これこそが、多くの組織がITセキュリティをアプライアンスからクラウドのセキュリティ制御へと移行している理由です。アプライアンスベースのセキュリティとクラウド提供型のアプローチには、次のような違いがあります。
アプライアンスベースのセキュリティでは、すべての出力ポイントでセキュリティ スタックが必要になるか、支店やリモート サイトからDMZまでコストの高いMPLSリンクでトラフィックをバックホールする必要があります。また、モバイル ユーザーは保護されません。
クラウドベースのセキュリティにより、ユーザーは本社、支店、外出先、自宅のどこにいても、同一の保護を受けることができます。
アプライアンスベースのセキュリティでは、異なるベンダーのポイント アプライアンスが個別に動作するため、そのデータを集約する簡単な方法はありません。
クラウドベースのセキュリティであれば、統合型のセキュリティ制御とクラウド サービスによって情報を関連付け、ネットワークの完全な全体像を把握することができます。
アプライアンスベースのセキュリティでは、ユーザーとインターネットの間にあるすべてのアプライアンスが遅延を引き起こします。ユーザーがVPNでデータ センターに接続する必要がある場合、エクスペリエンスはさらに低下します。
Zscalerのクラウドベースのセキュリティは高速なローカル ブレイクアウトを提供し、またSingle-Scan, Multi-Action (SSMA)テクノロジーで複数のセキュリティ サービスが同時にスキャンを行うことで、より高速なパフォーマンスを実現します。
アプライアンスベースのセキュリティでは、複数のセキュリティ ベンダーのアプライアンスの導入と維持のために継続的なパッチ適用、アップデート、ハードウェア アップグレードが必要であり、コストが高いうけに困難でもあります。
クラウドベースのセキュリティはポイント製品を統合されたプラットフォームに統一します。ハードウェアやソフトウェアの購入や管理は不要です。
アプライアンスベースのセキュリティでは一般的に、ポイント製品が脅威を特定するのに1つの手法を適用し、次のアプライアンスにデータを渡します。パッチは利用可能になってから適用されます。
クラウドベースのセキュリティはさまざまなソースからインテリジェンスを収集し、クラウド上のどこかで脅威が検出されるたびに、あらゆる場所で保護を展開します。Zscalerは毎日、セキュリティ アップデートだけにとどまらない対策をクラウドに適用しています。
アプライアンスベースのセキュリティは購入と所有のコストが高いうえ、脅威が増すたびにアプライアンスをさらに買い足す必要があります。
Zscalerのクラウドベースのセキュリティはセキュリティ関連費用を資本的支出から変動費へと変え、ユーザー1人あたりコーヒー1杯程度の月額で利用できます。
クラウド セキュリティは、境界を保護するだけでなく、セキュリティをデータにまで適用することを目的としています。一般的な対策としては、以下が挙げられます。
クラウドが主流となっていく過程においては、これらのテクニックがクラウドを保護する一般的な手段でしたが、現在では脅威アクターの能力が各段に上昇しており、コンプライアンス要件として以前よりも強力なセキュリティとデータ保護が求められています。このような状況に対処するために、クラウド セキュリティは進化が必要となったのです。
クラウドは世界規模でテクノロジーを取り巻く環境を変え、クラウド セキュリティもそれに伴って変化してきています。最近では、セキュリティ サービス エッジ(SSE)とゼロトラストのトピックにおいて、この変化がより明確になっています。
業界のトレンドとなっているSSEは、リモート ワーク、クラウド、セキュア エッジ コンピューティング、デジタル トランスフォーメーションに関連する基本的な課題を解決し、インターネット、SaaS、クラウド アプリ、および組織のプライベート アプリケーションへの安全なアクセスを提供しています。
SSEの重要な構成要素であるゼロトラストも、採用が急速に進んでいます。ゼロトラストのアプローチは、ユーザーやエンティティーは本質的に信頼してはならないという考えに基づいており、特定のコンテキスト(アイデンティティー、コンテンツ、場所、デバイスなど)に応じてデータやアプリケーションへのアクセスを許可しつつ、ユーザー エクスペリエンスも強化できます。
今やエンドポイント、リソース、およびデータはいたるところに存在し、クラウドのメリットはオンプレミス テクノロジーを凌ぐようになってきています。クラウド環境を保護することは、データ侵害を防ぐとともにユーザーの満足度と生産性を維持できるテクノロジーに投資することを意味しますが、現在それを実現できるセキュリティの考え方はゼロトラストのみです。
Cybersecurity Insidersによると、72%の組織がゼロトラストの採用を優先事項としています。時代遅れでサイロ化されたセキュリティ ツールには、アクセス元の場所に関わらず、すべてのクラウド リソースを保護するキャパシティーやスケーラビリティーがないことを理解しているためでしょう。
ゼロトラスト サービスを比較評価する際、どのベンダーもゼロトラストを提供していると謳っている可能性があることに注意してください。多くのベンダーはクラウド プラットフォームを従来型のネットワーク アプライアンスに追加し、それを「クラウド対応」としていますが、本当に必要なのは、クラウド向けにクラウドで構築されたゼロトラスト ソリューションを備えたパートナーです。
Zscalerは、クラウド ワークロードのセキュリティ管理における課題を解決します。Zero Trust Exchange™の一部であるZscaler Cloud Protectionでは、ネイティブに統合された4つのデータ保護ソリューションを組み合わせ、以下を実現できます。
これらのソリューションを組み合わせることで、セキュリティ ポリシーを最大90%排除し、コストを30%以上削減することが可能になります。最終的には、攻撃対象領域を最小限に抑えながら自動化によってセキュリティ戦略を簡素化して、セキュリティ リスクを劇的に抑えることができます。
Zscaler Cloud Protectionは、運用を複雑化することなく、クラウドのワークロードを安全に保護します。革新的なゼロトラスト アーキテクチャーにより、セキュリティ ギャップや設定ミスの自動的な修正、攻撃対象領域の最小化、ユーザーとアプリ、アプリ同士のコミュニケーションの保護、脅威の水平移動の排除を行い、最終的にビジネス リスクを低減します。詳細については、Zscaler Cloud Protectionのページをご覧ください。
クラウド セキュリティが実現する、より盤石な保護にご興味がおありですか?まずは無料のセキュリティ プレビュー テストで、現状ランサムウェアやその他の脅威から組織がどの程度保護されているか確認しましょう。
2022年 セキュリティ・サービス・エッジ(SSE)のMagic Quadrant™
レポート全文を見るZscaler Cloud Protectionの概要
資料を見るゼロトラスト アプローチによるクラウド トランスフォーメーションの保護
ホワイト ペーパーを読む2020年のクラウド セキュリティの現状
ブログを読む(英語)