Alibaba Cloudセキュリティ：主要機能とベストプラクティス"

企業は、従来のアプリケーションのホスティングやデプロイ方法と比較して、クラウド技術が提供する数多くの利点（スケーラビリティの向上、コスト効率など）を理由に移行しています。アリババは、アプリケーションのデプロイやデータ保存のために世界中の様々な企業に広く利用されているクラウドプロバイダーの一つです。IaaS（Infrastructure-as-a-Service）分野において、アリババはかなりの市場シェアを有しており、その割合はかなり高いと言えます。

しかし、大きな力には大きな責任が伴います。2021年12月、アリババクラウドは重大なセキュリティ侵害を経験しました。あるハッカーが、アリババクラウド上でホストされていた上海国家警察データベースから、11億人以上の中国市民のデータを盗んだと主張しました。この事件は、一部の組織がクラウドプラットフォーム上でデータを設定・保護する方法における重大な脆弱性を浮き彫りにしました。この侵害はアリババクラウドのインフラストラクチャの欠陥によるものではなく、データベースの設定ミスが原因でした。適切な認証なしにパブリックインターネットに公開された状態になっていたのです。

アリババクラウドは機密データを扱うため、脅威アクターによる社内データへのアクセスを防ぐセキュリティ対策が不可欠です。本ブログでは、アリババクラウドのセキュリティサービスとツールについて解説します。セキュリティ強化のベストプラクティスと、一般的な脆弱性を解決する手順を提供します。本ブログを通じて、アリババクラウドのセキュリティと資産を効果的に保護する方法を理解していただけます。

Alibaba Cloud の理解

Alibaba Cloud は、AWS や GCP と同様のクラウドサービスプロバイダーであり、アジア地域で広く利用されています。Alibaba Cloudは、企業の成長とソリューション導入を支援する複数のツールとサービスを提供しています。Alibaba Cloudが提供するサービスには、コンピューティング、ストレージ、ネットワーク、IAMなどがあります。

コンテナやKubernetesによるデプロイメントの普及に伴い、それらのセキュリティ確保も重要となっています。アリババは、コンテナやK8s環境のセキュリティ強化を支援するため、Alibaba Cloud KubernetesやElastic Container Instanceなどの様々なサービスを提供しています。これだけでなく、アリババはAI（人工知能）やML（機械学習）といった現代技術向けのツールも提供しています。

アリババクラウドの顧客は、データとアプリケーションのセキュリティ確保において特有の課題に直面しています。具体的には以下の通りです：

1. 中国で事業を展開する企業は、サイバーセキュリティ法やデータセキュリティ法など複雑な規制要件に対応する必要があります。
2. アリババクラウドユーザーは、中国本土外へのデータ移動に制限が生じる可能性があり、グローバル事業に影響を及ぼす場合があります。
3. 欧米のクラウドプロバイダーと比較すると、アリババクラウドは一般的なセキュリティツールやサービスとの連携オプションが少ない可能性があります。

クラウドセキュリティに対するユーザーの信頼を高めるため、アリババは世界各国の複数のセキュリティ認証を取得しています。代表例として、ペイメントカード業界データセキュリティ基準（PCI-DSS）およびシンガポール多層クラウドセキュリティ（MTCS）基準レベル3の認証を取得しています。&

アリババクラウドの主要セキュリティ機能

アリババクラウドは、ユーザーのデータ保護のために複数の機能を提供しています。主なものは以下の通りです：

1. 識別とアクセス管理

Alibaba Cloudは、管理者が顧客とその権限を一元管理できるシステムを提供します。IAMは、管理者がポリシーを作成して新しいロールを定義したり、既存のロールを編集したり、新しいユーザーが追加されるたびにアクセスレベルを管理するのに役立ちます。

これらのアクセスポリシーは、ユーザーのリソースへのアクセスを制限するのに役立ち、組織を不正アクセスやデータ侵害から守ります。セキュリティをさらに強化するには、システム全体で MFA を実施する必要があります。これは 2 層目の防御として機能し、ブルートフォース攻撃の回避に役立ちます。

2.データ暗号化

安全な伝送は、常に クラウドセキュリティ の重要な要素です。機密情報はAlibaba Cloudが提供するサービスを用いて暗号化されます。その後、データはデータベースやストレージサービスに保存され、不正なユーザーがアクセスできないように安全に保管されます。

データは強力な暗号化アルゴリズム（AESや3DESなど）を用いて暗号化されます。これにより、物理的なストレージに侵入してデータを閲覧しようとしても、表示されるのは暗号化されたデータのランダムな文字列のみとなります。

一方、ネットワーク上のデータはHTTPSやTLSといったセキュアなプロトコルで送信されることが多く、Alibaba Cloudで有効化された設定により、転送中（at-motion）のデータも暗号化されます。

3.キー管理サービス（KMS）

Alibaba Cloud は、暗号化キーなどの秘密情報を保存し、クラウド上で一元的に管理するためのキー管理サービス（KMS）を提供しています。ユーザーは KMS を使用してキーの作成、インポート、管理を行うことができます。

KMS を使用すると、企業はユーザーがキーを使用する方法に関するアクセス制御を定義することもできます。また、キーの使用を呼び出しているユーザーとその目的を確認できるログを維持するオプションも提供しています。

4.SSL/TLS証明書

SSL/TLS証明書は、クライアントとサーバー間の安全な接続を提供するためにAlibaba Cloudが発行します。これらの証明書はインターネット上の接続を保護するために使用され、データ交換時に暗号化されたチャネルを確立します。現在、組織はユーザーとアプリケーション間で送信されるデータを暗号化することで、SSL/TLSを利用したデータ保護を継続しています。これにより、データの傍受や改ざんを防止します。

5. ネットワークセキュリティ

Alibaba Cloud は、仮想プライベートクラウド（VPC） を使用したネットワークセキュリティを提供しています。VPC は、ユーザーがクラウド内に分離されたネットワークを構築できるように機能します。VPC はクラウドの他の部分から分離されています。これにより、リソースの管理が容易になり、これらのリソースが分離されているため、トラフィックのフローの制御も容易になります。

VPC の作成に加え、Alibaba Cloud はセキュリティグループの設定も支援します。これらのセキュリティグループは、特定のグループのリソースに割り当てられたルールを持つ、仮想的に定義されたファイアウォールです。これにより、ネットワークの入出力トラフィックの両方を制御することが可能になります。

6. DDoS対策

分散型サービス拒否攻撃（DDoS）対策サポートは、Alibaba Cloudが提供する重要な機能です。DDoS攻撃がサーバーやITインフラ全体にとって主要な脅威の一つであるためです。その目的は、複数のソースからの大規模なデータ要求からシステムを保護することにあります。

これらの攻撃は、企業を脅迫し、サーバーを停止させ、システムをデータ侵害アリババで利用可能なDoS対策は、トラフィックのクリーンアップと異なるトラフィックフローへの再割り当て、ならびにフローパターンを維持しシステムを脅威から守るための潜在的問題の即時識別を通じて機能します。

アリババクラウドセキュリティ向けセキュリティツールとサービス

組織は脅威や脆弱性から身を守るため、セキュリティツールを必要とします。アリババクラウドが提供するセキュリティツールとサービスの一部は以下の通りです：

#1. アリババクラウド セキュリティセンター

脅威検知、脆弱性評価、コンプライアンス管理のため、アリババは「Alibaba Cloud Security Center」と呼ばれる中央セキュリティ管理を提供しています。主な機能は以下の通りです：

• 資産管理： ECSインスタンス、RDSデータベース、SLBロードバランサーを含む全てのクラウド資産を自動検出・管理します。例えば、ECSインスタンス、RDSデータベース、SLBロードバランサーを管理し、中央ダッシュボードで総資産を表示します。また、資産の変更や設定をリアルタイムで追跡します。
• 脅威検知: Alibaba Cloud Security Centerは機械学習とビッグデータ分析を活用し、潜在的なセキュリティ脅威を検知します。異常なログイン試行、不審なプロセス、異常なネットワーク通信を特定します。
• 脆弱性管理： Alibaba Cloud Security Centerはセキュリティプラグインを活用し、ソフトウェアの問題、設定の問題、および古いルールリストを定期的にスキャンします。エージェントレススキャンとエージェントベーススキャンの両方をサポートし、検出された問題を解決するためのソリューションを提供します。
• コンプライアンス評価：Alibaba Cloud Security Centerは、事前設定されたコンプライアンスチェックに対する現在の準拠状況を表示します。CIS、PCI DSS、ISO 27001向けのコンプライアンスチェックに加え、カスタマイズ可能なコンプライアンスチェックを提供します。監査用のコンプライアンスレポートも生成します。
• ログ分析：ECS、SLB、RDSなどの各種クラウドサービスや、DDoS、Cloud Firewall、Cloud Monitorなどのセキュリティサービスからログを収集・分析します。ログ検索用のWebインターフェースを提供し、セキュリティイベントを単一のダッシュボードに表示します。さらに分析のためにログを保存することも可能です。

#2. Webアプリケーションファイアウォール（WAF）

Alibaba Cloudは、Webアプリケーションを様々なWebベースの攻撃から保護するセキュリティサービスとしてWAFを提供しています。主な機能は以下の通りです。

• HTTP(S) 保護： HTTP および HTTPS トラフィックの両方を検査します。カスタム SSL 証明書のアップロードと使用をサポートする機能を備え、バックエンドサーバーの HTTP 処理負荷を軽減する TLS/SSL オフロードが含まれます。
• Web 攻撃保護：SQL インジェクション、XSS、CSRFなどのOWASP Top 10脆弱性からアプリケーションを保護します。本サービスは機械学習を活用し、ゼロデイ攻撃からアプリケーションを防御するとともに、カスタムルールセットによる個別保護をサポートします。
• ボット管理:Alibaba Cloud WAFはボットトラフィックを識別・ブロックします。良質なボットをサポートし、CAPTCHAやJavaScriptチャレンジなどの検証手段を用いてトラフィック管理を支援します。
• アクセス制御： Alibaba Cloud WAFは、IPアドレスに基づくブラックリスト登録とホワイトリスト登録のためのアクセス制御リストを許可します。
• データ漏洩防止: ブルートフォース攻撃を防ぐレート制限アルゴリズムも搭載。アリババクラウドWAFは送信トラフィックパターンをスキャンして機密データを保護し、該当データを検知するルール構築も可能です。

#3.アンチボットサービス

Alibaba Cloud アンチボットサービスは、Webアプリケーション、モバイルAPI、アプリに対する悪意のあるボットトラフィックを識別・排除するための専用ソリューションです。主な機能は以下の通りです：

• ボット識別: 人間、正当なボット、悪意のあるボットトラフィックを区別する複数のアルゴリズムにより識別を行います。
• 保護モード： 本サービスでは、トラフィックの監視と記録を行う「監視モード」、識別されたボットトラフィックを積極的に処理する「防止モード」、ボットを個別に処理する「カスタムモード」を提供します。
• インテリジェント保護: 過去のデータからトラフィックパターンを処理し、それに基づいてトラフィックの急増を判断し、それに応じてアクションを実行します。
• アプリケーション層保護： コンテンツ盗用につながる可能性のあるウェブスクレイピングから保護します。また、ウェブアプリケーションにおけるクリック詐欺や広告詐欺の回避にも役立ちます。
• API保護: OAuthやカスタム認証スキームをサポートし、APIの悪用や不正なデータアクセスを防止します。

コンプライアンスとガバナンスの理解

コンプライアンスとガバナンスは、クラウドアーキテクチャの重要な要素です。Alibaba は、ペイメントカード業界データセキュリティ基準 (PCI-DSS)、一般データ保護規則 (GDPR)、ISO/IEC 27001 などの基準に準拠することで、お客様の信頼を高めています。

Alibaba Cloud は、PCI-DSS などの認証を取得しています。これは、アリババがグローバルなセキュリティ基準の達成に取り組んでいることを示しています。アリババクラウドユーザーにとっての主なコンプライアンスとガバナンスの課題には以下が含まれます：

1. 第一にデータローカリゼーション要件です。多くの国ではデータの保管場所について厳格な要件を設けています。
2. 医療（HIPAA）や金融（GDPR、PSD2）などの業界で事業を行う企業には、厳格なデータ保護要件が課せられています。
3. 監査証跡と説明責任も主要な課題です。組織はデータへのアクセスと使用状況を追跡し、報告する必要があります。

Alibaba Cloud Security は、いくつかの手段を通じてこれらの問題に対処しています。

1. Alibaba Cloud は、監査およびレポート機能を提供しています。これにより、組織はクラウド環境内で発生するすべての活動の詳細なログを維持できます。
2. Alibaba Cloudは、異なる地域ごとのコンプライアンス要件および顧客の要件に基づいた適切なドキュメントを提供します。
3. ユーザーは、データローカリゼーション法への準拠を確保するため、リソースの特定のデータセンターロケーションを選択できます。

インシデント対応と管理

クラウドのセキュリティを維持するため、Alibaba Cloud はインシデント対応および管理計画を採用しています。インシデント対応戦略は、セキュリティインシデントに対処し、可能な限り迅速に解決するために組織に求められます。

組織は、手順、役割、責任を概説したインシデント対応計画（IRP）を策定することが多く、これにより、インシデント発生時にすべてのチームメンバーが自分の任務を理解できるようになります。IRP（インシデント対応計画）は、インシデント対応チームのロードマップとして機能し、セキュリティ侵害が発生した際に迅速かつ効率的に行動することを可能にします。

Alibaba Cloud は、企業のインシデント対応管理を支援する複数のツールを提供しています。その一部をご紹介します。

1. セキュリティセンター：このプラットフォームは、リアルタイムの脅威検出、脆弱性評価、および集中セキュリティポリシー管理を提供します。
2. ActionTrail： AWS CloudTrailと同様に、ActionTrailはAlibaba CloudサービスへのすべてのAPI呼び出しの詳細なログを提供します。このデータは、インシデント対応時のフォレンジックに使用されます。
3. Alibaba は、さまざまなソースからのログを収集、処理、分析するための Simple Log Service プラットフォームを提供しています。このツールは、セキュリティインシデント発生時の容易な検知と調査を支援します。

Alibaba Cloud環境のセキュリティ確保におけるベストプラクティス

Alibaba Cloud環境のセキュリティ確保のために従うべきベストプラクティスの一部：

#1. 定期的なセキュリティ評価と監査

セキュリティ評価と監査は安全性を測定する上で重要であり、定期的に実施すべきです。これらは組織のクラウド環境における既存のセキュリティ対策の評価や設定ミスを特定します。業界標準や規制への準拠を確保し、既存のセキュリティ制御の有効性を検証するのに役立ちます。

#2.最小権限の原則の実装

これはリスクを最小限に抑えるため、クラウドのセキュリティ確保における基本的な要件です。このアプローチにより、各ユーザーが関連データへのアクセスや職務遂行に必要な情報のみを付与されるため、組織のセキュリティ攻撃レベルが低下します。

#3. クラウドエンジニア向けセキュリティ意識向上トレーニング

エンジニアに対し、様々な脅威とその識別方法を教育するプログラムの確立が不可欠です。トレーニングには、実際の攻撃シナリオを再現した多様な教材や演習を用意すべきです。次に、経験豊富なセキュリティチームメンバーによるフィッシング攻撃のシミュレーションを実施する必要があります。

さらに、共有される情報が最新かつ効果的であることを保証するため、トレーニングプログラムを定期的に更新することが重要です。また、報告されたインシデントを社員と議論することで、さらなる被害の発生を最小限に抑えられます。

アリババクラウドでは、ユーザーの意識向上を目的としたクラウドセキュリティ認定プログラムも提供しています。このプログラムでは、クラウドセキュリティ専門家向けに役割ベースの認定を提供しています。

クラウドプロバイダーを集中的に利用する企業においては、セキュリティ研修プログラムに以下を組み込むべきです：

• クラウド特有のセキュリティリスクと、インシデント発生時の対応方法
• 理解を深めるための、Alibaba Cloudサービスの安全な設定に関する実践的なラボ
• 役割別トレーニングモジュール（例：開発者向け、システム管理者向けなど）

セキュリティ統合と自動化

セキュリティ統合と自動化は、Alibaba Cloudを利用する環境において実施すべき重要な活動です。これらのプロセスは、企業の全体的なセキュリティ態勢を向上させることができるため重要です。これは専用のツールを使用して行われ、自動化されたアラートとアクションを通じてインシデント対応時間を改善します。

• Alibaba Cloud によるセキュリティタスクの自動化

Alibaba Cloud 上でセキュリティタスクを自動化することで、運用効率を大幅に向上させ、セキュリティチームの負担を軽減できます。Alibaba の ActionTrail を使用して、ユーザーアクティビティと API 呼び出しを記録するトレイルを作成します。場合によっては、このプロセス全体がやや複雑で時間がかかることがあります。そのため、ユーザーやAPIが以前に存在しなかった場合や、その他の不適切な行動が疑われる場合などには、アラート送信イベントを作成し自動化することが推奨されます。

• サードパーティ製セキュリティツールとの連携

より効果的なセキュリティフレームワークを構築するため、組織はAlibaba Cloudとサードパーティ製セキュリティツールの連携を検討することが望ましいでしょう。通常、セキュリティ対策の強化のために、企業はセキュリティ情報イベント管理システム、侵入検知システム、脆弱性管理 ツールなど、さまざまなツールを使用しています。Alibaba Cloudソリューションとサードパーティ製セキュリティツール間の接続性は、APIやWebhookを通じて実現でき、リアルタイムのデータ共有を提供します。

• セキュリティプロセスの統合と自動化のメリット

セキュリティプロセスの統合と自動化の主な利点には、対策の効率性向上、脅威検知の精度向上、運用コストの削減が含まれます。最大のメリットは、自動化されたワークフローを活用することで、セキュリティチームが対策と関わる必要が生じるのは戦略的な場面のみとなる点です。

まとめ

Alibaba Cloudは、IDおよびアクセス管理、暗号化技術、DDoS対策など、その多様な機能によりビジネス運用の効率向上を支援します。これらすべての機能は、Alibaba Cloudのコンプライアンス維持に向けた取り組みと相まって、組織が資産に対する強固な防御体制を構築するのに役立ちます。ビジネスインフラ向けのセキュリティプロセスの統合と自動化を可能にすることで、人的ミスによるリスクを低減します。コンプライアンス維持に向けた取り組みと相まって、組織が資産に対する強固な防御体制を構築するのを支援します。ビジネスインフラ向けのセキュリティプロセスを統合・自動化することで、人的ミスのリスクを低減します。

日常業務を自動化すれば、企業は余剰時間と節約したリソースを他のタスクに活用できます。脅威分析やインシデント対応などがこれに該当します。アリババのセキュリティ機能を最大限活用するには、定期的なセキュリティ評価の実施や最小権限原則の導入といったベストプラクティスを実践すべきです。

アリババはサードパーティツールと自社サービスのスムーズな連携を提供し、組織がセキュリティ状況を包括的に把握することを支援します。ツールとサービスの統合はリアルタイムデータ共有を可能にし、潜在的な脅威の迅速な特定と解決を実現します。この連携はセキュリティ面だけでなく、コンプライアンス対応の強化や、あらゆる脅威への対処準備の整えにも寄与します。

アリババクラウドのセキュリティをさらに強化するには、組織はSentinelOne’sの高度なセキュリティソリューションを導入すべきです。このプラットフォームは脅威検知、自動対応機能、Alibaba Cloudサービスとのシームレスな統合を提供します。

"