目次
Cloud組織の間でますます普及しており、多くの組織が新しいクラウドアプリケーションを開発したり、既存のアプリケーションをクラウドに移行したりしている。しかし、堅牢なクラウド・アプリケーション・セキュリティの必要性を十分に理解していない組織や、クラウド・サービス・プロバイダーやそのアプリケーションを選定している組織は、さまざまな商業的、財務的、技術的、法的、コンプライアンス上のリスクに直面する可能性がある。
クラウドセキュリティとは?
Cloud Cloud AppSec)とは、クラウド・コンピューティング環境内のクラウド環境全体、データ、インフラストラクチャーにわたるアプリケーションを、潜在的な脆弱性、脅威、攻撃から保護するプロセスである。
データ・セキュリティ、アイデンティティとアクセス管理(IAM)、アプリケーション・セキュリティ、インフラ・セキュリティ、インシデント対応と復旧を含む包括的なアプローチである。
堅牢なセキュリティ対策を実施することで、企業はデータや資産の機密性、完全性、可用性を確保できるとともに、医療保険の相互運用性と説明責任に関する法律(HIPPA)や一般データ保護規則(GDRP)のような規制要件や業界標準への準拠を維持することができる。
Cloud 重要性
Cloud アプリケーションのセキュリティは、クラウドに保存され処理されるデータの機密性、完全性、可用性を確保するために不可欠です。強力なセキュリティ対策を採用することで、組織は以下のことが可能になります:
Cloud :自動化と責任分担
Cloud 、クラウド環境のセキュリティを確保する上で、クラウド・サービス・プロバイダーと顧客の間で共有される責任を定義するのに役立つ。以下は3つの主要なモデルである:
1.サービスとしてのインフラストラクチャー(IaaS)
IaaSモデルでは、クラウド・サービス・プロバイダーがインターネット経由で仮想化されたコンピューティング・リソースを提供する。プロバイダーは、物理ハードウェア、ネットワーキング・コンポーネント、クラウド・ストレージ・システムなど、基盤となるインフラのセキュリティ確保に責任を負う。一方、顧客は、仮想化環境内でホストされるオペレーティング・システム、アプリケーション、データのセキュリティを確保する責任を負う。IaaSプロバイダーの例としては、Amazon Web Services(AWS)、Microsoft Azure、GoogleCloud Platform(GCP)などがある。この関係は、しばしば責任共有モデルと呼ばれる。
2.サービスとしてのプラットフォーム(PaaS)
PaaSモデルは、クラウド環境内でアプリケーションを構築、テスト、デプロイするための開発プラットフォームとツールを顧客に提供する。このモデルでは、クラウド・サービス・プロバイダーが基盤となるインフラとプラットフォーム自体のセキュリティ確保に責任を持ち、顧客はアプリケーションとデータのセキュリティ確保に責任を持つ。PaaSプロバイダーは通常、顧客のアプリケーションに簡単に統合できる組み込みのセキュリティ機能やサービスを提供している。PaaSプロバイダーの例としては、Heroku、Google App Engine、Microsoft Azure App Serviceなどがある。
3.サービスとしてのSoftware (SaaS)
SaaSモデルでは、クラウドサービスプロバイダーは、インターネット経由でアクセス可能な完全に管理されたアプリケーションを提供する。プロバイダーは、基盤となるインフラ、プラットフォーム、およびアプリケーション自体のセキュリティを確保する責任を負う。しかし、顧客は、ユーザー・アクセスの管理、セキュリティ設定の構成、規制要件や業界標準へのコンプライアンスの確保に責任を負うため、クラウド・セキュリティにおいて果たすべき役割は依然として存在する。SaaSプロバイダーの例としては、Salesforce、Microsoft Office 365、Google Workspaceなどがある。
クラウド・サービス・プロバイダーと協業し、利用可能なセキュリティ機能やサービスを活用することで、企業はクラウド環境における強固なクラウド・セキュリティ体制を確保することができる。
例えば、F5 の分散Cloud サービスは、SaaS ベースのアプリケーション管理、ネットワーキング、セキュリティ・サービス(Web アプリケーション・ファイアウォール、ボット防御、API セキュリティの追加など)を提供し、企業がアプリケーションを展開、運用、保護できるようにします。
一般的なセキュリティ脅威の特定と対処
ソリューション | |
|---|---|
| データ漏洩と不正アクセス セキュリティにおける最も重要な懸念事項の1つは、データ漏洩や機密情報への不正アクセスのリスクである。これは、脆弱なアクセス制御、安全でないAPI、または漏洩したユーザー認証情報が原因で発生する可能性があります。 | 役割ベースのアクセス制御(RBAC)、多要素認証(MFA)、シングルサインオン(SSO)など、強力なアイデンティティおよびアクセス管理(IAM)ソリューションを導入する。機密データやアプリケーションへの不正アクセスを防止するため、ユーザー権限を定期的に見直し、更新する。 |
| 設定ミス クラウド環境、アプリケーション、セキュリティ設定の誤りは、脆弱性や潜在的なセキュリティインシデントにつながる可能性がある。 | 厳格なセキュリティポリシーと手順を策定・実施し、クラウド環境を定期的に監査して設定ミスを特定・修正する。自動化されたツールやサービスを活用して、セキュリティのベストプラクティスを監視し、遵守を徹底する。 |
安全でない API とサードパーティの統合 安全でない API とサードパーティの統合は、クラウド・アプリケーションを潜在的な攻撃やデータ侵害にさらす可能性がある。 | API やサードパーティとの統合に対して、適切な認証、承認、データ検証の仕組みを導入する。API キーとアクセス認証情報を定期的に見直し、更新し、サードパーティ・ベンダーが厳格なセキュリティ慣行に従うようにする。 |
インサイダーの脅威 クラウドアプリケーションセキュリティの脅威としてよく見落とされるものに、インサイダーの脅威がある。 | 最小特権の原則を適用し、職務の遂行に必要な最小レベルのアクセス権をユーザーに付与する。ユーザーの行動を監視し、ユーザー行動分析(UBA)を実施する。 |
コンプライアンスと法的課題 組織は、クラウド・アプリケーションを使用する際、データのプライバシーとセキュリティに関連する様々な規制要件や業界標準を遵守しなければならない。 | 組織に適用されるコンプライアンス要件を理解し、クラウドサービスプロバイダがこれらの要件を満たしていることを確認する。セキュリティ体制を定期的に評価し、文書化することで、規制および法的義務の遵守を実証する。 |
可視性とコントロールの欠如 組織は、クラウド環境の可視性とコントロールの維持に苦慮していることが多く、セキュリティ・インシデントの検出と対応が困難になっている。 | 継続的な監視ソリューションを導入してクラウド環境を可視化し、潜在的なセキュリティ脅威をリアルタイムで検出する。クラウド・サービス・プロバイダーが提供する組み込みのセキュリティ機能やサービスを活用し、可視性と制御を強化する。 |
マルウェアとファイル・アップロードのセキュリティ 攻撃者は、ウェブサイト上のファイル・アップロードのポータルを通じて、悪意のあるファイルをシステムに忍び込ませる。 | ファイル・アップロードのセキュリティのベスト・プラクティスが守られていることを確認する。例えば、OWASPCloud Application Security Top 10は、ハッカーを挫折させ、サイバー脅威を減らすクラウドセキュリティのベストプラクティスを提供しています。 自動化されたソリューションは、企業のアプリケーションデータとSalesforce環境を保護します。 |
Cloud ベストプラクティス
| リスクベースのアプローチを導入する | リスクベースのアプローチを採用し、セキュリティ対策と投資に優先順位を付ける。潜在的なリスクを特定し評価することで、組織はリソースを効果的に配分し、最も重要なセキュリティ上の懸念事項に焦点を当てることができる。 |
| 強固なセキュリティポリシーと手順を策定し、実施する | 組織のセキュリティに対する期待と要件を概説する包括的なセキュリティポリシーと手順を作成する。これらのポリシーがすべてのチームと部門に明確に伝達され、実施されるようにする。 |
| サイバーセキュリティに対する意識とベストプラクティスについて従業員を教育する。 | サイバーセキュリティのベストプラクティス、セキュリティの重要性、組織のデータと資産を保護するための従業員の役割を教育するために、定期的な研修と意識向上プログラムを提供する。 |
| クラウド環境のセキュリティ体制を定期的に評価し、監視する。 | 定期的なセキュリティ評価と監査を実施し、環境の脆弱性とギャップを特定する。継続的な監視ソリューションを導入し、潜在的なセキュリティ脅威をリアルタイムで検出して対応する。 |
| 最小特権の原則を適用する | 職務の遂行に必要な最小レベルのアクセス権をユーザーに付与し、最小特権の原則を実施する。機密データやアプリケーションへの不正アクセスを防止するため、ユーザー権限を定期的に見直し、更新する。 |
Secure 静止時と転送時の両方のデータ | 暗号化、トークン化、データマスキング技術を使用して、機密データを静止時と転送時の両方で保護する。安全なデータストレージとバックアップソリューションを導入し、インシデント発生時のデータの可用性と完全性を確保する。 |
組み込みのセキュリティ機能を活用する とサービス | データの暗号化、アクセス制御、セキュリティ監視ツールなど、クラウドサービスプロバイダーが提供する組み込みのセキュリティ機能やサービスを活用しましょう。 |
Secure APIとサードパーティの統合 | 適切な認証、認可、およびデータ検証メカニズムを実装することにより、クラウド・アプリケーションで使用される API とサードパーティの統合が安全であることを確認する。API キーとアクセス認証情報を定期的に見直し、更新する。 |
多要素 認証(MFA)の導入 | クラウド・アプリケーションにアクセスするすべてのユーザーに対してMFAを有効にし、ユーザー名とパスワードだけでなく、さらなるセキュリティ・レイヤーを提供する。 |
強固なインシデント対応と復旧計画の確立 | セキュリティインシデントを検出し、対応し、回復するための役割、責任、 手順をまとめた包括的なインシデント対応計画を策定する。計画を定期的に見直し、更新して、その有効性を確保する。クラウド・ネイティブ・アプリケーションのバックアップを確実に取得し、これらのバックアップをスキャンしてマルウェアがないことを確認する。 |
Cloud セキュリティ戦略
企業がワークロードをクラウドに移行するにつれ、IT 管理者は、オンプレミスやプライベート・データセンターのサーバーに適用するのと同じ方法で、これらの資産を保護するという課題に直面している。このような課題を克服するために、企業は以下の主要コンポーネントで構成される包括的なセキュリティ戦略を必要としている:
データ保護
機密情報のプライバシーと完全性を維持するためには、静止時と転送時の両方でデータを保護することが重要です。これには、暗号化、トークン化、データマスキング技術、データストレージセキュリティ、バックアップソリューションなどが含まれます。
アイデンティティとアクセス管理(IAM)
IAM ソリューションは、組織がアプリケーションやデータへのユーザー・アクセスを管理し、許可されたユーザーだけが機密情報にアクセスできるようにします。これには、シングルサインオン(SSO)、多要素認証(MFA)、役割ベースのアクセス制御(RBAC)メカニズムが含まれます。
アプリケーション・セキュリティ
アプリケーション・セキュリティは、SQL インジェクション、クロスサイト・スクリプティング、リモート・コ ード実行などの脆弱性や攻撃からアプリケーションそのものを保護することを含みます。 これには、安全なコーディングの実践、脆弱性評価、定期的なセキュリティテストが含まれる。アプリケーション・セキュリティは、アプリケーション開発と開発運用(DevOps)にも及ぶ。
インフラ・セキュリティ
不正アクセスや侵害から環境を保護するためには、基盤となるクラウドインフラストラクチャのセキュリティ確保が不可欠です。これには、クラウドネットワークセキュリティ、エンドポイント保護、監視ソリューションのほか、セキュリティのベストプラクティスと設定の実装が含まれる。
インシデントレスポンスと復旧
セキュリティ・インシデントに効果的に対処し、組織への影響を最小限に抑えるには、強力なインシデント対応計画が不可欠である。これには、役割と責任の明確化、コミュニケーション・プロトコルの確立、通常業務を回復するための回復戦略の策定などが含まれる。
適切なCloud 選択
強固なセキュリティ体制を維持するためには、適切なセキュリティ・ソリューションを選択することが重要です。クラウド・セキュリティ・ソリューションの候補を評価する際には、以下の要素を考慮してください:
- 既存のシステムやインフラとの互換性
- 将来の成長や組織の変化に対応できる拡張性
- すべての主要コンポーネントに対応する包括的な機能セット
- 既存環境への統合と展開の容易さ
- 強力なベンダー・サポートと継続的な製品開発へのコミットメント
- 同様のセキュリティ・ニーズを持つ他の組織からの好意的なレビューや証言
- 費用対効果と投資収益率
結論
協調的なクラウド環境の時代において、クラウド内のアプリケーション、データ、インフラを保護することは、サイバー攻撃から保護する必要のある組織にとって最優先事項となっている。堅牢なセキュリティ戦略の導入は、データの機密性、完全性、可用性を確保すると同時に、組織の評判と顧客の信頼を守るために不可欠です。
よくある質問(FAQ)
Q:責任共有モデルとは何ですか?
A: クラウド・アプリケーションのセキュリティでは、クラウド・サービス・プロバイダーと顧客の間で責任を分担する。プロバイダーは基盤となるインフラのセキュリティ確保に責任を持ち、顧客はアプリケーション、データ、ユーザーアクセスのセキュリティ確保に責任を持つ。具体的な責任の分担は、使用するクラウドサービスモデル(IaaS、PaaS、SaaS)によって異なります。
Q: クラウド・コンピューティングにおけるアプリ・セキュリティーとは何ですか?
A: クラウド・コンピューティングにおけるアプリケーション・セキュリティとは、クラウド環境内のアプリケーション、データ、インフラストラクチャを潜在的な脆弱性、脅威、攻撃から保護するために設計された一連のプラクティス、ツール、戦略を指す。データ保護、アイデンティティとアクセス管理(IAM)、アプリケーション・セキュリティ、インフラ・セキュリティ、インシデント対応と復旧など、セキュリティのさまざまな側面を包含する。
Q: クラウドセキュリティとアプリケーションセキュリティの違いは何ですか?
A:Cloud 、クラウド・コンピューティング環境内のデータ、アプリケーション、インフラストラクチャの保護に重点を置き、責任の共有やマルチテナントといった独自の課題に対処します。アプリケーション・セキュリティは、特にソフトウェア・アプリケーションのセキュリティを対象としており、アプリケーションのコード、設計、実行環境内の脆弱性とリスクを特定し、対処することで、その展開に関係なく、アプリケーションのセキュリティを確保します。この2つの側面は、特にアプリケーションとデータがリモートでホストされるクラウド環境において、強固なサイバーセキュリティ態勢を構築するために不可欠です。
Q: パブリッククラウドとは何ですか?
A:IT 業界では、パブリック・クラウドとは、クラウド・プロバイダーが、ストレージ、開発環境、デプロイ環境、アプリケーションなどのコンピューティング・サービスへのオンデマンド・アクセスを、パブリック・インターネットを通じて、個人と組織の両方に提供するモデルを指す。これらは、オンデマンドのリソースを必要とするクラウドベースのアプリケーションに有用である。
Q:Cloud (CASB)とは何ですか?
A: CASBはクラウド・アクセス・セキュリティ・ブローカーの略で、クラウド・サービス・プロバイダーと企業ユーザーの間に置かれるセキュリティ・ポリシーの実施ポイントとして機能する。CASBは、認証、暗号化、マルウェア検出、クレデンシャル・マッピングなど、さまざまなセキュリティ・ポリシーを統合し、許可されたアプリケーションと許可されていないアプリケーション、管理されたデバイスと管理されていないデバイスの両方にわたってセキュリティを提供する、適応性の高い企業向けソリューションを提供することができます。CASBは、クラウドアプリケーションのセキュリティ脅威を阻止するために重要である。
