クラウド セキュリティとは

クラウド セキュリティが重要な理由

リモート ワークやクラウドの導入をきっかけとしてデジタル トランスフォーメーションが加速しましたが、従業員やデータ、クラウド アプリの分散が進むにつれて、ローカルの従業員とリソースを中心に構築された従来型のネットワーク モデルでは、作業速度と安全性が低下してしまいます。セキュリティや生産性、ユーザー満足度を損ねる負の効果に対処するためには、この環境を保護する方法について再考する必要があります。

その一方、皮肉なことに、クラウド移行を行わない主な理由としてセキュリティ上の懸念を挙げる組織は数多く存在します。しかし、イノベーションが経済を牽引すると同時に、サイバー犯罪の勢いも増してきている現在の複雑な状況下では、クラウド サービスの柔軟性とスケーラビリティーが必要となるのは間違いありません。そして、これを効果的に提供できるのは、クラウド固有のニーズを満たせる限られたクラウド セキュリティ ソリューションのみです。

クラウド セキュリティの仕組み

脆弱な箇所が1つでも存在すれば、クラウド環境全体のセキュリティが損なわれていまいます。そのため、効果的なクラウド セキュリティを実現するには、複数のテクノロジーを組み合わせ、あらゆる角度からデータとアプリケーションを保護する必要があります。これには多くの場合、ファイアウォール、アイデンティティーとアクセス管理(IAM)、セグメンテーション、そして暗号化が含まれますが、セキュリティのニーズはクラウドの種類によって異なることがあります。

クラウド セキュリティでは、境界を保護するのではなく、リソースとデータを個別に保護します。したがって、クラウド セキュリティ ポスチャー管理(CSPM)、データ保護、データ セキュリティ、ディザスター リカバリーなどのよりきめ細かい具体的なセキュリティ対策、およびコンプライアンス要件に準拠するための多数のツールを実装することになります。

クラウド環境、特にパブリック クラウドとリモートまたはオンプレミスのプライベート データ センターを組み合わせたハイブリッド クラウドには、内部および外部の脆弱性が数多く存在する可能性があります。そのため、アクセス制御、多要素認証、データ保護、暗号化、構成管理などを活用して、アクセス性と安全性の両方を維持することが重要となります。

クラウド コンピューティングとは

クラウド コンピューティングは単に「クラウド」として捉えられる場合も多く、ローカルのハードウェアやネットワークだけでなく、インターネット経由でアプリケーションやデータ、システムなどにアクセスする手段として、世界各地で普及が進んでいます。これにより、データ、アプリ、そしてインフラストラクチャーの一部をサード パーティーに委ねることができるようになりました。このようなサード パーティーは、サービスに応じてさまざまなレベルでこれらのリソースの管理と保護を提供します。

クラウド サービスの種類

SaaS製品、クラウド ストレージ、および各種プラットフォームやインフラストラクチャー サービスは、Amazon Web Services (AWS)、Microsoft Azure、Google Cloudなどのパブリック クラウド サービス プロバイダーから提供されています。

政府当局や金融機関を含む一部の組織では、機密性の高いリソースをより適切に保護するためにプライベート クラウドを採用しています。まとめると、クラウド インフラストラクチャーには、メインとなる4つのサービス モデルと併せて4つのサブタイプが存在します。

クラウドの4つのサブタイプは以下のとおりです。

• プライベート クラウド：1つの組織によって使用され、サード パーティーまたは組織自体が所有する専用のインフラストラクチャーであり、これらの所有者がセキュリティ管理のすべての要素に関して責任を負います。
• パブリック クラウド：サード パーティーが所有し、複数の組織間で共有されるインフラストラクチャーであり、責任共有モデルに従ってプロバイダーとセキュリティ上の責任が共有されます。
• ハイブリッド クラウド：プライベート クラウドとパブリック クラウドを組み合わせた形で導入され、スケーラビリティー(パブリック クラウド)や厳密な管理(プライベート クラウド)のようなそれぞれの長所を生かした使い分けが可能です。
• マルチクラウド：一般的には、同じアプリケーションにアクセスする必要があるか、同じセグメンテーションとプライバシー要件(例：PCI DSS)を有する組織間で共有されるインフラストラクチャーです。

また、4つのクラウド サービス モデルは以下のとおりです。

• Software as a service (SaaS)：クラウド提供型の有料または無料の完全なソフトウェア ソリューション(例：Google Docs)。
• Platform as a service (PaaS)：開発者がスケーラブルな環境でアプリケーションを構築、テスト、導入するために使用できるクラウド提供型のツール。
• Infrastructure as a service (IaaS)：サード パーティーによって管理され、組織がソフトウェアをインストールできる仮想インフラストラクチャー。
• Functions as a service (FaaS)：PaaSに似ているものの、アプリの個々の機能に適しており、非常に迅速に立ち上げまたは削除が可能なインフラストラクチャー(別名：サーバーレス コンピューティング)。

クラウド コンピューティングのセキュリティ リスク

クラウドは、リソースをフレキシブルに構築、導入、使用、およびメンテナンスする上で役立ちます。また、ハードウェアに関する責任を組織が負う必要はないため、スケーラビリティーを確保するためのアプライアンスに追加投資することなく、必要な分だけクラウド サービスを利用することができます。

ただし、リソースをネットワークの外に移動させると、境界に基づく保護は機能しなくなるため、従業員の働き方や働く場所をはじめ、セキュリティの問題の特定や脆弱性の軽減、マルウェアの阻止、情報漏洩の防止を最も効果的に行う方法について再考する必要性に迫られます。

クラウド セキュリティの長所と短所

ここで、クラウド セキュリティが組織にどのようなメリットをもたらすか、そしてかえってクラウドのリスクを増大させる潜在的な可能性について見ていきましょう。

長所

• クラウド リソースの可視性の向上
• お客様のニーズに合わせて拡張できるセキュリティ
• クラウド データと独自のエンドポイントに対する保護の強化

短所

• 設定ミスがもたらすリスクの増大
• パートナーシップや展開戦略の品質が落ちる可能性
• リソースへの不正アクセスによる、攻撃対象領域の拡大

このように短所が並ぶとやや尻込みしてしまうかもしれません。しかし、この短所は適切な注意義務の実施と慎重なパートナーの選択で克服できるため、結果的に長所が持つ価値を十分に享受できます。

クラウド セキュリティと従来型ネットワーク セキュリティの比較

ネットワーク セキュリティ スタックは、クラウドではなく企業ネットワークを保護することを念頭に設計されており、現在のクラウドベースのアプリケーションやモバイル ユーザーが必要とする、総合的なサイバーセキュリティとクラウド データ保護を提供することはできません。コストや複雑さを増大させることなく、ビジネスにおいて極めて重要なSaaSアプリ(Microsoft 365など)をサポートし、帯域幅を大量に消費する他のサービスやより多くのネットワーク トラフィックを処理するには、弾力的に拡張できるマルチテナント セキュリティ プラットフォームが必要となります。旧来のネットワーク セキュリティ アーキテクチャーでは、これを実践できません。

接続場所を問わず、アプリケーション、ワークロード、クラウド データ、ユーザーを保護する最善の方法は、セキュリティとアクセス制御をクラウドに移行することです。クラウドベースのセキュリティは常に最新の状態に保たれ、最新のランサムウェアやその他の高度な脅威からデータとユーザーを保護することができます。

クラウド セキュリティのメリット

総合的なクラウド セキュリティ プラットフォームには、セキュリティ サービスとクラウド アクセス制御が組み込まれており、クラウドとオンプレミスからなる分散されたネットワーク内を移動するすべてのトラフィックを可視化します。また、単一のインターフェースを通じて、世界中のユーザー、場所、サーバー、エンドポイント デバイスごとに、すべてのリクエストをわずか数秒間で把握できます。加えて、SD-WANやクラウド アクセス セキュリティ ブローカー(CASB)、IAM、およびエンドポイント保護サービスを提供するプロバイダーなど、他のクラウド サービス プロバイダーとのAPI統合によってセキュリティ ポスチャーがさらに強化されます。

クラウド セキュリティの一般的な課題

やる価値のあることは容易に成し遂げられないとよく言われますが、クラウド セキュリティについても同じことが言えます。セキュリティ管理を簡素化して可視性を高める効果が期待できる一方、対処すべき課題は確実に存在します。ここでは、そのような課題のいくつかを詳しく見ていきましょう。

アイデンティティーとアクセス制御

クラウド プロバイダーは継続的にサービスを追加しており、このようなサービスへの個別のエンタイトルメントの平均数は5,000を超えています。これほどの量のエンタイトルメントは、これまでのアイデンティティーおよびアクセス管理(IAM)のアプローチで管理するのは困難になる場合があります。

ログ記録、監視、インシデント対応

総合的かつ精度の高いログは、インシデント対応を適切に行う上で不可欠です。多くの企業では、インストール アカウントはこの目的のための機能が不十分であり、すべてを十分にログに記録することができません。

ストレージと暗号化

キュー管理サービスや通知サービスには、処理されて適切なセキュリティ対策が適用される前の機密情報が存在することが多いのですが、この機密性が軽視されがちで、多くのサービスにはサーバー側の暗号化機能がありません。

クラウド ランサムウェア

クラウド環境と言えども、マルウェアやランサムウェア攻撃を受けないとは限りません。攻撃者が企業に侵入する最も一般的な方法は、正しく設定されていない資産、脆弱なパスワードの悪用、不十分なポリシー制御の悪用といった、「手順ミス」または「設定ミス」の悪用です。

クラウドでのサプライチェーン攻撃

クラウド環境では、サプライチェーン攻撃のリスクが高く、コンプライアンスのリスクにつながる恐れもあります。セキュリティチームは、クラウド環境におけるサードパーティのリスクを最小限にするよう注力する必要があります。このリスクが、サプライチェーン攻撃の余地となりかねないからです。

クラウドがアプライアンスより優れた保護を提供できる理由

一貫性のあるポリシーを適用することでユーザーを保護するうえで必要とされるのは、URLやWebのフィルタリングだけではありません。これこそが、多くの組織がITセキュリティをアプライアンスからクラウドのセキュリティ制御へと移行している理由です。アプライアンスベースのセキュリティとクラウド提供型のアプローチには、次のような違いがあります。

企業全体にわたる保護

アプライアンスベースのセキュリティでは、すべての出力ポイントでセキュリティ スタックが必要になるか、支店やリモート サイトからDMZまでコストの高いMPLSリンクでトラフィックをバックホールする必要があります。また、モバイル ユーザーは保護されません。

クラウドベースのセキュリティにより、ユーザーは本社、支店、外出先、自宅のどこにいても、同一の保護を受けることができます。

統合されたセキュリティ

アプライアンスベースのセキュリティでは、異なるベンダーのポイント アプライアンスが個別に動作するため、そのデータを集約する簡単な方法はありません。

クラウドベースのセキュリティであれば、統合型のセキュリティ制御とクラウド サービスによって情報を関連付け、ネットワークの完全な全体像を把握することができます。

ユーザー エクスペリエンス

アプライアンスベースのセキュリティでは、ユーザーとインターネットの間にあるすべてのアプライアンスが遅延を引き起こします。ユーザーがVPNでデータ センターに接続する必要がある場合、エクスペリエンスはさらに低下します。

Zscalerのクラウドベースのセキュリティは高速なローカル ブレイクアウトを提供し、またSingle-Scan, Multi-Action (SSMA)テクノロジーで複数のセキュリティ サービスが同時にスキャンを行うことで、より高速なパフォーマンスを実現します。

ITの複雑性

アプライアンスベースのセキュリティでは、複数のセキュリティ ベンダーのアプライアンスの導入と維持のために継続的なパッチ適用、アップデート、ハードウェア アップグレードが必要であり、コストが高いうけに困難でもあります。

クラウドベースのセキュリティはポイント製品を統合されたプラットフォームに統一します。ハードウェアやソフトウェアの購入や管理は不要です。

インテリジェンス

アプライアンスベースのセキュリティでは一般的に、ポイント製品が脅威を特定するのに1つの手法を適用し、次のアプライアンスにデータを渡します。パッチは利用可能になってから適用されます。

クラウドベースのセキュリティはさまざまなソースからインテリジェンスを収集し、クラウド上のどこかで脅威が検出されるたびに、あらゆる場所で保護を展開します。Zscalerは毎日、セキュリティ アップデートだけにとどまらない対策をクラウドに適用しています。

価値

アプライアンスベースのセキュリティは購入と所有のコストが高いうえ、脅威が増すたびにアプライアンスをさらに買い足す必要があります。

Zscalerのクラウドベースのセキュリティはセキュリティ関連費用を資本的支出から変動費へと変え、ユーザー1人あたりコーヒー1杯程度の月額で利用できます。

クラウド セキュリティの4つの柱

クラウド セキュリティは、境界を保護するだけでなく、セキュリティをデータにまで適用することを目的としています。一般的な対策としては、以下が挙げられます。

• アイデンティティーとアクセス管理(IAM)により、クラウド環境内のリソースへのアクセスのプロビジョニングをサポート。また、IAMはクラウド間で共有されるデータ、アプリ、およびインフラストラクチャーへの不正なアクセスを防止する効果を発揮します。
• 情報漏洩防止(DLP)によるデータの監視と検査で流出を防止できます。DLPはクラウド コンピューティング セキュリティの必須要素ですが、従来型のセキュリティ モデルではこれを効果的に実施できません。
• データ暗号化でデータをエンコードし、攻撃者が復号化なしにはデータを解釈できない状態に変換。暗号化は、信頼の確立と匿名性の維持にも役立ち、世界中のさまざまなプライバシー規制において義務付けられています。
• セキュリティ情報とイベント管理(SIEM)により、セキュリティ ログをリアルタイムで分析し、セキュリティ部門のクラウド エコシステムの可視性を改善。

クラウドが主流となっていく過程においては、これらのテクニックがクラウドを保護する一般的な手段でしたが、現在では脅威アクターの能力が各段に上昇しており、コンプライアンス要件として以前よりも強力なセキュリティとデータ保護が求められています。このような状況に対処するために、クラウド セキュリティは進化が必要となったのです。

クラウド セキュリティの進化

クラウドは世界規模でテクノロジーを取り巻く環境を変え、クラウド セキュリティもそれに伴って変化してきています。最近では、セキュリティ サービス エッジ(SSE)とゼロトラストのトピックにおいて、この変化がより明確になっています。

業界のトレンドとなっているSSEは、リモート ワーク、クラウド、セキュア エッジ コンピューティング、デジタル トランスフォーメーションに関連する基本的な課題を解決し、インターネット、SaaS、クラウド アプリ、および組織のプライベート アプリケーションへの安全なアクセスを提供しています。

SSEについての詳細はこちら。

SSEの重要な構成要素であるゼロトラストも、採用が急速に進んでいます。ゼロトラストのアプローチは、ユーザーやエンティティーは本質的に信頼してはならないという考えに基づいており、特定のコンテキスト(アイデンティティー、コンテンツ、場所、デバイスなど)に応じてデータやアプリケーションへのアクセスを許可しつつ、ユーザー エクスペリエンスも強化できます。

ゼロトラストについての詳細はこちら。

ゼロトラストを採用すべき理由

今やエンドポイント、リソース、およびデータはいたるところに存在し、クラウドのメリットはオンプレミス テクノロジーを凌ぐようになってきています。クラウド環境を保護することは、データ侵害を防ぐとともにユーザーの満足度と生産性を維持できるテクノロジーに投資することを意味しますが、現在それを実現できるセキュリティの考え方はゼロトラストのみです。

Cybersecurity Insidersによると、72%の組織がゼロトラストの採用を優先事項としています。時代遅れでサイロ化されたセキュリティ ツールには、アクセス元の場所に関わらず、すべてのクラウド リソースを保護するキャパシティーやスケーラビリティーがないことを理解しているためでしょう。

ゼロトラスト サービスを比較評価する際、どのベンダーもゼロトラストを提供していると謳っている可能性があることに注意してください。多くのベンダーはクラウド プラットフォームを従来型のネットワーク アプライアンスに追加し、それを「クラウド対応」としていますが、本当に必要なのは、クラウド向けにクラウドで構築されたゼロトラスト ソリューションを備えたパートナーです。

Zscalerのソリューション

Zscalerは、クラウド ワークロードのセキュリティ管理における課題を解決します。Zero Trust Exchange™の一部であるZscaler Cloud Protectionでは、ネイティブに統合された4つのデータ保護ソリューションを組み合わせ、以下を実現できます。

• Zscaler Workload Postureにより、ワークロード構成と権限を保護する
• Zscaler Private Accessにより、クラウド内のプライベート アプリへのユーザー アクセスを保護する
• Zscaler Workload Communicationsにより、アプリ間の接続を保護する
• Zscaler Workload Segmentationにより、脅威の水平移動を排除する

これらのソリューションを組み合わせることで、セキュリティ ポリシーを最大90%排除し、コストを30%以上削減することが可能になります。最終的には、攻撃対象領域を最小限に抑えながら自動化によってセキュリティ戦略を簡素化して、セキュリティ リスクを劇的に抑えることができます。

Zscaler Cloud Protection

Zscaler Cloud Protectionは、運用を複雑化することなく、クラウドのワークロードを安全に保護します。革新的なゼロトラスト アーキテクチャーにより、セキュリティ ギャップや設定ミスの自動的な修正、攻撃対象領域の最小化、ユーザーとアプリ、アプリ同士のコミュニケーションの保護、脅威の水平移動の排除を行い、最終的にビジネス リスクを低減します。詳細については、Zscaler Cloud Protectionのページをご覧ください。