リソース > セキュリティー用語集 > クラウド ワークロード セキュリティーとは

クラウド ワークロード セキュリティーとは

クラウド ワークロード セキュリティーの定義

クラウド ワークロード セキュリティーは、データベースやKubernetesなどのコンテナー、また仮想マシン(VM)および物理サーバーにあるワークロードが、クラウド環境内を移動する際に保護を受けられるように構築されたセキュリティー ソリューションです。

 

クラウド ワークロード セキュリティが重要な理由

オンプレミスのソリューションからクラウド コンピューティングを中心としたデジタル ビジネス モデルに移行する組織が増えるにつれて、それらの組織のデータやアプリケーションはAWSやMicrosoft Azure、Google Cloudなどのクラウド プロバイダーを通じてクラウドに移行しています。ワークロード セグメンテーションその際、アプリケーションとSaaSはすべてインターネット経由で接続しながら、異なるクラウド環境やデータ センター間で通信し合うことになるため、両者の間を移動するデータの保護における課題が表面化してきます。

つまり、クラウド ワークロードの保護に関しては、対処すべき脆弱性が数多く存在するのです。そこでクラウド ワークロード セキュリティーのソリューションを使用すると、組織は対象となるワークロードの特定、管理、保護を行えるようになり、リスクの軽減やコンプライアンスの改善、アプリケーションのスケーラビリティ向上など、全体的なセキュリティー ポスチャーを改善することが可能になります。

 

クラウド ワークロード セキュリティーの仕組み

クラウド ワークロード セキュリティーはクラウド ワークロード保護とも呼ばれ、ワークロード セグメンテーションを中心にし展開し、アプリケーション ワークロードを小さなグループにセグメント化して、トラフィックの検査の簡素化と保護を行う機能を有します。

また、クラウド ワークロード セキュリティーのソリューションを使用することで、組織はクラウド アカウントやコンピューティング インスタンスとストレージ インスタンス、およびコントロール プレーンの検出、モニタリング、保護を行えます。これにより、導入時の設定ミスの可能性が低くなり、サイバーセキュリティ関連の問題によるリスクを軽減しながら、より多くのクラウド ネイティブ アプリケーションを大規模に開発、リリースできるようになります。

 

クラウド ワークロードのセキュリティー リスク

クラウド インフラストラクチャーを活用する最新の環境では、アプリケーションとサービスは全体的なセキュリティー戦略の中心的存在でなければなりません。しかし、実際はそうではない場合が非常に多いのが現実です。クラウド環境内のほとんどのトラフィックは東西方向の移動(環境内での移動)を行いますが、従来型のセキュリティ制御は通常、境界ゲートウェイを介して南北方向の移動(環境に出入りする移動)を行うトラフィックを保護するため、トラフィックのルートでソフトウェアを定義するだけではもはや不十分です。

セキュリティ制御はワークロードを中心とし、かつクラウド プラットフォームから分離されている必要があります。重要なのは、アクセス制御およびアクセス許可をアプリケーションが移動するネットワーク パスから切り離し、通信を行うアプリケーションとサービスのアイデンティティーに直接紐づけることです。これができない場合、ネットワーク経由の脅威がクラウド システムに侵入しやすくなってしまいます。

 

時代遅れのセキュリティ戦略では不十分な理由

従来型のセキュリティツールが動作する信頼付与モデルは、クラウド上からインターネット経由で通信するアプリケーションが増えるにつれて、脅威を取り巻く現在の情勢において通用しなくなっています。ネットワーク セキュリティの境界は消滅しつつあり、ほぼすべてのトラフィックが暗号化されているため、トラフィックの検査はより困難になっています。トラフィックの復号化や検査、再暗号化ができない時代遅れのセキュリティ制御は、ランサムウェアやその他のマルウェアなどのサイバー攻撃を見落としている可能性があります。

こうした攻撃から身を守るため、プライベート クラウドとパブリック クラウドを使用している組織は、エンドポイントだけでなくワークロードのレベルでの保護に集中する必要があります。

 

こうした攻撃から身を守るため、プライベート クラウドとパブリック クラウドを使用している組織は、エンドポイントだけでなくワークロードのレベルでの保護に集中する必要があります。
VMWare

クラウド ワークロード セキュリティー プラットフォームに求められる主な要素

強力なクラウド ワークロード セキュリティーに必要な戦略について見てみましょう。

マイクロセグメンテーション は、データ センターやネットワークまたはクラウド環境内に隔離された安全なゾーンを作成して、ワークロードを個別に分離して保護するための方法です。攻撃からの保護を強化することを目的として、トラフィックのきめ細かいパーティショニングを可能にするように構築されています。

マイクロセグメンテーションを使用すると、ITセキュリティー部門はさまざまな種類のトラフィックに合わせてセキュリティー設定を調整し、ワークロード間のフローを明示的に許可されたものに制限するポリシーを作成できます。セグメンテーション ルールやきめ細かなポリシーをワークロードまたはアプリケーションに適用することで、攻撃者が侵害されたワークロードやアプリケーションから別のワークロード、アプリケーションに検出されることなく移動できるリスクを軽減できます。

ただし、ステートフル インスペクション ファイアウォールまたは次世代ファイアウォールを使用して、ネットワークをより小さく、モニタリングが容易なグループに分割する、ネットワーク セグメンテーションとは混同しないよう注意しましょう。この戦略はかつて効果を発揮しましたが、クラウドおよびマルチクラウド環境においては一定の限界があります。

もう1つの重要な戦略は、ソフトウェア定義境界(SDP)とも呼ばれるゼロトラスト ネットワーク アクセス(ZTNA)です。ZTNAは適応型の信頼モデルで動作する一連のテクノロジーによって実現され、信頼は決して暗黙的に付与されず、ユーザーは必ず検証を受け、詳細なポリシーによって定義された、知る必要のある者にのみ必要な権限を付与する最小特権の原則に基づいてアクセスを許可します。

Gartnerは、2023年までに60%の企業がリモート アクセス仮想プライベート ネットワーク(VPN)を段階的に廃止してZTNAに移行すると予測しています。この予測が信ぴょう性を持つ理由は複数あり、ただ単にクラウド ワークロードの保護とセキュリティーの向上を図れるためだけではありません。

マイクロセグメンテーションとZTNAはどちらも、実行時に組織のトラフィックとアプリケーションを保護するのに役立ちますが、クラウド ワークロード保護プラットフォームを使用することで、クラウド ワークロード セキュリティーを完全に網羅できます。

 

クラウド ワークロード セキュリティーのソリューションを使用することで、組織はクラウド アカウントやコンピューティング インスタンスとストレージ インスタンス、およびコントロール プレーンの検出、モニタリング、保護を行えます。これにより、より多くのアプリケーションを大規模に開発および導入できるようになると同時に、セキュリティーの問題が発生するリスクを軽減し、全体的なセキュリティー、コンプライアンスのポスチャーを改善することができます。
AWS

クラウド ワークロード セキュリティーの主なメリット

クラウド ワークロード セキュリティーが、組織のリスクの軽減やセキュリティーの簡素化にどのように役立つかを紹介します。
 

複雑さの軽減

サービス指向アーキテクチャーでは、資産やポリシーのインベントリーを追跡することが難しく、クラウド インスタンスが変更される度に依存関係に影響が及び、管理と可用性に関する問題が発生します。加えて、サービスが場所を変更する可能性があるため、クラウド内でのデータフローのマッピングは複雑であり、モニタリングと管理が必要なデータ ポイントの数も増加してしまいます。クラウド ワークロード セキュリティーを用いることで、追跡と保護を簡素化し、環境ではなくアプリケーションに焦点を当てることで、変更による影響を予測できます。
 

ギャップのない保護

IPアドレス、ポート、およびプロトコルをコントロール プレーンとして使用する従来型のセキュリティー ツールは、クラウドのユース ケースには適していません。これは、クラウド サービスは動的にいつでも変化する性質を持っており、これらの静的なセキュリティ制御を頼りにできないためです。アドレスベースの制御に関する問題に対応するために、クラウド ワークロード セキュリティ プラットフォームは一貫したワークロード保護を提供しますが、その際に煩わしいアーキテクチャの変更は必要ありません。
 

継続的なリスクの評価

セキュリティーの専門家の大多数は企業ネットワークが侵害に対して脆弱であることを認識しているものの、とりわけアプリケーションの露出に関連するリスクを定量化できない場合がほとんどです。クラウド ワークロード セキュリティーのソリューションを利用すれば、可視化されているネットワーク攻撃対象領域を自動的に測定し、使用されている可能性のあるアプリケーション通信経路の数を把握できます。また、通信を行うソフトウェアの重要度に基づいてリスク エクスポージャーを定量化し、データ侵害のリスクを軽減するために必要な最小限のセキュリティー ポリシーの推奨情報を得ることも可能です。

 

クラウド ワークロード セキュリティーのベストプラクティス

クラウド ワークロード セキュリティー プラットフォームを選ぶ際、以下を実現できるものを選択するようにしましょう。

  • 開発時から実行時までワークロードを保護しながらDevOpsとの整合性を維持すること
  • クラウド ワークロードに対してインターネットやデータ センター、その他のアプリへの安全な接続を実現すること
  • すべてのユーザーとワークロードに対してゼロ トラスト アーキテクチャーを一貫して実行すること

最終的には、以下のことを把握できるクラウド ワークロードのセキュリティー プラット フォームを選び抜く必要があります。

  • 実際には、どのアプリケーションが通信を行っているのか
  • 理想としては、どのアプリケーションが通信を行っているべきか
  • 悪意のあるトラフィックが存続させずに、適切なシステムが互いに通信を行っているか

現在のクラウド ワークロードには、DevOpsとSecOpsの管理を簡素化しつつ、総合的なゼロトラストの対象範囲を実現するセキュリティーが必要です。つまり、クラウドのために、クラウドに組み込まれた実績のあるプラットフォームが求められるのですが、それを提供できるのはZscalerだけです。

 

Zscaler Workload Segmentationは、世界中の企業にとっての標準的な製品となる可能性を秘めています。現在存在するすべての専用のセキュリティー ツールと比べても、Zscaler Workload Segmentationの方が保護に関しては圧倒的に優れていると思います。さらに素晴らしいのが、驚くほどの使いやすさも両立している点です。
Goulston & Storrs CIO、John Arsneault氏

Zscalerによるクラウド ワークロードの保護

Zscaler Workload Segmentation™(ZWS™)は、アプリケーション ワークロードをセグメント化するための新しい方法です。ネットワークを変更することなく、わずかワンクリックでリスクを明らかにし、アイデンティティベースの保護をワークロードに適用してセキュリティを強化できます。

ZWSは環境の変化に自動的に適応するポリシーを使ってギャップのない保護を提供し、ネットワークの攻撃対象領域を排除します。さらに、ZWSはAPIを活用しており、既存のセキュリティー ツールやDevOpsプロセスと統合可能であり、ワンクリックによる自動のセグメンテーションが可能です。

Zscalerはゼロトラストに基づいて構築されており、パブリック クラウド、プライベート クラウド、またはハイブリッド クラウド環境で通信が許可されるのは認証済みのワークロードのみとなり、リスクが軽減されて最高レベルのデータ侵害対策が実現します。

Zscaler Workload Segmentationには以下の機能が含まれます。

ソフトウェア アイデンティティー ベースの保護

ZWSはネットワーク アドレスだけでなく、パブリック クラウド、プライベート クラウド、ハイブリッド クラウド、オンプレミス データ センター、コンテナー環境で通信を行うアプリケーション ソフトウェアやワークロードの安全なアイデンティティーの認証も行います。

ポリシー自動化エンジン

ZWSでは、機械学習を用いて、マイクロセグメンテーションとワークロード保護のポリシー ライフサイクル全体を自動化することが可能です。導入過程やその後の運用においてポリシーを手動で構築する必要はありません。また、アプリが変更、追加された際、ZWSから新規の、または更新されたポリシーを推奨情報を得られます。

攻撃対象領域の可視性と測定

ZWSによって、リアルタイムのアプリケーション トポロジーや依存関係のマップをプロセスのレベルまで自動的に構築できます。そして、必要なアプリケーション パスが強調表示され、利用可能なネットワークパスの合計と比較が行われます。最終的に、攻撃対象領域を最小化しつつ、必要なものを保護するうえで推奨されるポリシーを把握できます。

Zscaler Workload Segmentationによる組織の保護については、デモをリクエストして詳細を確認しましょう。

Workload Segmentationによるアプリケーションとデータ侵害の防止

詳細を見る
Zscaler Workload Segmentation

Zscaler Workload Segmentationで顧客データのセキュリティを強化したGoulston & Storrsの事例

事例を読む(英語)
ZscalerTM Workload Segmentationで顧客データのセキュリティを強化したGoulston & Storrsの事例

マイクロセグメンテーションとネットワーク セグメンテーションの違い

詳細を見る(英語)
マイクロセグメンテーションとネットワーク セグメンテーションの違い