クラウドセキュリティに関する誤解は、15年前にクラウドがインフラホスティングの実用的な選択肢となって以来、IT業界を支配してきました。セキュリティと規制コンプライアンスを維持しながらクラウドでサービスをホストすることが現実的かどうかについて、多くのクラウドセキュリティの神話が存在します。
その初期の頃から、IT分野とクラウドは認識を超えた変化を遂げ、クラウドコンピューティングモデルの有用性と強みは今や広く受け入れられています。
クラウドが変化したにもかかわらず、クラウドセキュリティに関する誤解、特にセキュリティ面での誤解は依然として広まっています。以前のクラウドセキュリティの誤解は過度に悲観的でした。今日では、それらは過度に楽観的なクラウドコンプライアンスやセキュリティの見解に陥りがちです。
クラウドセキュリティとは?
クラウドセキュリティとは、組織を外部および内部の脅威から保護するための手順とツールの集合体です。企業がデジタルトランスフォーメーションを推進し、クラウドベースのツールやサービスをインフラに組み込むにつれ、強固なクラウドセキュリティが不可欠となります。組織の業務とデータ管理のための安全なクラウドコンピューティング環境を確保し、機密データを保護するために、これが役立ちます。ツールやサービスをインフラに組み込むにつれ、強固なクラウドセキュリティの確立が不可欠です。組織の業務とデータ管理のための安全なクラウドコンピューティング環境を確保し、機密データ、アプリケーション、リソースを潜在的な危険から保護するのに役立ちます。
デジタル世界、特にクラウドコンピューティング企業が直面する変化の速さにより、セキュリティリスクはより複雑化しています。組織は、クラウド上でのデータへのアクセスや転送方法をほとんど制御できない場合が多い。クラウドセキュリティの強化を積極的に図らなければ、企業はガバナンスやコンプライアンスの観点から、顧客情報を扱う際に多くのリスクを負うことになります。
クラウドセキュリティに関する誤解と真実とは?
以下にクラウドセキュリティに関するいくつかの誤解を紹介します:
誤解1:セキュリティツールが増えればセキュリティが向上する
多くの人は、クラウドセキュリティに関する誤解として、ツールを増やせばクラウドセキュリティが向上すると考えがちです。
しかし実際には、セキュリティツールを増やしても自動的にセキュリティが向上するわけではありません。オラクルとKPMGの「クラウド脅威レポート2020」によると、回答者の70%がパブリッククラウド環境を保護するには過剰な技術が必要だと指摘しています。各環境では平均100以上の異なるセキュリティ制御が導入されています。複数のセキュリティプロバイダー、多様なソリューション、様々な攻撃経路の遮断が隙間を生む。そしてそれらの隙間が攻撃者に侵入の機会を与える。
複雑なクラウドインフラと非連携ソリューションに加え、セキュリティオプションの過剰さは、情報共有の欠如とリスクの高い設計を招く。
こうした隙間を埋めるには、クラウドセキュリティ管理を簡素化し、セキュリティ制御を支援するツールとリソースの導入が不可欠である。
誤解2:セキュリティ責任はCSPのみにある
クラウドセキュリティに関する最大の誤解の一つは、クラウドプロバイダーがセキュリティの全責任を負うというものです。
クラウド利用者であるエンドユーザー組織は、よく知られた「クラウド共有責任モデル」に基づき、サービスにアップロードするデータの保護を依然として担っています。“共有責任モデルによれば、クラウドの顧客であるエンドユーザー組織は、サービスにアップロードしたデータを依然として保護する責任を負います。利用するサービスによって責任範囲が異なるため、クラウドネイティブインフラの保護において自社の義務がどこにあるかを正確に把握することが極めて重要です。
組織は、クラウド上のデータを保護するための複数のアプローチの大半を実装できていません。
誤解3:侵入成功は複雑な攻撃の結果である
侵害が複雑な攻撃によるものだというクラウドセキュリティの神話は誤りです。高度な攻撃者は存在しますが、成功した攻撃の大半は必ずしもその高度化によるものではありません。エンドユーザーのミスや誤った設定が、攻撃の大部分を占めています。
神話4:クラウドの可視化は簡単で容易である
クラウドセキュリティに関するもう一つの誤解は、クラウドの可視化が単純で容易だということです。クラウドリソースの利用には費用がかかるため、関連する詳細をすべて把握しておく必要があります。例えば、所有するアカウント数、設計者が新機能をリリースしたかどうか、正しく設定されているか、脆弱性があるかなどです。&
残念ながら、こうした情報をすべて把握することは、多くの人が考えるよりはるかに困難です。リソースが本来どう動作すべきかを知らなければ、その動作の異常を検知できません。集中管理されたダッシュボードなしでは、脅威を認識しタイムリーに対応することは極めて困難です。
神話5:クラウドセキュリティサービスを利用すればコンプライアンスは保証される
本日取り上げるクラウドセキュリティの神話のもう一つは、「クラウドセキュリティサービスを利用すればコンプライアンスが保証される」というものです。多くのクラウドサービスプロバイダーは、自社のサービスが情報セキュリティ法に準拠していると謳っています。
例えばAmazonのS3ストレージサービスは、SOC、PCI DSS、HIPAAなどの法的要件への準拠認証を取得しています。しかしこれは何を意味するのでしょうか?S3を基盤としたデータストレージシステムが自動的にそれらの基準に適合することを意味するわけではありません。S3はPCI準拠のため、PCI準拠システムの一部として利用可能ですが、適切な設定が必要です。単純な設定ミスでS3を基盤とするシステムは非準拠となる可能性があり、これを防ぐ責任はユーザーにあります。
良い知らせは、SentinelOneのクラウドセキュリティツールを利用すれば、準拠を支援できることです。
誤解6:クラウドセキュリティ監査は不要である。
CSPMおよび脆弱性管理やスキャン機能は、実際にはクラウドセキュリティ監査の一種です。しかしそれだけでは不十分で、他の領域を見逃してしまいます。より広範な文脈では、クラウドセキュリティのベストプラクティスを実施する必要があります。主要なクラウドセキュリティツールやプラットフォームは、徹底的な監査を効果的に実施する機能を提供できます。セキュリティ監査は全体として捉える必要があり、単に脆弱性管理やコンプライアンスだけを考慮してはなりません。クラウドセキュリティツールやテクノロジーが対応する領域や要素は様々です。したがって、最良の結果を得るためには、トップクラスのセキュリティソリューションと最適なセキュリティ対策・プラクティスを組み合わせることが重要です。
誤解7:サーバーレス関数とコンテナは本質的により安全である
サーバーレス関数とコンテナが根本的により安全であるというクラウドセキュリティの誤解は誤りです。コンテナやサーバーレス関数の短命な性質と、その短いライフサイクルはセキュリティを強化します。攻撃者がシステム内に持続的な存在を確立することは困難です。
この主張は本質的には正しいものの、複数のソースからのイベントベースのトリガーを使用すると、攻撃者がより多くの標的と攻撃オプションにアクセスできるようになります。これらのクラウドネイティブ技術は適切に構成されればセキュリティを向上させますが、正しく設定された場合に限ります。
神話8:クラウドは一般的に安全である
この特定のクラウドセキュリティの神話は、むしろファクトイド(事実と虚構が混在したもの)と言えます。
一般的に、クラウドプロバイダーはサーバーのパッチ適用などの運用においてより信頼性が高いです。彼らに任せることは理にかなっており、クラウドサービスプロバイダーは当然のことながら高い信頼を得ています。
しかし、複数のクラウドにまたがるすべてを保護するには、ID管理、アクセス保護、定期的な監査など、多くの手順が必要です。ワークロードが多数のパブリッククラウドやプライベートクラウドに分散するにつれ、リスクに対するエンドツーエンドの文脈がより必要となります。一貫性のない対策では避けられないセキュリティ上の欠陥は、これらの問題を悪化させるだけです。
誤解9:犯罪者はクラウドを標的にしない
サイバー犯罪者がクラウドを標的にする理由は以下の通りです:
- 新技術であるためセキュリティ上の隙間が存在します。クラウドは設計上もデフォルトでも安全ではありません。
- クラウドインフラは複雑化の一途をたどります。組織はスケールアップ・ダウンを繰り返す。新規・既存のクラウドサービスを借りたり削除したりできる。クラウドの相互接続性と組織規模が相まって、脆弱性がさらに増大する。
- 攻撃者は攻撃対象領域を必ずしも重視しない。彼らが重視するのは自らの目的です。顧客のリソースを悪用し、機密データへのアクセス権を獲得し、間接的(あるいは直接的)に操作して機密情報を引き出そうとします。そして2025年には、パブリッククラウドであれプライベートクラウドであれ、こうした攻撃がますます増加するでしょう。
神話10:企業はパブリッククラウドから撤退している
クラウドワークロードがクラウドから戻っているというクラウドセキュリティの神話は、主に、それが真実であることで経済的利益を得るレガシーベンダーによって作り上げられています。実際には、大多数の企業はクラウドワークロードを移行し直していません。移行したケースの大半は、クラウドインフラストラクチャ(IaaS)ではなく、SaaS、コロケーション、アウトソーサーからのものです。
これは、全てのクラウド移行が成功していることを意味するものではありません。企業はクラウド戦略を放棄してアプリを元の場所に戻すよりも、問題が発生した際にその都度対処する傾向が強い。
神話11:優れた企業であるためには、クラウドでなければならない。
クラウドウォッシング、つまりクラウドではないものをクラウドと呼ぶ行為は、意図的ではなく、正当な混乱の結果である場合もある。しかし資金調達や売上拡大、曖昧なクラウドへの期待や目標を満たすため、IT企業やベンダーは多様な製品を「クラウド」と呼称する。その結果、IT サービスや製品は、効果を発揮するためにはクラウドでなければならないという、クラウドセキュリティに関する誤解が生まれています。
クラウドウォッシングに頼るのではなく、物事をありのままに呼ぶべきです。仮想化や自動化は、独立して機能し得る数多くの能力のほんの一例に過ぎない。
神話12:すべてをクラウドで行うべきだ
クラウドは、変動が激しいワークロードや予測不可能なワークロード、セルフサービスプロビジョニングが不可欠なワークロードなど、特定のユースケースに非常に適しています。しかし、すべてのワークロードやアプリケーションがクラウドに適しているわけではありません。例えば、レガシープログラムの移行は、実証可能なコストメリットが得られる場合を除き、通常は確固たるユースケースとは言えません。
すべてのワークロードがクラウドから同等の恩恵を受けるとは限りません。適切な場合には、クラウド以外の選択肢を提案することを躊躇しないでください。
誤解13:クラウド侵害は常にクラウドの脆弱性から始まる
クラウド侵害は常にクラウドの脆弱性から始まるという誤解が広く存在します。実際には、大規模な侵害の大半はクラウド自体から始まっていません。むしろ、攻撃は多くの場合、侵害されたエンドポイント、盗まれたID、または漏洩した秘密情報から始まります——リソースがどこにホストされているかは関係ありません。注目を集めるインシデントがニュースを賑わし続けるのは、クラウドインフラに内在する欠陥のためではなく、攻撃者がハイブリッド環境、エンドポイント、ID管理におけるデジタルセキュリティの隙を突くためです。従来のセキュリティツールではこうした脅威を見逃す可能性があり、わずかな弱点さえも悪意ある攻撃者の侵入経路となり得ます。効果的なクラウドセキュリティは、クラウドワークロードだけでなく環境全体を保護する必要があります。攻撃がどこで発生しても阻止し、脅威がどこから現れても適応する統合された自動防御を提供します。
誤解14:オンプレミスインフラと比較して、クラウドは安全性が低い
これらのクラウドセキュリティに関する誤解は、主に認識の問題です。なぜなら、パブリッククラウドにおけるセキュリティ侵害はごくわずかであり、ほとんどの侵害は依然としてオンプレミス環境に関連しているからです。
あらゆるITシステムの安全性は、それを維持するために導入された保護策によってのみ保証されます。クラウドサービス企業は、自社の主要事業に関わるため、堅牢なセキュリティへの投資や優れたインフラ構築をより容易に行える可能性があります。
誤解15:マルチテナント(パブリック)クラウドはシングルテナント(プライベート)クラウドより安全性が低い
クラウドセキュリティに関するこの神話は、一見理にかなっているように思えます。つまり、単一の専用テナント組織が使用する環境は、複数の組織が使用する環境よりも安全であるというものです。しかし、これは必ずしも当てはまるわけではありません。マルチテナントシステムは「コンテンツ保護の追加レイヤーを提供する…アパートのテナントが建物に入るための鍵と個々のアパートに入るための鍵を別々に使うように、マルチテナントシステムは境界セキュリティと『アパートレベル』のセキュリティの両方を独自に必要とする」と、クラウドセキュリティに関する神話を扱ったCIOの記事で述べられている。これにより外部ハッカーがシステムにアクセスする難易度が上昇します。
クラウドセキュリティにSentinelOneが選ばれる理由とは?
今日のクラウド環境では、統一された AI 駆動型のセキュリティアプローチが求められており、SentinelOne の Singularity™ Cloud Security は、AI を活用したエージェントレスの CNAPP によってこの課題に対応しています。 コンテナ、Kubernetes、VM、サーバーレスワークロードなど、環境全体を深く可視化する単一プラットフォームにより、セキュリティチームは脅威をリアルタイムで検知・無力化できます。エージェントレス CSPM により、数分で導入、設定ミスを排除、マルチクラウドのコンプライアンスを確保できます。また、AI-SPM により、高度な設定チェックと Verified Exploit Paths™ を使用して、AI パイプライン、モデルを発見し、AI サービスを評価することができます。しかし、これはほんの始まりにすぎません。
- CWPP は、あらゆるクラウド環境やオンプレミス環境において、AI を活用したアクティブな防御を実現します。一方、CDR は、迅速な封じ込めと専門的なインシデント対応のために、きめ細かなフォレンジックテレメトリとカスタマイズ可能な検出機能を提供します。CIEM は権限を強化し、シークレットの漏洩を防止します。EASM は未知の資産を発見し、外部攻撃面の管理を自動化します。Graph Explorer は、クラウド、エンドポイント、ID 資産にわたるアラートを視覚的に相関させ、脅威の影響を一目で評価します。CI/CD パイプラインとシームレスに統合することで、SentinelOne はシフトレフトセキュリティを早期に実施します。1,000 以上の既成およびカスタムルールにより、脅威を継続的に監視および検出します。KSPM は、コンテナ化および Kubernetes 環境の継続的な保護とコンプライアンスを保証します。
- SentinelOne は、ノーコードのハイパーオートメーションを使用し、AI セキュリティアナリストを備え、世界クラスの脅威インテリジェンスを提供します。
- 1 つのプラットフォーム。すべての表面。死角なし。誤検知ゼロ。
CNAPPマーケットガイド結論
クラウドコンピューティングのセキュリティを担当する組織のリーダーは、クラウドセキュリティに関する一般的な誤解を理解する必要があります。事実とクラウドセキュリティの神話を見分けられる者は、クラウドコンピューティングからより大きな利益を得て、ビジネスを推進し、顧客を安全かつ持続的に支援するために活用できるでしょう。
クラウド技術を採用する企業は、クラウドベースのリスクから防御し、クラウド環境全体、データ、資産を保護するための適切なセキュリティソリューションを構築しなければならない。
クラウドセキュリティに関するよくある誤解とFAQ
いいえ。クラウドプラットフォームは、物理データセンター、ハイパーバイザー、ネットワークといったインフラのセキュリティに多額の投資を行っています。そのチームは24時間体制でシステムのパッチ適用を行っています。実際、多くのパブリッククラウドはISO 27001やSOC 2といった高水準の保証基準を満たしています。重要なのは、それらのサービスをどのように設定し利用するかです。設定ミスこそが、クラウド自体ではなく、ほとんどの侵害の原因となります。
決してそうではありません。責任分担モデルのもとでは、プロバイダーが基盤インフラのセキュリティを確保し、お客様はデータ、ID、設定を管理します。暗号化キー、アクセスポリシー、ネットワーク制御はお客様が選択します。適切に設定すれば、データが社外に存在する場合でも、データの閲覧や変更を許可する対象を完全に制御できます。
いいえ。プロバイダーは「クラウドの基盤」となるコンポーネント(ハードウェア、ホストOS、仮想化レイヤー)を保護します。お客様は「クラウド内」の要素——ワークロード、データ、ユーザー権限、ネットワーク設定——の責任を負います。この責任範囲を怠ると攻撃者に悪用される隙が生じるため、セキュリティのベストプラクティスと継続的な監視を適用する必要があります。
パスワードは有効ですが、単なる一つの層に過ぎません。資格情報の盗難を防ぐには多要素認証が不可欠です。また、侵害された資格情報から守るためには、役割ベースのアクセス制御、ジャストインタイム権限付与、セッション監視も必要です。ログインパターンの継続的な可視化と異常検知アラートが、強固な防御体制を完成させます。
いいえ。コンプライアンスフレームワークは必要な制御と監査を列挙しますが、コンプライアンスチェックを通過しても、新たな脅威から安全である保証にはなりません。リアルタイム監視、脆弱性修正、インシデント対応は依然として必要です。コンプライアンスは最低基準であり、セキュリティは攻撃者の戦術の変化に応じて適応する継続的な実践です。
ログとアラートは重要ですが、本質的に事後対応的です。インシデントを未然に防ぐには、設定の強化、自動化された設定ミススキャン、継続的なセキュリティ態勢管理といった予防策が必要です。アラートはXDRやSOARプレイブックと連携し、脅威が拡大する前に封じ込め・隔離すべきです。
クラウドネイティブのセキュリティツールは従量課金制を採用していることが多く、中小企業でも導入可能です。ハードウェアやソフトウェアの初期費用を回避できます。多くのプロバイダーは、IAM、暗号化、基本的な脅威検知などの組み込みセキュリティ機能を追加料金なしで提供しています。これらを活用し、必要なアドオンを追加することで、コストを抑えられます。
シフトレフトセキュリティはクラウド環境でも同様に有効です。インフラストラクチャ・アズ・コードのテンプレートやCI/CDパイプラインにセキュリティチェックを組み込むことで、リソースが起動する前に設定ミスを検出できます。これにより、本番環境でのコストのかかる緊急修正を回避し、新規サービスが最初から安全な設定で開始されることを保証します。