中小企業における情報セキュリティは、エンタープライズのセキュリティとは異なる独自の課題を抱えています。中小企業は通常、エンタープライズほどの技術リソースを持たず、多くがクラウドセキュリティの導入に苦労し、必要なソリューションを欠いています。過去10年間で中小企業によるクラウドコンピューティングプラットフォームの導入が進んだことで、これらの課題の一部は解消されました。しかし、クラウドプラットフォームは利点とともに新たな課題ももたらします。
とはいえ、クラウドプラットフォームは利点とともに新たな課題ももたらします。
クラウドセキュリティへのアプローチ方法について、従来のオンプレミスソリューションとの類似点と相違点を強調しながら解説します。その上で、クラウド環境を導入する際のセキュリティ上のトレードオフが妥当かどうかを判断する手助けをします。これにより、中小企業のクラウドセキュリティを最適化し、脅威に備えるために必要なすべての情報を得ることができます。
クラウドセキュリティとは?
クラウドセキュリティを考える際には、セキュリティ対策を3つの主要な柱に分類することが有効です。
- プロバイダー主体
- カスタマー主体
- サービス主体
これら3つのカテゴリは、全体的に安全な技術プラットフォームを構築する上で重要な役割を果たします。クラウドプロバイダーの利用方法によって、どのカテゴリが自社にとってより重要かが変わる場合があります。各タイプについて詳しく見ていき、中小企業にどのように適用されるかを考察します。
プロバイダー主体のセキュリティとは?
プロバイダー主体のセキュリティは、クラウドプロバイダーが責任を持つセキュリティの種類を指します。これには、物理的なハードウェアやインターネットへのネットワークインターフェースの保護などが含まれます。AWSやGoogle Cloudのような大手クラウドプロバイダーと契約している場合、プロバイダー主体のセキュリティをどのように管理しているかを明確に説明できる体制が整っているはずです。これらの企業は高度に規制された業界での運用経験があり、政府機能を支える機密性の高いシステム向けのプラットフォームも提供しています。
小規模なクラウドプロバイダーと契約する場合は、初期交渉時および継続的に、プロバイダー主体のセキュリティをどのように確保しているかについて透明性を求めるべきです。
カスタマー主体のセキュリティとは?
カスタマー主体のセキュリティにおける「カスタマー」とは、貴社の顧客ではなく、クラウドプロバイダーの顧客、つまり貴社自身を指します。カスタマー主体のセキュリティは、クラウドプロバイダー上で運用するシステムに対して貴社が実施するセキュリティコントロールを指します。アイデンティティおよびアクセス管理(IAM)を考慮することが有効です。IAMはユーザーのアイデンティティ管理とリソースへのアクセス制御のためのフレームワークであり、カスタマー主体のセキュリティは、アプリケーションへのアクセスを保護するIAMサービスのようなシステムと考えることができます。
サービス主体のセキュリティとは?
サービス主体のセキュリティは、クラウドプロバイダーが提供する技術的なセキュリティシステムを指します。通常、これらのシステムは貴社のチームが管理しますが、開発はクラウドプロバイダーによって行われます。たとえば、オンラインアプリケーションへのアクセスを制御するIAMシステムではなく、クラウド構成へのアクセスを制御するために導入するシステムが該当します。具体例として、スケーラブルでビジネスニーズに合わせてカスタマイズ可能なマネージド検知・ハンティング・レスポンスサービスなどがあります。
クラウドセキュリティとオンプレミスセキュリティの比較
クラウドセキュリティの一部は、従来のオンプレミスセキュリティソリューションを利用したことのある中小企業にとって馴染み深いものです。クラウドセキュリティも引き続きアクセスや認可などに重点を置いています。これらは、技術システムだけでなく、事業所への物理的アクセスに関してもオンプレミスセキュリティの重要な側面です。物理的およびデジタル資産の保護に関する基本的な原則は類似しており、多くの場合同じです。しかし、クラウドセキュリティには独自の要素もあります。前述の通り、クラウドアプリケーションの保護には複数の側面があります。3つの柱すべてでクラウドシステムを効果的に保護できていない場合、セキュリティに重大なギャップが生じます。
クラウドセキュリティとオンプレミスセキュリティの主な違いは以下の通りです。
| クラウドセキュリティ | オンプレミスセキュリティ |
|---|---|
| クラウドベンダーが企業に対してセキュリティサービスを提供する責任を負います。 | 企業が自社のセキュリティリソースを完全に導入します。 |
| 初期投資は不要ですが、セキュリティサービスの継続利用にはサブスクリプション契約が必要です。セキュリティインフラはクラウドベンダーが所有・提供します。 | 初期投資が高額で導入コストがかかりますが、運用コストが発生しないため保守費用は低くなります。 |
| カスタマイズはクラウドセキュリティサービスプロバイダーに依存します。要望がポリシーやガイドラインに準拠しない場合は承認されません。 | 自由にカスタマイズでき、既存機能の追加や削除も可能です。 |
| オフラインやインターネット接続が失われた場合、クラウドセキュリティサービスは利用できません。 | オンプレミスセキュリティソリューションはオフラインでも問題なく動作します。 |
クラウドセキュリティが独自である理由の一つは、3つのカテゴリすべてを自社だけでカバーできない点です。これは利点でもあり、欠点でもあります。中小企業がクラウドセキュリティの特定カテゴリを自力で対応しようとすると、必要なリソースが不足する場合があります。例えば、AmazonやGoogleのサービス主体のセキュリティ開発チームは、貴社全体よりもはるかに大規模である可能性が高いです。
一方で、クラウドプロバイダーが自社のリソースを十分に保護しているかどうかを信頼する必要があります。中小企業の場合、最善の努力がなされているかどうかを完全に信頼できないこともあり、十分な対応がなされていると信じるしかありません。
中小企業におけるクラウドセキュリティの重要性
クラウドプラットフォームを導入する中小企業は、そのプラットフォームのセキュリティ確保に投資する必要があります。売上が10億ドル規模でなく、従業員が1万人いなくても、他の企業と同様のセキュリティ課題に直面するリスクは変わりません。中小企業の47%は特権アクセス制御を導入しておらず、デジタルサプライチェーン攻撃の主要な標的となっています。
中小企業の73%が過去1年以内にデータ侵害を経験しており、多くの企業が最新のランサムウェアに対する十分な防御策を持っていません。二重脅迫攻撃は被害者にさらなる圧力をかけ、データ損失だけでなく、評判の失墜、経済的損失、ビジネスの信頼性や消費者の信頼喪失などの被害をもたらします。ランサムウェアの脅威の82%は、中小企業のリソース不足を狙っています。
中小企業が事業継続性を維持し、インシデントから復旧するためには、定期的なバックアップが必要です。また、従業員に対して新たなサイバーセキュリティ課題や技術的防御を回避する攻撃について教育する必要もあります。
CNAPPマーケットガイド中小企業におけるクラウドセキュリティの主な課題
中小企業がクラウドプラットフォームを保護する際に直面する主な課題をいくつか紹介します。
#1. データ侵害
データ侵害は、あらゆる企業にとって最も目立つ情報セキュリティの失敗例の一つです。大手企業がデータ侵害を受けた際にニュースになることが多いですが、侵害は規模を問わず企業に大きな損害を与えます。データ侵害は、誰かがシステム上の機密データ(通常は顧客データ)にアクセスした際に発生します。侵害は顧客の機密個人情報が漏洩するため、顧客に実害をもたらします。さらに、最初は影響を受けていなかった顧客にも侵害を開示することで、企業の評判にも大きな打撃となります。
#2. 不正アクセス
不正アクセスは、このリストの他の問題に発展することが多い課題です。不正アクセス攻撃は、許可していない人物がシステムの一部にアクセスすることを指します。攻撃者は通常、ダークウェブでデータを販売するなどの悪意ある目的でこれを行い、さらなる脅威を仕掛けるための情報収集を行う場合もあります。不正アクセスは、エンタープライズと比べて中小企業ではやや異なる形で現れることがあります。エンタープライズでは、外部の人物が従業員の認証情報を侵害して不正アクセスを得ることを懸念します。中小企業では、従業員の入退社プロセスを効率化することで不正アクセスを防ぐことができます。休眠アカウントの削除、NDAの締結、強固なパスワード管理ポリシーの策定など、シンプルな対策が大きな効果をもたらします。
クラウドベース環境では、従来のデータセンターと比べて不正アクセスに追加の側面が生じます。つまり、デジタルシステムへのアクセスだけでなく、クラウドプロバイダーのシステムへのアクセスも保護する必要があります。これを怠ると、不正ユーザーアクセスが他の問題に発展する可能性が高くなります。また、多要素認証の適用も忘れてはなりません。
#3. ランサムウェアおよびマルウェア
テクノロジーを活用する中小企業にとって、マルウェアも重要なセキュリティ課題です。大企業・中小企業を問わず、ランサムウェアによる被害が最も一般的です。ランサムウェアは重要な業務データを暗号化し、データ復旧のために仮想通貨ウォレットへの支払いを要求します。この種の攻撃は非常に破壊的かつ高額な被害をもたらします。
Fogは企業が注意すべき新たなランサムウェアの一種です。Latrodectusのような新興マルウェアは、クラウドシステムが適切に構成されている場合、従来のデータセンターを利用する場合よりも影響が小さい可能性があります。これは、クラウドシステムではプラットフォーム全体のバックアップを簡単に有効化できるためです。従来のデータセンターでは自動バックアップの設定に多くの作業とリソースが必要です。そのため、中小企業がクラウド上でアプリケーションを運用することで、マルウェアやランサムウェア攻撃からの復旧に大きな利点を得られる場合があります。
#4. コンプライアンスおよび規制対応
中小企業にとってコンプライアンスや規制対応は複雑な課題となり得ます。しかし、難しいからといって無視できるものではありません。顧客の支払いデータや個人情報の取り扱いについて、法的要件を把握し遵守することが求められます。
この点は、クラウドとデータセンターのどちらでも大きな違いはありません。ただし、クラウド環境の方が若干有利な場合もあります。例えば、規制で特定情報の保存時暗号化が求められる場合、クラウド環境では比較的容易に実現できます。また、規制で誰がいつどのリソースにアクセスしたかの監査が求められる場合も、クラウド環境はその要件を前提に設計されているため、データセンターで独自に機能を構築するよりも容易に対応できます。
中小企業におけるクラウドセキュリティのベストプラクティス
クラウド環境のセキュリティ確保と中小企業の支援に向けた最善の方法について解説します。
#1. 定期的なセキュリティ監査の実施
クラウドアプリケーションを保護するための重要な方法の一つは、定期的なセキュリティ監査の実施です。クラウドにおけるセキュリティ侵害の最も一般的な原因の一つは設定ミスです。このようなエラーを防ぐには、設定内容を定期的に見直すことが重要です。以下の重要な質問を自問してください。
- 誰がどのシステムにアクセスできるか?
- 前回の監査以降に特定されたセキュリティ脆弱性は何か?それらは修正済みか?
- 前回の監査以降に規制が変更されたか?それに準拠しているか?
- 前回の監査以降に設定値が変更されたか?誰が、なぜ変更したか?
理想的には、これらの質問に定期的に答える習慣を組織内で確立すべきです。十分な専門知識がない場合は、外部の監査チームに初回監査を依頼するのも有効です。
#2. 強力なアクセス制御の実装
クラウドベースアプリケーションを利用する際、アイデンティティ管理はセキュリティ体制の中核となります。前述の通り、アプリケーションとクラウドプロバイダーの両方が正しく構成されていることを確認し、ユーザーが必要なシステムにのみアクセスし、許可された操作のみを実行できるようにする必要があります。
中小企業では、入退社プロセスが不十分なことが不正アクセスの原因となる場合があります。例えば、退職者のアカウントを削除しなかったり、複数ユーザーで認証情報を共有したりすることで、悪意あるユーザーが本来アクセスできないリソースにアクセスするリスクが生じます。そのため、ユーザーアクセスを継続的に監査し、見落としがあれば速やかに発見することが重要です。
#3. バックアップおよびデータ暗号化戦略
バックアップは、データ損失が発生した場合に迅速かつ確実にデータを復旧できるため、非常に重要です。理想的には、バックアップのリストアプロセスを定期的に検証すべきです。定期的な検証により、問題発生時の対応方法を把握し、プロセスが正常に機能することを確認できます。
データ暗号化も同様に重要ですが、こちらはデータ損失ではなくデータ漏洩の防止に役立ちます。不正アクセスが発生しても、データが暗号化されていて読み取れなければ被害は発生しません。
クラウドプラットフォームの利点の一つは、データの暗号化やバックアップといったベストプラクティスが通常簡単に実施できる点です。
#4. 従業員教育と意識向上
従業員へのデータ保護ベストプラクティスの教育は、クラウドでもデータセンターでも、あらゆるセキュリティ対策の中核です。教育はマルウェアやランサムウェアなどの攻撃防止にも特に効果的です。教育を強化することで、フィッシングやソーシャルエンジニアリングなどの脅威を排除できます。悪意あるメールの特徴を従業員に教育することで、被害を未然に防ぎ、リスクを最小限に抑えることができます。
#5. 監視およびインシデント対応
最後に、あらゆるセキュリティシステムには問題発生時に検知する仕組みが必要です。どんな対策を講じても、問題が発生するリスクは常に存在します。問題が発生した際には、監視およびインシデント対応システムが必要です。攻撃者による侵害が発生してから気付くのでは遅すぎます。
この点でクラウドプラットフォームはしばしば優位性を持ちます。監視・アラートシステムは、最小限の設定でクラウドプラットフォームと直接連携できます。また、オンプレミスのデータセンターとの統合もサポートされています。ただし、多くのシステムではオンプレミス環境向けに追加費用や大規模な設定が必要です。クラウドベースの顧客が多いため、多くの監視システムはクラウドを第一の選択肢としており、クラウドでの導入が最も容易です。
中小企業のクラウドセキュリティにSentinelOneを選ぶ理由
中小企業がクラウドベースコンピューティングを導入することは、多くの利点をもたらしますが、いくつかの課題も伴います。クラウド導入を検討する際は、追加のセキュリティ課題を理解することが重要です。しかし、クラウド導入による利点がこれらの課題を上回る場合もあります。特に従業員50名未満の小規模企業では、クラウド移行の利点は非常に大きいです。
どのアプローチを選択する場合でも、システムを効果的に保護することが必要です。クラウドを導入する場合は、3つの主要な柱すべてを確実に保護する必要があります。
- プロバイダー主体
- カスタマー主体
- サービス主体
SentinelOne Singularity™ Cloud Securityの詳細をご覧ください。AIを活用したCNAPPで、クラウドワークロードの保護、コンプライアンスの向上、クラウドセキュリティ体制の強化を支援します。クラウドに保存したデータを保護し、専門家と連携できます。マシンスピードで攻撃を阻止し、複数の検知エンジンで新たな脅威にも対応します。こちらからご確認ください。
サーバー、VM、コンテナ向けのAI搭載クラウドワークロード保護(CWPP)。実行時の脅威をリアルタイムで検知・阻止します。
まとめ
中小企業のクラウドセキュリティは決して軽視できません。事業を始めたばかりでも、攻撃者は手を緩めません。中小企業は成長・拡大の大きな可能性を持つため、標的にされやすい存在です。脅威アクターはこれを認識しており、最終的な攻撃に移る前に密かに偵察を行い、脆弱性を突いてきます。
新たなクラウドセキュリティソリューションの導入は容易ではありません。多くの変数が関与し、レガシーインフラからの移行時には課題が発生します。
SentinelOneのような堅牢なマルチクラウドセキュリティソリューションは、将来のセキュリティ確保に役立ちます。これらの課題だけでなく、まだ認識していない問題にも対応できます。
よくある質問
クラウドを利用する場合でも、自社のハードウェアでソフトウェアアプリケーションをホストする場合でも、セキュリティ意識は必要です。中小企業は大企業のようなリソースを持たないため、最も価値の高いセキュリティ対策を選択する必要があります。しかし、全体として、お客様はデータの保護を貴社に依存しており、ビジネスの継続的な正常運用も重要です。
クラウドは中小企業にとって有益な場合があります。前述の通り、クラウド上ではセキュリティの一部が容易になることがありますが、逆に難しくなる部分もあります。全体的に、クラウドプロバイダーの利用は自社でアプリケーションをホストする場合よりも設備投資が高くなることが多い一方、データセンターの運用は人件費が高くなる傾向があります。どちらが適しているかは貴社次第です。
これは利用用途によって大きく異なります。特定のクラウドプロバイダーに精通した担当者がいる場合は、その選択が最も賢明な場合が多いです。特定の地域でサービスを提供する必要がある場合は、その地域に対応したクラウドプロバイダーを選ぶのが良いでしょう。特に制約がなければ、AWS、Google、Azureなどの主要プロバイダーを採用するのが一般的です。
