ハイブリッド・Cloud セキュリティとは?
ハイブリッド・クラウドのセキュリティとは 、パブリック・クラウドとプライベート・クラウドの両方の環境でデータ、アプリケーション、インフラストラクチャを保護するために設計された戦略、テクノロジー、運用手法を指す。
このアプローチでは、ID・アクセス管理(IAM)、暗号化、ネットワーク・セグメンテーション、継続的モニタリングを統合することで、資産がどこに存在するかにかかわらず、セキュリティ管理が一貫して適用されることを保証する。
適切に構築されたハイブリッドクラウドセキュリティフレームワークは、企業が動的なマルチプラットフォーム環境全体でリスクを管理し、コンプライアンスと運用の回復力をサポートしながら脅威に適応できるよう支援します。
実際のハイブリッド展開では、組織は1つのインフラをプライマリ・システムとデータに使用し、もう1つをバックアップに使用する。障害が発生した場合、組織はこの2つを切り替えることができる。
しかし、ハイブリッド環境は、しばしばセキュリティの盲点をもたらす。これには、検証されていないAPI、セキュリティ設定が欠けている不正なデプロイメント、設定の誤りなどがある。
完全に安全な環境は存在しないが、リスクは大幅に低減できる。実証済みのベストプラクティスを適用することで、組織は防御を強化し、暴露を抑えることができる。
ハイブリッド・Cloud 何か、なぜ重要なのか?
ハイブリッド・クラウド・インフラは、オンプレミス環境やプライベート・クラウドとパブリック・クラウド・サービスを組み合わせた環境である。
ハイブリッド環境は、各環境に最適なものを選択し、真に柔軟な方法でビジネスを運営することを可能にする。
例えば、パブリック・クラウドを利用してリソースを迅速かつ効率的に拡張しながらも、より強固なセキュリティや管理が必要な重要なプロセスについては、プライベート・クラウドやオンプレミスのインフラに依存することができる。
しかし、トレードオフは安全性にある。
ハイブリッド・クラウド環境は、転送中のデータや静止状態のデータに対するリスクなど、脆弱性にさらされやすい。
クラウド間やオンプレミスとクラウド・インフラ間の移動など、転送中のデータは傍受される可能性があり、潜在的な侵害につながる。
同様に、保存されたデータを指す静止データも、不正アクセスやコンプライアンス違反の可能性がある。
運用上のボトルネックはこれらの問題をさらに複雑にする可能性があり、データの両方の状態にまたがるセキュリティに対処することが極めて重要になる。
なぜハイブリッド・Cloud セキュリティが重要なのか?
ハイブリッド・クラウド環境の内部では、攻撃対象領域がより大きくなり、1つの設定ミスや脆弱なアクセス・ポリシーが侵害につながる可能性がある。
米陸軍の情報・安全保障局でさえ、設定ミスによるデータ漏洩を経験している。
また、データの保存先や共有先によって異なるルールが適用されるため、規制遵守のプレッシャーもある。
最後に、ハイブリッド・セットアップの分割された性質は、ディザスタリカバリやフェイルオーバーの計画を複雑にするため、事業継続の管理が難しくなる。
ハイブリッド・Cloud 環境における主な脅威
このような環境における脅威は、技術的なギャップと人的な見落としが混在して発生する。
COVID-19以降、リモートワークやクラウドインフラストラクチャへの移行が急速に進んだことで、こうしたリスクはさらに高まった。
これらの課題を適切に軽減するためには、まず問題を理解しなければならない。
一般的な脆弱性
設定ミスはクラウドにおける最も一般的な問題の1つであり、不適切に設定されたアクセス制御、露出したストレージ、または古くなったコンポーネントによって顕在化する。
もう1つの深刻な懸念は、侵入後の横方向の動きである。攻撃者がいったんインフラに侵入すると、システムをまたいで移動し、機密資産を探し回る可能性がある。
複数のプラットフォームにまたがるハイブリッドモデルは、この種の活動を検知しブロックすることを難しくしている。
最後に、インサイダーの脅威も、特に権限が厳重に管理されていない場合には、現実のリスクとなる。
Cloud脅威
マルウェア、ランサムウェア、データ漏洩といったCloud脅威は、オンプレミスシステムとクラウドプラットフォームの間でデータが常に移動するハイブリッド環境では、より深刻な打撃を受ける。
この動きによって攻撃対象が広がり、敵が発見されずにすり抜ける機会が増える。
ランサムウェア集団は現在、AIを駆使したツールを使って標準的な防御を回避しており、その一方でデータ侵害の被害は拡大している。
ハイブリッド・クラウドのセットアップでは、武器化されたファイル・アップロードも脅威となっている。
悪意のある行為者は、一見何の変哲もないファイルにマルウェアを埋め込むことで、セキュリティフィルターを回避し、ペイロードを検知されずに配信することがよくある。
以下のような技術 Deep CDR(Content Disarm and Reconstruction)のような技術は、悪意のあるコードが損害を与える前にファイルから除去することで、これらの脅威を無力化することができます。
また、ハイブリッド型のセットアップでは責任の所在が曖昧になり、アクセス制御やパッチ適用に弱点が生じる可能性もある。
コンプライアンスとガバナンスの課題
ハイブリッドセットアップ内のプラットフォームは、データの保存場所や扱い方について、異なる法律によって管理される可能性がある。
1.COVID後の迅速な採用
COVID-19の大流行によって加速したハイブリッド・クラウドの導入拡大により、セキュリティはこれまで以上に重要になっている。
企業はリモートワークとクラウドインフラストラクチャに急速に移行しましたが、その多くは、このような分散したマルチプラットフォーム環境に対応する適切なセキュリティフレームワークを備えていませんでした。このようなクラウド導入の増加は、攻撃者の侵入口を増やし、コンプライアンス管理を複雑にしています。
2.規制の複雑さ
このような多様なシステムでは、GDPRのような規制要件とプロセスを整合させるのは至難の業だ。GDPRは特定のデータをEU域内に置くことを義務付けている。
3.ハイブリッド・システムにおける監査可能性
また、従来のツールはハイブリッド・セットアップ間で効果的に機能しない可能性があるため、データへのアクセスや移動を監査することも難しい。
ハイブリッド・Cloud セキュリティの利点
すべてのリスクを考慮すると、ハイブリッド・クラウドのセキュリティは、特にシングル・クラウドやオンプレミスのシステムと比較した場合、依然として強力な利点を兼ね備えている。
柔軟性と拡張性
ハイブリッド環境では、企業は機密データをプライベート・クラウドやオンプレミスのシステムで保護しながら、重要度の低い業務にはパブリック・クラウドを利用することができる。
これにより、SOCチームは保護に妥協することなく、変化するセキュリティニーズに対応することができる。
リスクマネジメント
ハイブリッド・クラウドのセットアップは、1つの重要なコンポーネントの障害によってインフラ全体が崩壊する単一障害点の可能性を低減する。
データが複数の環境に分散している場合、ある領域で侵害が発生しても、インフラ全体が危険にさらされることはない。
コンプライアンスと継続性
ハイブリッド環境はコンプライアンスにも対応しており、企業は規制上の理由から必要な場所には機密データを保存し、より一般的なワークロードには他のプラットフォームを使用することができる。
例えば、1つの環境に問題が発生した場合、企業は迅速に他の環境に移行することができ、ダウンタイムを最小限に抑えることができる。
ハイブリッド・Cloud セキュリティとパブリック・Cloud およびプライベート・Cloud セキュリティの比較
完璧なサイバーセキュリティ・フレームワークは存在しないが、ハイブリッド環境で構築されたフレームワークは、パブリッククラウドやプライベートクラウドモデルと比較して、より柔軟な保護戦略をサポートできる点で際立っている。
レガシー・ツールと最新のクラウドベースの防御を同じセットアップで維持することが可能なため、各環境のリスク・レベルに合わせたレイヤード・アプローチが可能になる。
脆弱性が1つのプラットフォームに影響した場合、例えば公共プロバイダーに関連したサプライチェーンの問題など、チームはリスクを抑制するために他の場所に業務をシフトすることができる。
ハイブリッド・システムはまた、より幅広いソースからセキュリティ・データを収集し、脅威の検知と対処方法を改善する。
このアプローチは、組織により多くの調整余地を与え、問題を迅速に切り分け、セキュリティの決定をよりニーズに近いものにする。
ハイブリッド・Cloud セキュリティのCore 原則とフレームワーク
ハイブリッド・クラウドのセキュリティの基礎となる重要な原則には、どのエンティティもデフォルトでは信頼されないことを保証するゼロ・トラスト・セキュリティや、サプライチェーンのセキュリティへの配慮などがある。
後者は、依存関係やサードパーティのソフトウェアを保護することに重点を置いている。
Cloud フレームワークと標準
(CCM)Cloud
セキュリティの実践を整理するために、多くのチームはCloud (Cloud Security Alliance)の(CCM)Cloud (Cloud Controls Matrix)を適用している。
CCMは、ID管理、インフラ・セキュリティ、コンプライアンスといったクラウド特有の管理領域を細分化し、ISOやNISTといったグローバルスタンダードと整合させている。
また、IaaS、PaaS、SaaSの各サービスモデルにおける役割と責任を定義するのにも役立つ。
(CSPM)Cloud
CSPMツールは、誤った設定を発見し修正することで、セキュリティ問題の主な原因であるヒューマンエラーのリスクに対処する。
ハイブリッド・Cloudゼロ・トラストとSupply Chain セキュリティ
サイバーセキュリティで広く使われているアプローチのひとつに、ゼロ・トラストがある。
これは、いかなるユーザー、デバイス、アプリケーションに対しても、デフォルトの信頼を前提としない。アクセスは、場所やネットワークではなく、ID、コンテキスト、リアルタイムのチェックに基づいて許可される。
ソリューション MetaDefender Cloudのようなソリューションは、マルチクラウドのワークフロー全体にわたって、プロアクティブなファイル検査と脅威防御を通じてゼロトラスト原則を組み込みます。
ハイブリッド・アーキテクチャは、API、マネージド・プラットフォーム、オープンソース・ツールなどの外部サービスに依存しているため、ソフトウェアのサプライチェーンを保護することもSOCの最重要課題となっている。
ハイブリッド・Cloud セキュリティの主な構成要素
ハイブリッド・クラウドは強力なイネーブラーであると同時に、独特のリスクを伴う環境でもある。
このような背景から、ハイブリッド・クラウドのセキュリティ・フレームワークには、いくつかの重要な要素を備えた、明確で多面的なアプローチが必要となる。
(IAM)アイデンティティ・アクセス管理とRBAC
IAMはアクセス・コントロールのフレームワークであり、適切な個人だけが適切な理由で適切なリソースに適切な時間にアクセスできるようにする。
IAMは、IDがオンプレミスと複数のクラウド・サービスにまたがるハイブリッド環境の中心的存在である。
IAMの枠組みでは、2つの方法が非常に有効である:
- (RBAC) 役割ベースのアクセス制御
- (PAM) 特権アクセス管理
ロールベースのアクセス制御
RBACは、組織におけるユーザーの役割に基づいて権限を割り当て、ユーザーがアクセスまたは実行できるデータやアクションを制限する。ロールは通常、職務機能(開発者、アナリスト、人事など)に基づいており、各ロールにはあらかじめ定義されたアクセス権が設定されている。
この方法は最小特権の原則を強制し、ユーザーが必要なものだけにアクセスできるようにします。また、アクセスを論理的に構造化することで、ガバナンスやコンプライアンスにも役立ちます。
特権アクセス管理
職能に基づいてのみ権限を割り当てるRBACとは対照的に、PAMは特権アカウント、すなわち管理者権限や重要システムへのアクセスを持つアカウントへのアクセスを安全に管理するために使用される。
ハイブリッドセットアップでは、PAMはインフラ管理レイヤー(ドメインコントローラー、クラウド管理ポータルなど)のセキュリティと、クラウド管理コンソール(AWSルート、Azureグローバル管理者など)へのアクセスを制御するために重要だ。
セキュリティ運用・監視ツール
(SOC)セキュリティ・オペレーション・センター
SOCは、セキュリティの脅威を監視、検出、対応、緩和する集中ユニットである。
この部署は、人、プロセス、テクノロジーを駆使して、24時間体制で監視しながら脅威の検知と対応を調整する。
(CASB)Cloud
CASBは、クラウド・サービスの利用者(組織)とプロバイダーとの間のセキュリティ・ポリシー実施ポイントである。
CASB内では、組織はインフラを運営していなくても、何をアップロードし、どのようにクラウドとやり取りするかに責任を持つ。
CASBは、シャドーIT、データ移動、ユーザー行動の検出と管理を支援し、IT部門に未承認のツールが使用されていることを可視化する。
ハイブリッド・インフラでは、CASBによって統一されたガバナンスが可能になる。これにより、データをクラウドに移行しても、オンプレミスのセキュリティとコンプライアンスが損なわれることはない。
(SIEM) セキュリティ情報およびイベント管理
SIEMは、セキュリティ・データを収集、集約、分析、相関させて脅威を検知し、リアルタイムのアラートを生成するプラットフォームである。
オンプレミスおよびクラウドシステムのログとイベントデータを一元管理し、一貫した脅威検知を実現します。また、状況認識、フォレンジック・インサイト、コンプライアンス・レポートも提供します。
SIEMは、MetaDefender Cloud Splunk SIEMの統合のように、サイバーセキュリティソリューションに統合することができる。
ハイブリッド・Cloud セキュリティの実装アプローチ
ハイブリッド環境では、セキュリティ・アーキテクトは、クラウドとオンプレミのシステム間でシームレスに実装できる一連のツール、プラクティス、ポリシーを必要とする。
(CSPM)Cloud
CSPMは、クラウド設定を自動的に評価・管理するツールである。その目的は、クラウド環境全体の設定ミス、コンプライアンス違反、リスクのある設定を検出することである。
ハイブリッド・クラウドのセットアップはダイナミックで複雑であり、パブリック・クラウドとオンプレミスの環境間で頻繁に変更が行われるため、ハイブリッド・クラウドには特に有効だ。
継続的モニタリングとインシデントレスポンス
ツールというよりもプロセスであり、脅威を検知するためにログ、メトリクス、セキュリティイベントを継続的に収集・分析することを指す。
モニタリングが機能するためには、インシデントを調査し対応するための明確なプロセスと組み合わせる必要がある。
ハイブリッド環境では、このプロセスにより、クラウドネイティブアプリ、SaaS、オンプレミスのファイアウォール、サーバー、エンドポイントなど、散在するデバイスやソフトウェアに対する統一された脅威ビューが提供される。
自動化されたポリシー実施
最後に、ツールやスクリプトを使用して、セキュリティ・ポリシーを自動的に実施する。これらのポリシーは、非準拠のリソースを無効にしたり、暗号化を強制したり、承認されていないサービスをブロックしたりする。
自動化された実施により、作業負荷が着地するかどうかにかかわらず、セキュリティルールが作業負荷とともに移動することが保証される。
ハイブリッド・Cloud セキュリティ管理のベストプラクティス
すべてのツールやポリシーのほかに、ハイブリッド・クラウドのセキュリティ・フレームワークは、次のような運用戦術に基づいて構築されている:
セキュリティ監視と警告
ハイブリッドモデルでは、脅威はクラウドから発生し、オンプレミスに影響を及ぼす可能性がある(逆もまた然り)。
システムやサービスをリアルタイムまたはほぼリアルタイムで監視することで、害が閾値を超える前に、悪意のある行動を検知し、暴露することができる。
インシデントレスポンスとフォレンジック
効果的なインシデント対応はビジネスの中断を制限し、フォレンジックは証拠を保全し、将来の防御を改善する。
レスポンスの自動化とプレイブック
これらは、ホストの隔離、ユーザーの無効化、IPのブロックなど、インシデント対応プロセスの一部を自動化する定義済みのワークフローやスクリプトです。
インシデントが環境全体に広がった場合、自動化されたアクションは人間のチームよりも早く脅威を封じ込めることができる。
ハイブリッド・Cloud セキュリティにおける課題と考察
ハイブリッド・クラウド・インフラを保護する場合、課題は使用するテクノロジーよりも、すべての環境間での連携と一貫性にある。
複数の環境を管理する複雑さ
その性質上、ハイブリッド・クラウド・インフラは複数のツール、ポリシー、コントロールによって管理される。
このため、セキュリティ・チームは複数のプラットフォームを使用せざるを得ず、設定ミスのリスクが高まる。
しかも、1つのシステムが変更されても、他のシステムとは自動的に同期しない。これは、見落としのリスクを高めることにつながる。
可視性とコントロールの問題
ハイブリッド・セットアップの多様な性質は、誰が何にアクセスし、データがどこに存在し、リソースがすべての環境でどのように構成されているかについての一貫した洞察の欠如にもつながる。
散在するデータには重大なリスクが隠されている可能性がある。
統合と相互運用性の課題
オンプレミスとクラウドのインフラは、必ずしも相互に通信できるようには構築されていない。このため、セキュリティ・ツール、アイデンティティ・システム、ポリシーを環境間で接続する際に課題が生じる。
API、ログ・フォーマット、アクセス・モデルはプラットフォームによって大きく異なり、オンプレミスのレガシー・システムは最新の認証をサポートしていない場合がある。
ハイブリッド・Cloud セキュリティ課題を克服する
このような課題に対処するには、複雑性を戦略的に管理し、攻撃対象領域を減らし、オンプレミスとクラウドの環境間で一貫した制御を確保することを目的とした戦略が必要です。
統一セキュリティポリシー
このアイデアは、すべての環境で共有されるルールセットを作成することで、それぞれの設定の複雑さに巻き込まれないようにすることだ。
組織は、誰がログインでき、何にアクセスできるかを管理するために、1つのIDシステムを導入することができる。
Azure ADやOktaのようなツールは、シングルサインオンと多要素認証をサポートしている。
もう一つのアイデアは、パスワード・ルール、ネットワーク・ルール、暗号化要件など、繰り返し必要となるポリシーのテンプレートを構築することだ。
最後に、すべてのセキュリティ・ポリシーは、GDPR、HIPAA、ISO 27001のような外部標準と一致させ、監査に備える必要がある。
集中監視と管理
各チームが異なるツールで異なるデータを見れば、攻撃は気づかれないかもしれない。
盲点を避けるために、組織はSIEMやSOARツールを使ってログやアラートを一箇所に集めると同時に、システム間で連携するエンドポイントツールを使うべきである。
また、全システムにまたがる重要なアラートを表示する単一のダッシュボードをチームが持つことも有効です。これにより、セキュリティ専門家は迅速に対応し、パターンを発見することができます。
ベンダーとSupply Chain リスク管理
新しいシステムが導入されるたびに新たな障害点が生じると、たった一つの弱点がデータに影響を及ぼす可能性がある。
幸いなことに、ISO 27036やNIST 800-161のような標準的な方法で、すべてのサードパーティ・サービスをレビューすることができる。
たとえそのツールが認証に合格し、ネットワークの一部になったとしても、安全だと思い込んではいけない。それぞれができることを制限し、すべてを監視する。
各パートナーシップの最初に、セキュリティのステップと、何か問題が起きた場合の明確なルールを要求する契約書を書く。
最後に、API ゲートウェイ、ファイアウォール、ネットワーク・ルールを使って、外部のシステムを自分たちの空間に閉じ込めておく。
ハイブリッドワークフローのためのCloud保護 - どこにあってもデータをSecure 。
ハイブリッド・クラウドのインフラは、革新的でスケーラブルかつ柔軟なソリューションによって保護される必要がある。
OPSWAT MetaDefender Cloud™は、まさにそのために構築されています。
この SaaS ネイティブ・ソリューションは、高度な脅威検知、Deep CDRTM、proactive DLP、およびサンドボックスを組み合わせて、あらゆるファイルタイプの既知および未知の脅威を検知、無効化、分析します。
MetaDefender Cloud 20以上のファイルタイプを検査し、カスタマイズ可能なポリシーを適用し、AWS、Azure、そしてそれ以上のワークフローに統合することができます。
どのように MetaDefender Cloudハイブリッドクラウドセキュリティを簡素化し、データがどこにあっても安全な状態を保つことができます。
よくある質問 (FAQ)
Q: ハイブリッド・クラウド環境のセキュリティはどのように管理していますか?
ハイブリッド・クラウド環境では、セキュリティはアクセス制御、暗号化、継続的なモニタリング、アイデンティティ管理の組み合わせによって実現される。オンプレミスとクラウドの両方のシステムにセキュリティ・ツールを統合し、脅威の検知と対応を自動化しながら、可視性と制御を確保することが極めて重要です。
Q:サイバーセキュリティにおけるハイブリッド・アプローチとは何ですか?
サイバーセキュリティにおけるハイブリッド・アプローチは、オンプレミスとクラウドベースのセキュリティ・ソリューションを組み合わせたものです。このアプローチは、プライベートおよびパブリックのクラウド環境を保護し、機密データやシステムのセキュリティを損なうことなく柔軟性と拡張性を提供します。
Q: ハイブリッド・クラウドのセキュリティにはどのような課題がありますか?
課題には、複数のプラットフォームにわたる可視性と制御の管理、転送中のデータ保護の確保、規制への対応、設定ミスの防止、サイバー脅威への対応などがある。すべての環境で一貫したセキュリティ・ポリシーを維持するのは難しい。
Q:ハイブリッド・セキュリティ・モデルとは何ですか?
ハイブリッド・セキュリティ・モデルは、オンプレミス、クラウドベース、サードパーティ・ソリューションなどのセキュリティ・アプローチを組み合わせて使用し、多様な環境のデータとシステムを保護します。ハイブリッド・セキュリティ・モデルによって、企業は特定のインフラに合わせてセキュリティ管理をカスタマイズすることができます。
Q:Deep CDR ハイブリッド・クラウドのセキュリティをどのようにサポートしていますか?
Deep CDR 、すべてのエントリーポイントでファイルをサニタイズし、ユーザビリティに影響を与えることなく脅威を除去します。オンプレミス環境とクラウドベースの環境の両方にシームレスに統合されるため、ファイルの発信元やアクセス先に関係なく、一貫した保護が保証されます。
