クラウドデータセキュリティと保護の基本原則

多層防御されるクラウド

多層防御型のクラウドセキュリティ戦略は、さまざまなレイヤーのデータ保護とプライバシー保護を組み合わせて、クラウド上のデータを守ります。フィッシングや認証情報の盗難など、脅威の種類ごとに異なる保護層が必要です。複数の層を重ねることで、より多くの脅威に対応でき、1つの層が失敗しても別の層が攻撃を阻止する可能性があります。

CIAの三大要素

いいえ、あの「CIA」ではありません。

• 機密性：適切な人が適切なレベルの情報にアクセスできること
• 完全性：データが一貫して正確であること
• 可用性：適切な情報へ確実にアクセスできること

結局のところ、クラウドデータセキュリティはこの三大要素で成り立っています。

クラウドデータ保護の種類

クラウドコンピューティングを活用する企業は、次のような多層防御を備える必要があります。

方針と手順

• 強力なパスワードセキュリティとシングルサインオン（SSO）
• 多要素認証(MFA)
• セキュリティトレーニングと年に一度のポリシーレビュー

物理的セキュリティ

• 警備員
• MFA、マントラップ、生体認証
• アクセス管理リスト
• 電力の冗長性
• 消化活動
• 地理的分散

境界防御

• 脆弱性と侵入テスト
• SIEM
• 早期のサービス拒否（DoS）攻撃防止
• 次世代ファイアウォール（NGFW）

内部ネットワークセキュリティ

• 内部ファイアウォールとネットワークセグメント
• 転送中の暗号化
• 役割ベースのアクセス
• アウトバウンドWebフィルタリング
• 高可用性

ホストセキュリティ

• エンドポイントの検出と修復
• 強化された展開
• タイムリーで責任あるパッチ適用

アプリケーションセキュリティ

• セキュアなアプリケーション開発サイクル
• 暗号化キー管理
• アクセス管理
• アプリケーションログ
• 固有なアプリケーション資格情報

データセキュリティ

• 保存中の暗号化
• データの冗長性とレプリケーション
• データの分離
• 最小限の特権によるアクセス

どのセキュリティ戦略も完全ではないことに留意することが重要です。クラウドデータセキュリティのベストプラクティスには、継続的な維持、進化、革新、そして投資が欠かせません。

クラウドデータセキュリティは何を実現するでしょうか？

クラウドデータ保護の完璧な実績は、数カ月から数年にわたって絶え間なく続く脅威を阻止し、組織に数十億ドル規模のコスト削減をもたらすことができます。

しかし、セキュリティの失敗が一度でも起きれば、組織は大きな代償を払うことになります。データ侵害による直接的な影響に加え、罰金の支払いや評判の失墜といった長期的な影響を受ける可能性があります。

クラウドコンピューティングにおけるデータセキュリティをどのように確保しますか？

組織には、セキュリティの文化と、セキュリティを理解する文化の両方が必要です。これには、保守担当者、ベンダー、契約社員から、CEO、ITリーダー、テクノロジーパートナーに至るまで、すべての人が関与する必要があります。

クラウドデータセキュリティの文化を築く

セキュリティの成功は、まさに猫とネズミのゲームです。攻撃は常に進化しており、組織も進化する必要があるため、今月テストする内容は来月にはまったく異なる可能性があります。組織が時代に遅れないようにするためには、次のことを行う必要があります。

全員を巻き込む

組織のすべての人が、多層防御戦略の重要な一部です。セキュリティは最も弱い部分と同じ強さしか持たないため、クラウドデータを守るために、企業全体のあらゆるチームメンバーをセキュリティの維持と強化に関与させることが重要です。

継続的なトレーニングを通じて、チームを積極的に指導してください

すべてのチームメンバーに対して定期的かつ必須のトレーニングを実施しましょう。実際の脅威にどのように対応するかを確認するために、チームメンバーをテストし教育する積極的な取り組みを展開するチームを編成します。これらのテストは、ハッカーが攻撃や脆弱性の確認に用いる実際の脅威に近いものにする必要があります。その結果は、どのような攻撃が有効となり得るかをセキュリティチームに示し、今後最優先とすべきセキュリティトレーニングをより適切に定義するのに役立ちます。

クラウドに精通した専門家を起用してクラウドに取り組む

クラウドセキュリティチームのメンバーが必要なクラウドの専門知識を持たずに業務を遂行した場合、自ら招いたセキュリティ侵害が発生する可能性があります。Verizon社の2022年版「Data Breach Investigations Report」によると、設定ミスによるクラウドストレージの誤設定が影響するエラーは依然として支配的な傾向であることが明らかになっています。

クラウドデータ保護の手法

上記のベストプラクティスに加えて、これらの方法を使用することでクラウドデータ保護を効果的に行うことができます。

クラウドを自動化する

自動化によってクラウド内のリソースに対する人の関与を減らすことで、クラウド上のデータを保護するのに役立ちます。これは、脅威や異常の検知だけでなく、対応においても役立ちます。自動化がクラウドインフラに組み込まれていれば、変更や更新を日単位や週単位、月単位ではなく、数秒で開始し完了することができます。

たとえばAWSでは、APIと連携し、1行のコマンドを送るだけで、一連のスクリプトを実行し、クラウド環境全体に必要なインスタンスやコンテナを起動できます。時間効率の向上に加えて、クラウド自動化は人為的なミスやクラウドの設定ミスも排除します。

サードパーティのサイバーセキュリティリスク管理チームと連携する

組織のセキュリティ体制を分析し報告する、独立した中立的なツールを精査して導入します。たとえばBitSightは、組織のオンライン上における公開フットプリントを監視するのに役立ちます。

クラウドプロバイダーと、そのサービスを利用する企業の双方が、これらのサードパーティによる評価ツールのメリットを享受できます。そのフィードバックは、予防的にも、事後対応的にも活用できます。

• 予防的な監視：クラウドセキュリティチームが内部で実施している対策が、外部に異なる形で現れていないことを検証します。
• リアクティブモニタリング：クラウドセキュリティチームが宣言した通りに行動していることを検証します。

一流のクラウドサービスプロバイダーは、これらのサードパーティ評価機関を活用し、自社だけでなく、顧客、ベンダー、決済処理業者のスコアも監視します。

インフラストラクチャー・アズ・コード（IaC）

クラウドインフラを手作業ではなくコードとして管理・展開することで、人為的なミスや、内部外部を問わず悪意ある行為者の侵入を抑制できます。IaCは、クラウド管理をアプリケーションコードと同じセキュリティライフサイクル開発プロセスに従わせることで、悪意が含まれていないことを保証します。

クラウドデータセキュリティの課題と問題点

クラウドインフラストラクチャはビジネスを加速し、組織がどこでもリアルタイムで作業できるようにします。これにより、コスト削減、物理スペースの解放、現代のリモートワークのサポート、災害復旧準備の支援が可能になります。

しかし、クラウドコンピューティングには次のような問題や課題があります。

アクセス管理

クラウド環境で誰がどのデータにアクセスできるかを把握することは、データセキュリティにとって重要です。クラウドサービスの利用者は、誰がアクセスを検証しているのかを把握し、データレベルでのアクセスや暗号鍵に強固な対策を求める必要があります。また、クラウドサービスプロバイダーが、文化づくりから多層防御まで、これまで述べてきたベストプラクティスを順守していることを確認しなければなりません。

残念ながら、アクセス制御の可視性が不十分だと、悪意ある行為者（多くの場合は内部脅威）がクラウド環境に侵入する可能性があります。

サプライチェーン攻撃

これらの攻撃は、もともと大規模組織の小規模なパートナー企業のソフトウェアを標的として仕組まれるものです。大企業がデータ保護においてより巧妙になるにつれて、悪意ある行為者は、自社製品を大企業に販売している可能性のある小規模ベンダーへの攻撃を増加させています。検知されないまま感染したパートナーソフトウェアが標的となる企業のクラウド環境に導入されると、そのアプリケーションのすべての利用者に感染が広がります。

これらのサプライチェーン攻撃は、まずサプライヤーに影響を及ぼし、さらにそのサプライヤーのサプライヤーへと広がり、悪意あるコードによる連鎖的な感染を引き起こします。また、こうした攻撃は連鎖が長いため、追跡が困難になることもあります。

資産の棚卸し

資産管理のプロトコルが不十分な組織は、自社がクラウドにどのような資産やデータを保有しているのか把握できていない可能性があります。あるいは、今日のクラウドの特性として、リソースが高速で立ち上げられたり削除されたりするため、クラウドセキュリティチームが環境内で起きていることに追いつけない場合もあります。

この脆弱性に対処するために、組織はクラウドに何があり、なぜ存在し、誰が管理しているのかを把握しておく必要があります。これはフォレンジック分析にも役立ち、侵害が発生した場合にクラウドセキュリティチームが短命なシステムを追跡できるようになります。

結論：存在を把握していないものを守ることはできない。

クラウド専門知識の不足

業界はクラウドの専門知識の不足に直面しており、それに伴って最大級のセキュリティ課題が生じています。重要なクラウドの専門知識を持たない従業員が、従来のデータセンターと同じ方法でクラウドに資産を展開しようとすると、セキュリティの観点から深刻な問題が発生する可能性があります。両方のスキルセットは相互に補完し合うことはできますが、同一のものではありません。

さらに、クラウドのスピードや、クラウドプロバイダーが自社サービスをどれほど迅速に変更・置き換えできるかを考えると、クラウドの専門家でない人にとってはもちろん、専門家にとっても追随するのは非常に困難です。

クラウドとデータセンターにおけるセキュリティの違い

クラウドコンピューティングとオンプレミスのデータセンターにおけるセキュリティの違いは、本質的には誰が責任を負うかにあります。

クラウドを利用しないオンプレミスのデータセンターでは、サーバーは企業が所有し管理します。その場合、セキュリティに対する責任はすべて組織が負います。

企業がクラウドプロバイダーを活用するクラウド対応ソリューションを導入した場合、データセンターのセキュリティ責任はクラウドプロバイダーに移ります。

しかし、組織は、クラウドインフラ、利用するアプリケーション、調達するサービスに関与するすべてのサプライヤー、ベンダー、プロバイダーを精査し、十分なデューデリジェンスを行わなければなりません。理想的には、企業はAWSのような大手プロバイダーを選択することになります。そこには最高レベルのクラウドセキュリティ人材が従事しており、セキュリティにおける成功実績も証明されています。

クラウドはデータセンターに取って代わるでしょうか？

いいえ、クラウドがデータセンターに取って代わることはありません。クラウドソリューションも、データの保存には依然としてデータセンターを利用します。しかし、ほとんどの企業は自社でオンプレミスのデータセンターを管理することから離れつつあります。クラウドプロバイダーは自社のデータセンターを所有・管理しており、基本的にはそのストレージスペースをパートナーに「貸し出す」形になっています。

たとえばAWSは、自社のデータセンターを管理し、その中でパートナーのクラウドデータを保存しているクラウドプロバイダーです。AWSはそれらのデータセンターのセキュリティと維持管理を担っており、そこにクラウドインフラ顧客のデータを保存しています。

コンテンツサービス向けのクラウドデータセキュリティ

Hylandは、クラウド対応およびクラウドネイティブのテクノロジー、ソリューション、サービスを幅広く提供するコンテンツサービスのリーディングプロバイダーです。お客様の期待に応えるため、そして企業として当然の責務として、クラウドデータセキュリティに最優先に取り組んでいます。

Hylandとクラウドコンピューティング

具体的には、ハイランドは次のクラウド向けサービスを提供しています。

• AWS Marketplaceで実行するHyland製品
• ハイランドクラウド
• HylandのAlfresco Business Platform-as-a-Service

AWSのハイランド

ハイランドは、AWS Marketplaceに掲載されています。次の機能を含む、AWS Marketplaceで購入するメリットについてご確認ください。

• 調達の効率化
• コントロールの導入とプロビジョニングの自動化
• コストの透明性を確保したソフトウェア予算の管理