クラウドセキュリティに関する誤解は、クラウドがインフラストラクチャのホスティング手段として現実的な選択肢となった15年前からIT業界に根強く存在しています。サービスをクラウドでホストしながらセキュリティや規制遵守を維持できるかどうかについて、多くのクラウドセキュリティの神話が存在します。
当時からIT業界とクラウドは大きく変化し、クラウドコンピューティングモデルの有用性と強みは広く認められるようになりました。
クラウドが進化した現在でも、クラウドセキュリティの神話は依然として流布しており、特にクラウドセキュリティに関するものが目立ちます。以前のクラウドセキュリティの神話は過度に悲観的でしたが、現在では過度に楽観的なクラウドのコンプライアンスやセキュリティ観にも偏りが見られます。
クラウドセキュリティとは?
クラウドセキュリティは、組織を外部および内部の脅威から保護するための手順やツールの集合体です。企業がデジタルトランスフォーメーションを推進し、クラウドベースのツールやサービスをインフラストラクチャに組み込む中で、強固なクラウドセキュリティの確保が不可欠となっています。これにより、組織の運用やデータ管理において安全なクラウドコンピューティング環境を実現し、機密データ、アプリケーション、リソースを潜在的な脅威から保護します。
デジタル環境の急速な変化により、特にクラウドコンピューティング企業にとってセキュリティリスクはより複雑化しています。組織はクラウド上でのデータのアクセスや転送方法を十分に制御できないことが多く、クラウドセキュリティの強化に積極的に取り組まなければ、ガバナンスやコンプライアンスの観点から顧客情報を扱う際に多くのリスクを抱えることになります。
クラウドセキュリティの神話と事実とは?
以下はクラウドセキュリティの神話の一例です。
神話1:セキュリティツールが多いほどセキュリティが向上する
一般的に、クラウドセキュリティの神話として、ツールを多く導入すればクラウドセキュリティが向上するという考えがあります。
しかし実際には、セキュリティツールを増やしても自動的にセキュリティが向上するわけではありません。OracleとKPMGのCloud Threat Report 2020によると、パブリッククラウド環境を保護するために必要な技術が多すぎると回答した人は70%に上ります。各組織は平均して100以上の異なるセキュリティコントロールを使用しています。複数のセキュリティベンダーや多様なソリューション、さまざまな攻撃経路の遮断がギャップを生み出し、その隙間が攻撃者の侵入機会となります。
過剰なセキュリティオプションと複雑なクラウドインフラ、連携しないソリューションの組み合わせは、情報共有の欠如やリスクの高い設計につながります。
これらのギャップを埋めるには、クラウドセキュリティ管理を簡素化し、セキュリティコントロールを強化するためのツールやリソースの導入が不可欠です。
神話2:CSP(クラウドサービスプロバイダー)のみがセキュリティ責任を負う
クラウドセキュリティの最大の神話の一つは、クラウドプロバイダーがセキュリティの全責任を負うというものです。
クラウド利用者であるエンドユーザー組織も、サービスにアップロードしたデータを保護する責任があります。これは有名な「責任共有モデル」に基づいています。利用するサービスによって責任範囲が異なるため、クラウドネイティブインフラストラクチャの保護において自社の責任範囲を正確に把握することが重要です。
多くの組織は、クラウド上のデータを保護するためのさまざまなアプローチを十分に実施できていません。
神話3:侵害の成功は複雑な攻撃によるもの
侵害が複雑な攻撃によるものだというクラウドセキュリティの神話は事実ではありません。高度な攻撃者が存在するのは事実ですが、ほとんどの成功した攻撃は必ずしも高度化によるものではありません。大半の攻撃はエンドユーザーのミスや設定ミスが原因です。
神話4:クラウドの可視化は簡単で容易である
クラウドの可視化が簡単であるというのもクラウドセキュリティの神話の一つです。クラウドリソースを利用する際には、アカウント数や新機能のリリース状況、設定の正確性、脆弱性の有無など、あらゆる詳細を把握しておく必要があります。
しかし、これらすべての情報を把握し続けるのは、多くの人が考えるよりもはるかに困難です。リソースの正常な挙動を把握していなければ、逸脱を検知することはできません。集中管理されたダッシュボードがなければ、脅威をタイムリーに認識し対応することは非常に困難です。
神話5:クラウドセキュリティサービスを利用すればコンプライアンスが保証される
本日取り上げるクラウドセキュリティの神話の一つに、クラウドセキュリティサービスを利用すればコンプライアンスが保証されるというものがあります。多くのクラウドサービスプロバイダーは、自社サービスが情報セキュリティ法規に準拠していることをアピールしています。
例えば、AmazonのS3ストレージサービスはSOC、PCI DSS、HIPAAなどの法的要件への準拠認証を取得しています。しかし、それは何を意味するのでしょうか?S3を利用したデータストレージシステムが自動的にこれらの基準に準拠することを意味するわけではありません。S3はPCI準拠システムの一部として利用できますが、適切な設定が必要です。S3上に構築されたシステムは、単純な設定ミスによって非準拠となる可能性があり、それを防ぐ責任はユーザーにあります。
良いニュースとして、SentinelOneのクラウドセキュリティツールを利用すれば、コンプライアンスの支援が可能です。
神話6:クラウドセキュリティ監査は不要である
CSPMや脆弱性管理・スキャン機能は、実際にはクラウドセキュリティ監査の一種です。しかし、それだけでは十分ではなく、他の領域を見落とすことになります。より広い観点からは、最適なクラウドセキュリティ対策の実施が必要です。先進的なクラウドセキュリティツールやプラットフォームは、徹底的な監査を効果的に実施する機能を提供できます。セキュリティ監査全体を俯瞰し、脆弱性管理やコンプライアンスだけにとらわれないことが重要です。クラウドセキュリティツールや技術が対応する領域や要素は多岐にわたります。最良の結果を得るには、最先端のセキュリティソリューションと最適なセキュリティ対策・運用を組み合わせることが重要です。
神話7:サーバーレス関数やコンテナは本質的により安全である
サーバーレス関数やコンテナが本質的により安全であるというクラウドセキュリティの神話は誤りです。コンテナやサーバーレス関数の短命性や一時的な性質はセキュリティを高めます。攻撃者がシステム内に長期間滞在するのは困難です。
この主張は基本的には正しいものの、多数のソースからのイベントベーストリガーを利用することで、攻撃者はより多くのターゲットや攻撃手段を得ることになります。これらのクラウドネイティブ技術は、適切に設定されていればセキュリティを向上させますが、正しく運用されている場合に限ります。
神話8:クラウドは一般的により安全である
このクラウドセキュリティの神話は、事実と誤解が混在したものです。
一般的に、クラウドプロバイダーはサーバーのパッチ適用などの運用面で信頼性が高いです。運用を任せるのは理にかなっており、クラウドサービスプロバイダーは高い信頼を得ています。
しかし、複数のクラウドにまたがる全体の保護には、ID管理、アクセス制御、定期的な監査など多くのステップが必要です。パブリッククラウドやプライベートクラウドにワークロードが分散することで、リスクの全体像が見えにくくなります。一貫性のない対策によるセキュリティの抜け穴が、これらの問題をさらに悪化させます。
神話9:犯罪者はクラウドを標的にしない
サイバー犯罪者がクラウドを標的にする理由は以下の通りです。
- 新しい技術であるためセキュリティの隙間が存在します。クラウドは設計上やデフォルトで安全ではありません。
- クラウドインフラはますます複雑化します。組織はスケールアップ・ダウンを繰り返し、新規または既存のクラウドサービスを追加・削除できます。クラウドの相互接続性と組織規模の大きさが脆弱性を高めます。
- 攻撃者は必ずしも攻撃面にこだわりません。彼らは目的を重視します。顧客のリソースを悪用し、機密データへアクセスし、間接的または直接的に機密情報を引き出そうとします。2025年には、パブリッククラウドでもプライベートクラウドでも、こうした事例がますます増加するでしょう。
神話10:企業はパブリッククラウドから撤退している
ワークロードがクラウドから戻っているというクラウドセキュリティの神話は、主にそれが事実であることで利益を得るレガシーサプライヤーによって作られています。実際には、ほとんどの企業はクラウドワークロードを戻していません。多くの場合、移行元はSaaS、コロケーション、アウトソーサーであり、クラウドインフラ(IaaS)ではありません。
これはすべてのクラウド移行が成功していることを意味するものではありません。企業はクラウド戦略を放棄してアプリケーションを元の場所に戻すのではなく、問題が発生した際に個別に対応する傾向があります。
CNAPPバイヤーズ・ガイド神話11:優れたサービスや製品はクラウドでなければならない
クラウドでないものをクラウドと呼ぶ「クラウドウォッシング」は、意図せず混乱から生じる場合もあります。しかし、資金調達や売上拡大、曖昧なクラウド要件や目標を満たすために、IT企業やベンダーは多様な製品を「クラウド」と称します。これにより、ITサービスや製品はクラウドでなければ効果的でないというクラウドセキュリティの神話が生まれます。
クラウドウォッシングに頼らず、実態に即した呼称を用いましょう。仮想化や自動化など、クラウド以外にも独立して価値を持つ機能は多く存在します。
神話12:すべてをクラウドで行うべきである
クラウドは、変動が大きいワークロードや予測困難なワークロード、セルフサービス型プロビジョニングが重要なケースなどに最適です。しかし、すべてのワークロードやアプリケーションがクラウドに適しているわけではありません。例えば、レガシープログラムの移行は、明確なコストメリットが得られる場合を除き、適切なユースケースとは言えません。
すべてのワークロードがクラウドの恩恵を等しく受けるわけではありません。適切な場合には、クラウド以外の選択肢を提案することも重要です。
神話13:クラウド侵害は常にクラウドの脆弱性から始まる
クラウド侵害は常にクラウドの脆弱性から始まるというのはよくある誤解です。実際には、主要な侵害の多くはクラウド自体から始まるわけではありません。攻撃は多くの場合、侵害されたエンドポイント、盗まれたID、漏洩したシークレットなどから始まります。リソースがどこにホストされているかに関係なく、ハイブリッド環境やエンドポイント、IDのギャップを攻撃者が突くことで、重大なインシデントが発生し続けています。従来型のセキュリティツールではこれらの脅威を見逃すことがあり、小さな弱点が攻撃者の侵入口となります。効果的なクラウドセキュリティには、クラウドワークロードだけでなく、環境全体の保護が必要です。攻撃がどこから始まっても阻止し、脅威の発生場所に応じて統合的かつ自動化された防御を提供する必要があります。
神話14:オンプレミスインフラと比べてクラウドは安全性が低い
これらのクラウドセキュリティの神話は主に認識の問題であり、パブリッククラウドでのセキュリティ侵害は非常に少なく、ほとんどの侵害はオンプレミス環境で発生し続けています。
どのITシステムも、導入された対策の強度によって安全性が決まります。クラウドサービス企業は本業として強固なセキュリティに投資しやすく、より優れたインフラを構築できます。
神話15:マルチテナント(パブリック)クラウドはシングルテナント(プライベート)クラウドより安全性が低い
このクラウドセキュリティの神話は一見理にかなっているように思えます。単一の専用テナント組織が利用する環境の方が、複数組織が利用する環境より安全だというものです。
しかし、必ずしもそうとは限りません。マルチテナントシステムは「追加のコンテンツ保護層を提供します。アパートの住人が建物の入り口用の鍵と自分の部屋用の鍵を使うように、マルチテナントシステムは境界と“部屋レベル”の両方のセキュリティを必要とします」と、CIOの記事でも述べられています。これにより、外部の攻撃者がシステムにアクセスするのがより困難になります。
なぜSentinelOneのクラウドセキュリティなのか?
今日のクラウド環境では、統合されたAI駆動型のセキュリティアプローチが求められており、SentinelOneのSingularity™ Cloud Securityは、AI搭載のエージェントレスCNAPPでその課題に応えます。コンテナ、Kubernetes、VM、サーバーレスワークロードなど、環境全体を深く可視化し、セキュリティチームがリアルタイムで脅威を検知・無力化できる単一プラットフォームです。エージェントレスCSPMにより、数分で導入でき、設定ミスを排除し、マルチクラウドのコンプライアンスを確保できます。AI-SPMでは、AIパイプラインやモデルの発見、AIサービスの高度な設定チェックやVerified Exploit Paths™による評価が可能です。しかし、これはほんの一例に過ぎません。
- CWPPは、あらゆるクラウドやオンプレミス環境でAI駆動のアクティブ防御を提供し、CDRは詳細なフォレンジックテレメトリとカスタマイズ可能な検知で迅速な封じ込めと専門的なインシデント対応サービスを実現します。CIEMは権限の厳格化とシークレット漏洩防止を支援し、EASMは未知の資産を発見し外部攻撃面管理を自動化、Graph Explorerはクラウド・エンドポイント・ID資産全体のアラートを視覚的に相関し、脅威の影響を一目で評価できます。CI/CDパイプラインとシームレスに統合し、SentinelOneはシフトレフトセキュリティを早期に実現します。1,000以上の標準およびカスタムルールで脅威を継続的に監視・検知します。KSPMは、コンテナ化およびKubernetes環境の継続的な保護とコンプライアンスを保証します。
- SentinelOneはノーコードのハイパーオートメーション、AIセキュリティアナリスト、世界最高水準の脅威インテリジェンスを提供します。
- ワンプラットフォーム。すべてのサーフェス。見落としゼロ。誤検知ゼロ。
サーバー、VM、コンテナ向けのAI搭載クラウドワークロード保護(CWPP)。実行時の脅威をリアルタイムで検知・阻止します。
まとめ
クラウドコンピューティングのセキュリティを担う組織のリーダーは、クラウドセキュリティに関する一般的な誤解を理解しておく必要があります。事実とクラウドセキュリティの神話を見極められる人は、クラウドコンピューティングの利点を最大限に活用し、ビジネスの発展や顧客支援を安全かつ持続的に実現できます。
クラウド技術を導入する企業は、クラウドベースのリスクから防御し、クラウド全体のサーフェス、データ、資産を保護するために適切なセキュリティソリューションを構築する必要があります。
クラウドセキュリティの誤解に関するFAQ
いいえ。クラウドプラットフォームは、物理データセンター、ハイパーバイザー、ネットワークなどのインフラストラクチャのセキュリティに多大な投資を行っています。担当チームが24時間体制でシステムのパッチ適用を実施しています。実際、多くのパブリッククラウドはISO 27001やSOC 2などの高い保証基準を満たしています。重要なのは、サービスの設定や利用方法です。多くの侵害はクラウド自体ではなく、設定ミスが原因です。
そのようなことはありません。責任共有モデルのもと、プロバイダーは基盤となるインフラストラクチャを保護し、利用者はデータ、ID、設定を管理します。暗号鍵、アクセス制御ポリシー、ネットワーク制御も利用者が選択します。適切に設定すれば、データが社外にあっても、誰が閲覧・変更できるかを完全に管理できます。
いいえ。プロバイダーは「クラウドの」コンポーネント(ハードウェア、ホストOS、仮想化レイヤー)を保護しますが、「クラウド内」のワークロード、データ、ユーザー権限、ネットワーク設定は利用者の責任です。利用者側の対策を怠ると攻撃者に悪用されるリスクが残るため、セキュリティのベストプラクティスや継続的な監視が必要です。
パスワードは役立ちますが、それだけでは不十分です。認証情報の窃取を防ぐには多要素認証が不可欠です。さらに、ロールベースのアクセス制御、ジャストインタイム権限、セッション監視も必要です。ログインパターンの継続的な可視化や異常検知アラートも強固な防御に役立ちます。
いいえ。コンプライアンスフレームワークは必要な管理策や監査を定めていますが、コンプライアンスチェックに合格しても新たな脅威から安全が保証されるわけではありません。リアルタイム監視、脆弱性修正、インシデント対応が引き続き必要です。コンプライアンスは基準であり、セキュリティは攻撃手法の変化に合わせて継続的に実践するものです。
ログやアラートは重要ですが、本質的にリアクティブな対策です。インシデントを未然に防ぐには、設定の強化、自動化された設定ミスのスキャン、継続的なポスチャ管理などのプロアクティブな対策が必要です。アラートはXDRやSOARのプレイブックと連携し、脅威を拡大前に封じ込め・隔離する必要があります。
クラウドネイティブのセキュリティツールは従量課金制が多く、SMBにも手頃です。大規模な初期ハードウェアやソフトウェア投資は不要です。多くのプロバイダーはIAM、暗号化、基本的な脅威検知などのセキュリティ機能を追加費用なしで提供しています。これらを活用し、必要に応じて追加機能を組み合わせることでコストを抑えられます。
Shift-Leftセキュリティはクラウドにも有効です。インフラストラクチャ・アズ・コードのテンプレートやCI/CDパイプラインにセキュリティチェックを組み込むことで、リソースの展開前に設定ミスを検出できます。これにより、本番環境での高額な緊急修正を回避し、新サービスを初日から安全な設定で開始できます。
