企業が業務のデジタル化を進めるにつれ、セキュリティは運用や開発ライフサイクルの後に適用される段階的なプロセスではなく、継続的なプロセスでなければならないことがますます明らかになっています。セキュリティ技術、特にセキュリティの考え方と実践は、並行して発展しています。組織は、データを保護した後にその安全性を維持することが極めて重要であることを認識しています。
絶えず変化する規制環境下でクラウドセキュリティの範囲を把握しつつセキュリティ基準を遵守することは困難を伴います。規制が変化する中でコンプライアンスを維持することは、組織のインフラが複雑になればなるほど困難になります。組織は、データを保護する必要性とクラウドの適応性のバランスを取る必要があります。この記事では、クラウドセキュリティの15の原則について解説します。
クラウドセキュリティの15の原則
組織は、セキュリティ手順について率直かつ誠実であることで、クラウドセキュリティへのアプローチをより効果的に計画できます。クラウドセキュリティロードマップの構築と実装にあたっては、以下のクラウドセキュリティ原則を考慮に入れる必要があります。これらを念頭に置くことで、組織はクラウドセキュリティプラットフォームを最大限に活用できるようになります。
#1 転送中のデータを保護する。
クラウドセキュリティ原則の第一は、転送中のデータ保護です。ユーザーデータを転送するネットワークには、強力な盗聴防止および改ざん防止対策が必須です。組織はネットワーク保護と暗号化技術を活用することでこれを実現できます。これにより攻撃者によるデータへのアクセスや読み取りを阻止することが可能となります。
#2 保管中のデータの保護。
次に遵守すべきクラウドセキュリティ原則は、保管中のデータの保護です。インフラへのアクセス権を持つ不正な人物がデータにアクセスできないことを保証することが不可欠です。保存媒体に関わらず、ユーザーデータは保護されなければなりません。適切な保護策が実施されていない場合、偶発的な情報漏洩やデータ損失は危険を伴います。
#3 資産保護とサービス耐障害性
認証情報、設定データ、派生情報、ログなどは、頻繁に見落とされるデータ種別です。これらも適切に保護する必要があります。
データの所在とアクセス権限を持つユーザーを把握していることで、安心感を得られるはずです。これは詳細ログや 機械学習モデルなど、派生データについても同様です。ただし、機密情報が意図的に除外または削除されている場合は除きます。
#4 顧客間の分離
分離戦略により、ある顧客のサービスが別の顧客のサービス(またはデータ)にアクセスしたり影響を与えたりすることが防止されます。これはクラウドセキュリティ原則において遵守すべき重要なステップです。
クラウドプロバイダーが実施するセキュリティ対策により、以下の点が保証されます:
データへのアクセス権限を管理できること、および他のクライアントが使用する悪意のあるコードからアカウントを保護するのに十分な強固なサービスであること。
#5 セキュリティガバナンスフレームワーク
ガバナンスフレームワークは、サービスの管理を調整し導くために不可欠です。
強固なガバナンス構造は、運用上、手順上、人的、物理的、技術的な統制がサービス全体を通じて維持されることを保証します。さらに、サービスの変更、技術の進歩、新たな脅威の出現にも適応できなければなりません。
#6 運用のセキュリティ確保
攻撃を認識、軽減、回避するためには、運用と管理は高度なセキュリティを確保している必要があります。堅牢な運用セキュリティは、複雑で時間のかかるプロセスを必要としません。変更管理、構成管理、プロアクティブな監視、インシデント管理、および脆弱性管理が重要な要素です。
クラウドセキュリティ原則に関するよくある質問
クラウドセキュリティ原則とは、クラウド上のデータとサービスを安全に保つためのガイドラインです。アクセス保護の方法、データプライバシーの確保、サービス可用性の維持をカバーしています。ガードレールのようなものと考えてください:リソースの閲覧や変更を制御し、転送中および保存中のデータを暗号化し、バックアップを設定します。これらの原則は、組織的な運用を維持し、侵害の可能性を減らすのに役立ちます。
クラウドセキュリティ原則は、不正アクセス、データ漏洩、ダウンタイムを防ぐため重要です。これらのガイドラインに従うことで、攻撃を未然に防ぎ、問題発生時には迅速に復旧できます。
また、法的・業界要件への準拠にも役立ちます。つまり、クラウド原則は、推測に時間を浪費することなく、データ、サービス、評判を保護するための明確な道筋を提供します。
クラウドセキュリティの主要な原則には以下が含まれます:
- 最小権限の原則:タスク実行に必要なアクセス権のみを付与する。
- 多重防御:複数のセキュリティ対策を階層化することで、1つが失敗しても他の対策が保護を維持する。
- あらゆる場所での暗号化:転送中および保存中のデータを暗号化する。
- 責任分担: 自身とプロバイダーがそれぞれ保護すべき範囲を理解する。
- 継続的監視:迅速な検知と対応のために活動を追跡し記録する。
SentinelOneは最小権限の適用、自動化された脅威検知、リアルタイム対応を提供することでクラウドセキュリティ原則に沿っています。Singularity XDRは、エンドポイント、ワークロード、クラウドアプリケーションにAI駆動の保護を多層的に適用し、多層防御を実現します。
通信の暗号化、継続的監視のための全イベントのログ記録、主要クラウドプロバイダーとの連携による責任分担の明確化を行います。また、セキュアな構成のためのコンプライアンスチェックを自動化することも可能です。
共有責任とは、お客様とクラウドプロバイダーがそれぞれセキュリティ上の責務を負うことを意味します。プロバイダーは物理データセンター、ネットワーク、ハイパーバイザーのセキュリティを確保します。お客様は、ご自身のデータ、アプリケーション、ID、設定のセキュリティを確保する責任を負います。
ストレージバケットの設定ミスやパッチ適用を怠ると、プロバイダー側が厳重に保護していても侵害が発生する可能性があります。これらの境界を理解することで、セキュリティ体制全体の隙間や重複を防げます。
最小権限を適用するには、まずアクセス権限を持つユーザーとその理由を監査することから始めます。不要な権限を削除し、個別アカウントではなくロールやグループを活用してください。あらゆる場所で多要素認証を設定し、認証情報を定期的に更新してください。
IDおよびアクセス管理ツールを使用して、誰がどこからログインしているかを監視します。アクセス権限の見直しを自動化し、役割変更や退職時に権限が更新されるようにします。
セキュアな構成は、クラウドリソースが安全な状態で起動することを保証し、開いたポートやデフォルトの認証情報を回避します。Infrastructure-as-Code(IaC)スキャンは、デプロイメントテンプレートを本番環境にプッシュする前に、設定ミスをチェックします。
これらを組み合わせることで、公開されたストレージバケットや過度に許可的なポリシーといった一般的なミスを防ぎます。これらのチェックを自動化することで、エラーを早期に発見し、クラウド環境の一貫性と安全性を維持できます。
まず、すべてのクラウドリソースからのログとメトリクスをセキュリティ情報イベント管理(SIEM)システムに一元化します。ログイン失敗や急激なトラフィック増加など、異常な動作に対するアラートを設定します。自動化されたプレイブックを使用して脅威を即座に封じ込めます。定期的な訓練でインシデント対応計画をテストしてください。
最後に、インシデントを検証して不足点を特定し、制御を更新します。これにより、各対応が組織を強化します。
データ保護をライフサイクルとして扱う:情報の機密性に応じて分類し、転送中および保存時に暗号化し、バックアップは隔離されたオフサイト場所に保管する。重要データにはトークン化またはフィールドレベル暗号化を適用する。ロールベースのアクセス制御でデータの閲覧・変更権限を制限する。データフローと保持ポリシーを定期的に監査し、有用な寿命やコンプライアンス期間を過ぎたデータが残存しないようにする。
ガバナンスとコンプライアンスは、合法性と安全性を維持するためのルールを設定します。ガバナンスは変更管理、リスク評価、セキュリティレビューなどのプロセスを定義します。コンプライアンスは、それらのプロセスがGDPR、HIPAA、PCI DSSなどの基準を満たすことを保証します。
ポリシー・アズ・コードや自動化された監査を活用し、これらを日常業務に組み込むことで、説明責任を維持し、罰金を減らし、イノベーションを遅らせることなく顧客の信頼を維持できます。