クラウドセキュリティとは、可用性、完全性、および機密性に対する攻撃や侵害から、クラウド上に存在するすべてのデータおよびサービスを確実に保護することです。クラウドサービスプロバイダは、安全なクラウドインフラストラクチャを提供します。責任共有モデルにより、クラウドで実行するワークロード、アプリケーション、およびデータを保護する責任はクラウドの利用者にあります。
クラウドセキュリティと言うと手が届かないような気がするかもしれませんが、結局のところ、クラウドとは、単に別の組織が所有する一連のサーバ、ルータ、およびスイッチのことです。責任共有モデルの自分側の責任を果たすためにビジネスを保護できる方法はいくつもあります。クラウドの利点をすべて活用しながら、クラウドを保護することが重要です。
クラウドアーキテクチャをどのように保護するかについて議論する前に、クラウドの構造を見てみましょう。現在のクラウド環境では、多数のオプションから選択することができます。3つのサービスモデルと4つの実装モデルがあります。これらは、米国国立標準技術研究所(NIST)のSP 800-145内で定義されています。
サービスモデルは以下のとおりです。
NISTの論理的な説明とは違い、DRaaS(障害回復)、HSMaaS(ハードウェアセキュリティモジュール)、DBaaS(データベース)、そしてXaaS(Anything aaS)など、自社製品を際立たせるために企業はさまざまな用語を使用しています。企業が何を販売しているのかによっては、製品がSaaSまたはPaaSであるのかを判断することが難しい場合がありますが、重要なポイントは、クラウドプロバイダの契約上の責任を理解することです。クラウドプロバイダは、契約を拡張して、HSMaaS(ハードウェアセキュリティモジュール)やDRMaaS(デジタル著作権管理)などのサービスを通して、クラウド構造のセキュリティを追加します。
4つの実装モデルは以下のとおりです。
クラウドアーキテクチャとは、コンポーネントおよびサブコンポーネントを論理的かつ可能であれば効率的で効果的な構造に編成したものです。この構造により、各コンポーネントが目標に向かって連携し、強みを最大限に引き出しながら弱みを最小限に抑えることを可能にします。クラウドを構築するために必要な基本的なコンポーネントには、ネットワーク、ルータ、スイッチ、サーバのほか、ファイアウォールや侵入検知システムなどさまざまなものがあります。これらのコンポーネントに加え、クラウドにはハイパーバイザーや仮想マシン、そしてソフトウェアなど、サーバ内のすべての要素も含まれます。
クラウドアーキテクチャに関する多くの用語は、クラウドコンシューマのように、従来からのよく知られた用語にクラウドという単語を足しただけです。コンシューマの定義を理解していれば、クラウドコンシューマという用語の意味も明解なはずです。電話サービスなどではなく、クラウドサービスの利用者という意味です。
NIST SP 500-299で定義されている基本的な用語には以下のものがあります。
詳細については、クラウドアーキテクチャをご覧ください。
クラウド内のセキュリティは、セキュリティ要素を基本的なアーキテクチャに追加するセキュリティアーキテクチャから始まります。従来のセキュリティ要素には、ファイアウォール(FW)、マルウェア対策、侵入検知システム(IDS)などがあります。クラウドオーディタ、セキュリティアーキテクト、およびセキュリティエンジニアなど、クラウド内の、またクラウドを経由する安全な構造の設計者も必要です。
クラウドセキュリティのアーキテクチャはリスク管理から始まります。起こりうる問題およびそれによりビジネスがどのような悪影響を受ける可能性があるかを把握することにより、企業は責任ある決断を行うことができます。議論すべき3つの重要な内容は、ビジネス継続性、サプライチェーン、および物理セキュリティです。
クラウドプロバイダで障害が発生した場合、ビジネスはどうなるか考える必要があります。サーバ、サービス、およびデータをクラウドに置いても、ビジネス継続性と障害回復計画の必要性はなくなりません。
クラウドプロバイダのデータセンター(DC)に誰でも入ることができたらどうでしょうか。3大クラウドプロバイダであるAWS、GCP、およびAzureではこれは容易ではなく、それこそが重要なのです。3社はデータセンター自体のセキュリティに重点的に投資しています。その他のクラウドプロバイダについてはどうでしょうか?いずれかのクラウドプロバイダに、データセンターの見学や監査への参加を依頼してみてください。回答に注目してください。翌日にもDCを見学させてくれそうでしょうか。データセンターに簡単に入ることができる場合、そのプロバイダの利用は見直した方がよいかもしれません。
小規模なクラウドプロバイダは、物理データセンターを持っていない場合もあります。大手クラウドプロバイダの機能を使用し、実質的に再販している場合があります。それでも問題はありません。これは、クラウドを使用することの利点の1つです。ただし、クラウドプロバイダ間の関係が不明な場合は、法律、規制、契約に関して追加の問題が発生する可能性があります。そのクラウドプロバイダが複数のレベルを持っている場合は、答えを出すのが難しいことがあります。欧州の一般データ保護規則(GDPR)の問題など、法的な影響も生じる可能性があります。
企業のクラウドセキュリティアーキテクチャを構成する要素に対するクラウドセキュリティサービスも利用できます。データ漏えい対策(DLPaaS)などのサービスを購入することが考えられます。セキュリティ確保に役立つ他のツールとして、個人情報を検索して適切に保護できるようにするスキャンツールなどもあります。これらのサービスが意図したとおりに機能していることを保証するためには、クラウドセキュリティの管理が必要です。
ビジネスは多くの法律、規制、および契約を順守する必要があります。自身のデータやサービスを他者に託すと、コンプライアンスを確認するために必要な監査が複雑になります。
自分自身に「私の心配事は何だろう?」のように尋ねてみましょう。
コンプライアンスの対象を特定したら、多数の対策を講じることができますが、その1つが監査です。監査の結果により、何がコンプライアンスに違反しているかがわかる場合があります。クラウドプロバイダを決定する際には、このような報告書を読み、DCのセキュリティレベルおよび何を期待すべきかを把握することが重要です。
詳細については、クラウドコンプライアンスをご覧ください。
IaCを簡単に説明すると、個々の各ルータ、サーバ、スイッチ、およびソフトウェアを設定する代わりに、DevOpsと同じ論理を使用して、インフラストラクチャをコードのように取り扱うということです。DevOpsの強みをインフラストラクチャの構築と管理に適用すると、多くの利点が生まれます。クラウド内でインフラストラクチャは仮想的なものと捉えることができます。つまり、ハードウェアではなく単なるコードになります。実際、ルータは単に特定の、または専用に作られたコンピュータ上で実行されるコードであり、ハードウェアを取り除くと、残るのはコードだけです。
では、この論理をコードの開発と展開に適用しましょう。自動化ツールで、ソフトウェアの展開と管理をより簡単かつ制御された方法で行うことができるようになります。これらのツールを使用して仮想インフラストラクチャを管理すると、クラウドの展開と管理をより簡単かつ制御された方法で行うことができるかもしれません。
詳細については、Infrastructure as Codeをご覧ください。
クラウドセキュリティのトピック
関連記事
関連レポート