企業が業務のデジタル化を進めるにつれ、セキュリティは運用や開発ライフサイクルの後に適用される段階的なプロセスではなく、継続的なプロセスでなければならないことがますます明らかになっています。セキュリティ技術、特にセキュリティの考え方と実践は、並行して発展しています。組織は、データを保護した後にその安全性を維持することが極めて重要であることを認識しています。
絶えず変化する規制環境下でクラウドセキュリティの範囲を把握しつつセキュリティ基準を遵守することは困難を伴います。規制が変化する中でコンプライアンスを維持することは、組織のインフラが複雑になればなるほど困難になります。組織は、データを保護する必要性とクラウドの適応性のバランスを取る必要があります。この記事では、クラウドセキュリティの15の原則について解説します。
クラウドセキュリティの15の原則
組織は、セキュリティ手順について率直かつ誠実であることで、クラウドセキュリティへのアプローチをより効果的に計画できます。クラウドセキュリティロードマップの構築と実装にあたっては、以下のクラウドセキュリティ原則を考慮に入れる必要があります。これらを念頭に置くことで、組織はクラウドセキュリティプラットフォームを最大限に活用できるようになります。
#1 転送中のデータを保護する。
クラウドセキュリティ原則の第一は、転送中のデータ保護です。ユーザーデータを転送するネットワークには、強力な盗聴防止および改ざん防止対策が必須です。組織はネットワーク保護と暗号化技術を活用することでこれを実現できます。これにより攻撃者によるデータへのアクセスや読み取りを阻止することが可能となります。
#2 保管中のデータの保護。
次に遵守すべきクラウドセキュリティ原則は、保管中のデータの保護です。インフラへのアクセス権を持つ不正な人物がデータにアクセスできないことを保証することが不可欠です。保存媒体に関わらず、ユーザーデータは保護されなければなりません。適切な保護策が実施されていない場合、偶発的な情報漏洩やデータ損失は危険を伴います。
#3 資産保護とサービス耐障害性
認証情報、設定データ、派生情報、ログなどは、頻繁に見落とされるデータ種別です。これらも適切に保護する必要があります。
データの所在とアクセス権限を持つユーザーを把握していることで、安心感を得られるはずです。これは詳細ログや 機械学習モデルなど、派生データについても同様です。ただし、機密情報が意図的に除外または削除されている場合は除きます。
#4 顧客間の分離
分離戦略により、ある顧客のサービスが別の顧客のサービス(またはデータ)にアクセスしたり影響を与えたりすることが防止されます。これはクラウドセキュリティ原則において遵守すべき重要なステップです。
クラウドプロバイダーが実施するセキュリティ対策により、以下の点が保証されます:
データへのアクセス権限を管理できること、および他のクライアントが使用する悪意のあるコードからアカウントを保護するのに十分な強固なサービスであること。
#5 セキュリティガバナンスフレームワーク
ガバナンスフレームワークは、サービスの管理を調整し導くために不可欠です。
強固なガバナンス構造は、運用上、手順上、人的、物理的、技術的な統制がサービス全体を通じて維持されることを保証します。さらに、サービスの変更、技術の進歩、新たな脅威の出現にも適応できなければなりません。
#6 運用のセキュリティ確保
攻撃を認識、軽減、回避するためには、運用と管理は高度なセキュリティを確保している必要があります。堅牢な運用セキュリティは、複雑で時間のかかるプロセスを必要としません。変更管理、構成管理、プロアクティブな監視、インシデント管理、および脆弱性管理が重要な要素です。
CNAPPマーケットガイドサービスプロバイダーの従業員を精査し、アクセス権限を制限してください。これはクラウドセキュリティ原則において遵守すべき重要なステップです。サービスプロバイダーの従業員がデータやシステムにアクセスする場合、その信頼性と行動を監視・抑制する技術的制御に十分な信頼を置く必要があります。
効果的な運用にはバランスの取れた人員管理が不可欠です。
- サービスプロバイダーが従業員への信頼をどのように構築しているかを示す。
- サービスプロバイダー従業員による意図的・非意図的な侵害の可能性と影響を軽減する技術的保護策
#8 開発セキュリティ
クラウドセキュリティ原則の次は開発セキュリティです。クラウドサービスの設計、開発、展開は、セキュリティ上の脆弱性を最小限に抑え、軽減すべきです。
クラウドサービスが安全に作成、開発、展開されない場合、データの危険に晒される、サービス中断を引き起こす、またはその他の犯罪行為を助長するセキュリティ問題が発生する可能性があります。
サービスの開発および設計プロセス全体を通じて、セキュリティを考慮に入れる必要があります。新機能の開発過程では、潜在的な脅威の評価と効果的な対策の構築を検討してください。有用性、コスト、セキュリティのバランスを取ることが不可欠です。
#9 サプライチェーンの保護
サードパーティのサプライチェーンは、サービスが主張する全てのセキュリティ基準の実装を支援すべきです。
クラウドサービスは外部からの商品・サービスに依存しています。したがって、この概念が実装されていない場合、サプライチェーンの侵害はサービスのセキュリティを脅かし、他のセキュリティ原則の適用を妨げる可能性があります。
#10 ユーザー管理セキュリティ
クラウドセキュリティ原則の次はユーザー管理セキュリティである。サービスプロバイダーは、サービスの安全な利用を管理するためのツールを提供すべきです。
サービスプロバイダーは、データ、アプリケーション、リソースへの不正アクセスや改ざんを禁止し、サービスへの安全なアクセスを制御するためのツールを提供すべきです。
ロールベースアクセス制御(RBAC)と同様に、アクセス制御は人間または機械のアイデンティティに適用される特定の権限に基づくべきです。このモデルでは、各細粒度の認可は1つ以上のリソースにスコープされ、ロール(アイデンティティ)に付与されます。これにより、意図した機能を遂行するために必要なリソースのみにアクセス権を持つロールの作成が可能になります。
複雑さを伴わずに機能を強化する当社のクラウドセキュリティプラットフォームで複雑さを伴わずに機能を強化しましょう。
#11 認可されたアイデンティティと認証
サービスインターフェースへのアクセスは、認証済みかつ認可されたユーザーのみに許可されるべきです。
サービスやデータへのアクセス権限は、ユーザーまたはサービスIDを問わず、認証済みかつ認可された主体のみに付与されるべきです。
原則9「安全なユーザー管理」で概説されている効果的なアクセス制御を実施するには、アクセスを行う者の身元を確認するための認証プロセスを信頼できる必要があります。
これらのインターフェースに対する脆弱な認証は、システムへの不正アクセスを許容し、データ窃取・改ざん、サービス変更、サービス拒否攻撃を引き起こす可能性があります。
#12 外部インターフェースの保護
外部向けまたは信頼性の低いサービスインターフェースは全て特定し保護する必要があります。これはクラウドセキュリティ原則における重要なポイントです。
防御策にはアプリケーションプログラミングインターフェース(API)、ウェブコンソール、コマンドラインインターフェース(CLI)、ダイレクト接続サービスが含まれます。さらに、サービスへのあらゆるインターフェースは、クラウドサービス上に構築され、クラウドプロバイダーとユーザーがサービスにアクセスするために使用する管理インターフェースです。
公開されているインターフェースがプライベートなものである場合(管理インターフェースなど)、侵害の影響はより深刻になる可能性があります。クラウドサービスへの接続方法は様々であり、それによって企業システムがさらされるリスクの度合いも異なります。
#13 サービス管理セキュリティ
クラウドサービスプロバイダーは、管理システムの重要性を認識すべきです。
攻撃者にとっての価値の高さを念頭に置きつつ、クラウドプロバイダーが使用する管理システムの設計、導入、管理は、ビジネスのベストプラクティスに従うべきです。
クラウドサービス管理のためにベンダーが使用する特権の高いシステムは、そのサービスへのアクセス権を持ちます。これらが侵害されると重大な影響が生じ、セキュリティ対策を迂回して大量のデータを窃取・改ざんされる可能性があります。
#14 セキュリティアラートと監査情報の発行
クラウドセキュリティ原則の次は、セキュリティアラートと監査情報の発行です。プロバイダーは、サービスへのユーザーアクセスとそこに保存されたデータを追跡するために必要なログを提供すべきです。
セキュリティ問題を認識し、それがいつどのように発生したかを特定するための知識を持つべきです。
サービス利用状況や保存データに関連する事象を調査するために必要な監査情報を提供すべきです。不適切または悪意のある行為に迅速に対応できるかどうかは、アクセス可能な監査情報の種類に直接依存します。
クラウドプロバイダーは、お客様の要件に適合した形式でセキュリティアラートを即時配信すべきです。運用担当者向けの書面形式と、自動分析用の構造化された機械可読形式を含めるべきです。
実際の事象を待たずにアラート処理を定期的にテストできるように、クラウドプロバイダーはアラートのシミュレーション方法を提供し、送信可能なすべてのアラートタイプを記録すべきです。
#15 サービスの安全な利用
クラウドサービスプロバイダーは、データ保護義務を適切に履行するための手段を簡便に提供すべきです。
プロバイダーがデフォルトで安全な設定を採用している場合でも、クラウドサービスの設定は必須です。当社の「クラウドサービスを安全に利用するためのガイド」を参照し、プロバイダーの推奨設定が自社のセキュリティ要件を満たすか判断してください。ペネトレーションテストや包括的なセキュリティレビューの一環として、設定を定期的に監査してください。
結論
クラウドセキュリティは様々な課題と成長の可能性に直面しており、セキュリティ原則は企業がこれらのギャップを埋めるのに役立ちます。全てのユーザーと企業は、クラウドセキュリティ環境における脅威を十分に理解し、クラウドセキュリティ原則に従う必要があります。組織がクラウドセキュリティに割り当てる資金と努力は、ユーザーの利便性と市場投入までの時間とのバランスを取る必要があります。デモをリクエスト 当社Singularity Cloud SecurityプラットフォームのSentinelOne® シングルリティ クラウド セキュリティデモを今すぐご請求いただき、SentinelOneが組織にどのように貢献できるかご確認ください
クラウドセキュリティ原則に関するよくある質問
クラウドセキュリティ原則とは、クラウド上のデータとサービスを安全に保つためのガイドラインです。アクセス保護の方法、データプライバシーの確保、サービス可用性の維持をカバーしています。ガードレールのようなものと考えてください:リソースの閲覧や変更を制御し、転送中および保存中のデータを暗号化し、バックアップを設定します。これらの原則は、組織的な運用を維持し、侵害の可能性を減らすのに役立ちます。
クラウドセキュリティ原則は、不正アクセス、データ漏洩、ダウンタイムを防ぐため重要です。これらのガイドラインに従うことで、攻撃を未然に防ぎ、問題発生時には迅速に復旧できます。
また、法的・業界要件への準拠にも役立ちます。つまり、クラウド原則は、推測に時間を浪費することなく、データ、サービス、評判を保護するための明確な道筋を提供します。
クラウドセキュリティの主要な原則には以下が含まれます:
- 最小権限の原則:タスク実行に必要なアクセス権のみを付与する。
- 多重防御:複数のセキュリティ対策を階層化することで、1つが失敗しても他の対策が保護を維持する。
- あらゆる場所での暗号化:転送中および保存中のデータを暗号化する。
- 責任分担: 自身とプロバイダーがそれぞれ保護すべき範囲を理解する。
- 継続的監視:迅速な検知と対応のために活動を追跡し記録する。
SentinelOneは最小権限の適用、自動化された脅威検知、リアルタイム対応を提供することでクラウドセキュリティ原則に沿っています。Singularity XDRは、エンドポイント、ワークロード、クラウドアプリケーションにAI駆動の保護を多層的に適用し、多層防御を実現します。
通信の暗号化、継続的監視のための全イベントのログ記録、主要クラウドプロバイダーとの連携による責任分担の明確化を行います。また、セキュアな構成のためのコンプライアンスチェックを自動化することも可能です。
共有責任とは、お客様とクラウドプロバイダーがそれぞれセキュリティ上の責務を負うことを意味します。プロバイダーは物理データセンター、ネットワーク、ハイパーバイザーのセキュリティを確保します。お客様は、ご自身のデータ、アプリケーション、ID、設定のセキュリティを確保する責任を負います。
ストレージバケットの設定ミスやパッチ適用を怠ると、プロバイダー側が厳重に保護していても侵害が発生する可能性があります。これらの境界を理解することで、セキュリティ体制全体の隙間や重複を防げます。
最小権限を適用するには、まずアクセス権限を持つユーザーとその理由を監査することから始めます。不要な権限を削除し、個別アカウントではなくロールやグループを活用してください。あらゆる場所で多要素認証を設定し、認証情報を定期的に更新してください。
IDおよびアクセス管理ツールを使用して、誰がどこからログインしているかを監視します。アクセス権限の見直しを自動化し、役割変更や退職時に権限が更新されるようにします。
セキュアな構成は、クラウドリソースが安全な状態で起動することを保証し、開いたポートやデフォルトの認証情報を回避します。Infrastructure-as-Code(IaC)スキャンは、デプロイメントテンプレートを本番環境にプッシュする前に、設定ミスをチェックします。
これらを組み合わせることで、公開されたストレージバケットや過度に許可的なポリシーといった一般的なミスを防ぎます。これらのチェックを自動化することで、エラーを早期に発見し、クラウド環境の一貫性と安全性を維持できます。
まず、すべてのクラウドリソースからのログとメトリクスをセキュリティ情報イベント管理(SIEM)システムに一元化します。ログイン失敗や急激なトラフィック増加など、異常な動作に対するアラートを設定します。自動化されたプレイブックを使用して脅威を即座に封じ込めます。定期的な訓練でインシデント対応計画をテストしてください。
最後に、インシデントを検証して不足点を特定し、制御を更新します。これにより、各対応が組織を強化します。
データ保護をライフサイクルとして扱う:情報の機密性に応じて分類し、転送中および保存時に暗号化し、バックアップは隔離されたオフサイト場所に保管する。重要データにはトークン化またはフィールドレベル暗号化を適用する。ロールベースのアクセス制御でデータの閲覧・変更権限を制限する。データフローと保持ポリシーを定期的に監査し、有用な寿命やコンプライアンス期間を過ぎたデータが残存しないようにする。
ガバナンスとコンプライアンスは、合法性と安全性を維持するためのルールを設定します。ガバナンスは変更管理、リスク評価、セキュリティレビューなどのプロセスを定義します。コンプライアンスは、それらのプロセスがGDPR、HIPAA、PCI DSSなどの基準を満たすことを保証します。
ポリシー・アズ・コードや自動化された監査を活用し、これらを日常業務に組み込むことで、説明責任を維持し、罰金を減らし、イノベーションを遅らせることなく顧客の信頼を維持できます。
