用語集:サイバーセキュリティに関する用語と定義

ハイブリッド クラウド セキュリティとは何か

ハイブリッド クラウド セキュリティとは、ハイブリッド クラウド環境を保護するために使用される一連のプラクティス、手順、技術です。

ハイブリッド クラウド セキュリティは、オンプレミスのハードウェア、プライベート クラウド、パブリック クラウドなどが混在するIT環境で、データ、アプリケーション、インフラストラクチャを保護します。また、プライベート クラウドとパブリック クラウドの両方のリソースが持つ固有の特性に対応し、顧客のトラフィックが環境の間を通過する際にデータとアプリケーションの機密性、完全性、可用性を確保する、統合的なセキュリティの枠組みを提供する必要があります。

ハイブリッド クラウドとは、AWS、Microsoft Azure、Google Cloud Platformなどのパブリック クラウドのコンピューティング インフラストラクチャと、組織のプライベート クラウドやオンプレミス データ センタを組み合わせた混合コンピューティング環境のことです。その主な利点は俊敏性であり、必要に応じてコンピューティング リソースを拡張・縮小させたり、データ セキュリティ、コンプライアンス、ワークロードの機密性、パフォーマンスなどの要件に基づいて、ワークロードが処理される場所を選択したりすることができます。

パブリック クラウドでは、サードパーティのサービス プロバイダが所有する共有のコンピューティング リソースでアプリケーションやデータをホストすることができます。パブリック クラウドでは、従量課金制モデルでほぼ無制限にコンピューティング リソースを利用でき、組織はデータ センタのハードウェアに投資することなく大きなスケール メリットを享受できます。プライベート クラウドは、企業が管理する、共有ではなく専用のクラウド インフラストラクチャであり、サードパーティのコロケーション プロバイダが運用する場合と、プライベート データ センタでホストして企業が管理する場合があります。

プライベート クラウドは、パブリック クラウドよりも高度な制御と堅牢なセキュリティを提供できるため、高度なセキュリティ、コンプライアンス、カスタマイズを必要とする機密データの処理や保管、ミッションクリティカルなアプリケーションの処理に適しています。

マルチクラウドもクラウドの一種であり、この場合、組織は一般的に、特定のビジネス ニーズや顧客の要望を満たすために、異なるクラウド プロバイダの複数のクラウド コンピューティング サービスを利用します。マルチクラウド セキュリティは、複数のクラウド サービス プロバイダが提供する複数のクラウド コンピューティング プラットフォームに展開されているデータとアプリケーションに、一貫性のある包括的な保護を提供します。

ハイブリッド クラウド セキュリティとマルチクラウド セキュリティの間には、重要な違いがあります。ハイブリッド クラウド セキュリティは、パブリック クラウドとプライベート クラウドにあるリソースを一貫して保護することに重点を置いています。一方、マルチクラウド セキュリティは一般的に、複数のクラウド プロバイダのサービスを利用することを意味し、構成ミス、不正利用、横方向に広がる脅威から一貫して保護するために、より広範なセキュリティ戦略を必要とします。つまりハイブリッド クラウド セキュリティは、マルチクラウド セキュリティの一部なのです。

ハイブリッド クラウド セキュリティのメリット

ハイブリッド クラウド セキュリティ モデルでは、機密性の高いデータやアプリケーションをオンプレミスで保護し、機密性の低いワークロードにはパブリック クラウドを使用することができます。機密性の高いデータやアプリケーションをパブリック クラウドから分離することで、セキュリティ リスクをより適切に管理し、データ漏洩による悪影響やサイバー攻撃の可能性を低減することができます。

このようなセキュリティ アプローチは、機密性の高いデータや保護対象のデータをオンプレミスに保管し、機密性の低いデータやワークロードにはパブリック クラウドを使用できるため、規制遵守の点でメリットがあります。また、ハイブリッド クラウドのセキュリティ モデルでは、パブリック クラウドを障害時の災害復旧サイトとして利用したり、パブリック クラウドに「バースト」してトラフィックの急増に対処したりすることができます。

ハイブリッド クラウド セキュリティの課題

ハイブリッド クラウド セキュリティ戦略を実装すると多くのメリットがありますが、同時に、次に挙げるようないくつもの課題とリスクを伴います。

  • セキュリティ責任の共有:ハイブリッド クラウド環境では、顧客とクラウド プロバイダがセキュリティに対する責任を共有するため、セキュリティのどの側面をどちらが負うか、責任の分担を理解することが重要になります。顧客は、プロバイダが責任を果たしているかどうかを確認し、さらに、すべてのクラウド環境にわたって包括的なセキュリティを確保するために、顧客がセキュリティ対策を追加しなければならない場合があることを理解しておく必要があります。
  • インシデントの処理:インフラストラクチャには分散する性質があることから、ハイブリッド クラウド環境ではインシデントの処理が難しくなりがちです。インシデントの原因を特定し、さまざまな環境間で対応を調整することも難しくなります。プロバイダのインフラストラクチャでインシデントが発生した場合でも、顧客がプロバイダと協力して問題を修復しなければならないことがあります。
  • アプリケーションのセキュリティ:ハイブリッド クラウド環境では、アプリケーションのセキュリティ要件と構成が異なる場合があり、クラウドベースのアプリケーションを維持し、保護することが計画を実施する上での課題となります。これは特に、環境全体で使用されている共通のソフトウェア ライブラリを標的として、アプリケーションの脆弱性を悪用された場合の修復に当てはまります。
  • IDおよびアクセス管理(IAM):ハイブリッド クラウドが分散化し、異なるプラットフォームでさまざまなIAMツールやプロセスが使用されることで、複数のクラウド環境にわたるユーザーIDとアクセスの管理は複雑になります。さらに、APIやサードパーティの統合によりマシン間トラフィックが増加しており、IDベースのセキュリティに対する異なるアプローチが必要になっています。
  • コンプライアンスとガバナンス:一部のクラウド環境では、可視性が欠如し、管理が分散しているために、ロギングやフォレンジックが不完全になり、コンプライアンスとガバナンスの要件を満たし、実施することが困難になる場合があります。
  • サプライ チェーンにおけるセキュリティ:多くの組織でサプライ チェーン全体の可視性と制御が不十分であるために、マルチベンダー ハイブリッド クラウド環境の悪用をサイバー犯罪者に許してしまっています。組織は、クラウド プロバイダが堅牢なセキュリティ対策を講じ、定期的にセキュリティ監査、侵入テスト、脆弱性スキャンを実施していることを確認する必要があります。
  • データの保護:組織は、ハイブリッド クラウド環境のデータが保管中も転送中も保護され、さらに、露出を制限するために適切なSSL/TLS暗号化とアクセス制御が行われていることを確認する必要があります。
  • 可視性と制御:ハイブリッド クラウド環境でセキュリティの可視性と制御を維持することは、特にクラウド環境が個別に管理されている場合に難しくなります。一元化されたダッシュボードがないと、環境全体のセキュリティの監視、保護、トラブルシューティングが困難になり、セキュリティのパフォーマンスと制御に盲点が生じることになります。

安全で規制を遵守したハイブリッド クラウド環境を構築するには、セキュリティ体制を損なうことなくハイブリッド クラウドのメリットを享受するための、一貫したセキュリティ ポリシーとプラクティス、エンドツーエンドの可視性、強力なガバナンスとコンプライアンス対策などを網羅した総合的なアプローチが必要です。

ハイブリッド クラウド セキュリティ アーキテクチャ

ハイブリッド クラウド セキュリティのアーキテクチャは、アプリケーション、API、基盤となるインフラストラクチャ、ソフトウェア サプライ チェーンの保護を伴います。データにアクセスしたり、データを利用したりするには、データ センタやクラウド環境を介するため、通常は何らかの形でゼロトラスト セキュリティ モデルを使用して、正当なユーザーやアプリケーションのみがデータにアクセスして使用できるように暗号化する必要があります。ゼロ トラストとは、リソースへのアクセス要求は、その発信元がネットワークの内部か外部かを問わず、すべて検証し、認証し、要求ごとに継続的に評価しなければならないことを意味します。

アーキテクチャの境界では、エッジ クラウド サーバーやアプリケーション コンテナにマイクロセグメンテーション[insert link to new microsegmentation glossary page]が利用されています。これは、ネットワークをより小さなセグメントに分割し、それぞれのセグメントに独自のセキュリティ ポリシーと制御を持たせることで、潜在的なセキュリティ脅威から重要な資産を隔離して保護するセキュリティ技術です。これにより、機密データやサーバーへのアクセスを制限し、攻撃の影響範囲を制限する「非武装地帯」(DMZ)が作られます。このDMZは、組織がネットワークの残りの部分を安全に保ちながら、特定のサービスを公共のインターネットに公開するための緩衝材として機能します。

ファイアウォールは、別の保護層を追加し、クラウド環境とオンプレミスのリソースをさらに分離します。

図1. ゼロ トラスト アーキテクチャは継続的なセキュリティの向上をもたらします。

ハイブリッド クラウド セキュリティのコンポーネント

ハイブリッド クラウド セキュリティは、物理、技術、管理の3つのコンポーネントで構成されています。

物理的制御は実際のハードウェアを保護するためのものであり、技術的制御はITと処理システムを保護するものです。管理的制御は、セキュリティに影響を与える可能性がある人間の行動や自然要因を考慮するために実装されます。

物理的制御

物理的制御は、ハイブリッド クラウド環境をサポートする物理的なインフラストラクチャを保護するため、ハイブリッド クラウド セキュリティの重要な側面になっています。ハイブリッド クラウドは複数のロケーションにまたがることがあるため、物理的なセキュリティは特別な課題であると同時に重要な責任でもあります。

物理的制御には、データ センタ、サーバー ルーム、重要なインフラストラクチャを含むその他のエリアへのアクセス制限も組み込まれています。重要なインフラストラクチャへのアクセスを監視し、不正な活動を検知するためのCCTVカメラ、動体検知器、モニタリング システムなどの監視システムも物理的制御と見なされます。

さらに、物理的制御には、停電時にハイブリッド クラウド環境の運用を維持するための無停電電源装置(UPS)や補助発電機などの補助電源システムも含まれます。

組織は、物理的なセキュリティ基準をどのように満たすかを定義したサービス レベル アグリーメント(SLA)をクラウド プロバイダと締結します。

技術的制御

技術的制御は、ハイブリッド クラウド セキュリティに不可欠であり、次から構成されています。

  • 暗号化:転送中と保管中のデータを保護するために使用します。SSL/TLS暗号化により、不正ユーザーが傍受しても、データの保護が保証されます。
  • プロビジョニングと構成の自動化:これにより、人為的ミスのリスクを軽減し、ハイブリッド クラウド環境全体で一貫した効率的なセキュリティ管理を実現できます。
  • オーケストレーション:ハイブリッド クラウド環境を保護するためにシームレスに連携するように、さまざまなセキュリティ ツール、システム、プロセスの調整を自動化します。
  • アクセス制御:ハイブリッド クラウド環境でホストされている機密データとアプリケーションに許可されたユーザーのみがアクセスできるようにするためのポリシーと手順の実装が組み込まれています。ハイブリッド クラウド環境では、最小権限アクセスなどのゼロトラストの原則がより重要になります。
  • エンドポイント セキュリティ:ノートパソコンや携帯電話などのデバイスの置き忘れ、盗難、侵害などが発生した場合、デバイスのデータを消去したり、データ センタへのアクセス権を取り消したりすることで、それらのデバイスからの不正アクセスを防ぎます。

 

図2. ハイブリッド クラウドを保護するには多層的なセキュリティ アプローチが必要です。

管理的制御

セキュリティはすべてのユーザーの責任であり、管理的制御は、セキュリティを強化する行動ができるようにユーザーを支援します。

組織は、従業員、請負業者、ハイブリッド クラウド環境のその他のユーザーに対してトレーニングと意識向上プログラムを提供する必要があります。このトレーニングでは、クラウド セキュリティのベスト プラクティス、データの分類、アクセス制御、インシデント対応などのトピックを取り上げ、関係者ごとの役割と責任に合わせて調整する必要があります。

ハイブリッド クラウド アーキテクチャは、データの復旧や災害対策の計画と準備に非常に有効です。ハイブリッド クラウドにはプライベート クラウドとパブリック クラウドがどちらも含まれているため、パブリック クラウドをオンプレミスのデータやアプリケーションのフェイルオーバーとして利用し、バックアップ、冗長化、災害対策や復旧のシナリオを可能にすることができます。

ハイブリッド クラウド セキュリティのベスト プラクティス

ハイブリッド クラウド セキュリティは複雑であり、慎重な計画、実装、そして継続的な管理が必要です。ここでは、ハイブリッド クラウド セキュリティへのアプローチを策定する際に考慮すべきベスト プラクティスをいくつかご紹介します。

  • データの分類と保護。データを機密性と重要性に基づいて分類することは、データの保管、転送、アクセスの方法と、適用するセキュリティ対策を決定するのに役立ちます。また、暗号化、アクセス制御、バックアップとリカバリのプロセスなど、適切なデータ保護対策を実装することも、ハイブリッド環境を通過するデータを確実に保護するために極めて重要です。
  • アクセス制御とID管理。組織は、強力なアクセス制御とID管理プロセス、役割ベースのアクセス制御、権限管理を実装し、許可されたユーザーとアプリケーションのみが機密リソースにアクセスできるようにする必要があります。ゼロ トラストの原則は、認証と認可の弱点を標的とする巧妙な攻撃から最新のワークロードを守るのに役立ちます。
  • ネットワーク セキュリティとセグメンテーション。リソースが複数のロケーションやプロバイダに分散しているハイブリッド クラウド環境では、ネットワーク セキュリティも重要です。ネットワーク ファイアウォール、Web Application Firewall、クラウド ワークロード保護プラットフォーム、ネットワーク セグメンテーションなどの強力なセキュリティ対策を実装することは、トラフィックを許可されたユーザーとアプリケーションのみに確実に制限するためには極めて重要です。
  • 暗号化と鍵の管理。暗号化は、ハイブリッド クラウド環境で転送中と保管中のデータを保護するものであり、データのライフサイクルを通じて行われる必要があります。また、暗号鍵も慎重に保護し、許可されたユーザーとアプリケーションのみが暗号鍵や暗号化データにアクセスできるようにする必要があります。
  • 継続的な監視とインシデント対応。潜在的な脅威を特定してセキュリティ インシデントに迅速に対応するには、セキュリティ イベントとログを継続的に監視する必要があります。組織は、役割と責任、インシデントのエスカレーション手順、連絡手順を要約したインシデント対応計画を策定しておく必要があります。

ハイブリッド クラウドのコンプライアンスとガバナンス

ハイブリッド クラウド環境におけるコンプライアンスとガバナンスの管理は難しく、次の点を考慮する必要があります。

  • 規制の遵守。医療、金融、政府機関など、規制の厳しい業界で事業を展開する組織にとって、ハイブリッド クラウド環境における規制の遵守は重要な関心事です。組織は、それぞれの業界に適用される規制を見極め、既存のインフラストラクチャとプロセスを評価して、要件を満たすために必要な制御機能を実装する必要があります。これには、データの暗号化、アクセス制御、コンプライアンスを明確に示すための監査ログなどがあります。
  • データのプライバシーと保護。ハイブリッド クラウド環境では、パブリック クラウド インフラストラクチャが配置された複数のロケーションに機密データが保管される場合があるため、データのプライバシーと保護はハイブリッド クラウド環境における重大な考慮事項となります。組織は、明確なデータ保護ポリシーを確立し、機密データの位置を特定し、暗号化とアクセス制御を実施して機密データへの不正アクセスを防止する必要があります。
  • リスクの管理と軽減。組織は、潜在的な脅威と脆弱性を特定するために、リスク評価を定期的に実施する必要があります。これにより、インフラストラクチャに起こり得る脅威をピンポイントで特定して対処し、その脅威が引き起こすと考えられる損害を定量化することができます。リスクを回避または軽減するための代替ソリューションを評価し、適切なセキュリティ管理を実施し、セキュリティ インシデントが発生しないように環境を監視します。
  • インシデント対応計画。セキュリティ インシデントは、事業運営や企業の評判に重大な影響を及ぼしかねません。組織は、検知と報告、インシデントの封じ込めと隔離、調査、事業運営の復旧の手順などを含め、セキュリティ インシデントが発生した場合に取るべき手順をまとめた包括的なインシデント対応計画を策定する必要があります。
  • ベンダーの管理:組織はインフラストラクチャとアプリケーションの管理をサードパーティのクラウド サービス プロバイダに依存しているため、ベンダーの管理はハイブリッド クラウドのコンプライアンスとガバナンスにおける重要な側面です。ハイブリッド クラウド環境のベンダー リスクを管理するため、組織は、候補のベンダーに対してデュー デリジェンスを実施し、ベンダーの責任と義務をまとめた明確なSLAを策定し、さらに、規制要件を確実に遵守しているかどうか、ベンダーのパフォーマンスを定期的に監視する必要があります。

ハイブリッド クラウド セキュリティのツールと技術

ハイブリッド クラウドの機能を評価し、選択する際に考慮すべきソリューション、サービス、ツールをご紹介します。

ハイブリッド クラウド セキュリティ ソリューション

  • データ損失防止(DLP)は、不正な方法で機密データにアクセスし、流出、転送されるのを監視して防止するセキュリティ ソリューションです。DLPは、オンプレミスのデータセンタ、クラウド環境、エンドポイント デバイス全体のデータを管理および保護するための、ポリシーベースの制御機能を提供します。Web Application Firewallは、柔軟で高性能の防御機能を提供し、機密データの損失を防止します。
  • ネットワーク セキュリティ ソリューションは、ファイアウォール、侵入検知・防御システム、分析、ネットワーク上の送受信トラフィックを保護するその他のセキュリティ技術などの制御機能を組み合わせて、不正アクセス、攻撃、その他のセキュリティ脅威からネットワークを保護します。
  • 脆弱性管理は、ITインフラストラクチャをスキャンして潜在的なセキュリティ脅威や弱点を評価し、修復策を提示するプロアクティブな自動ソリューションです。新たに出現した脅威に対応できるようにするために、脆弱性管理は継続的なプロセスでなければなりません。Web Application Firewallは、アプリケーションの脆弱性が悪用され壊滅的な被害が生じるのを緩和するための重要な暫定策を提供します。
  • 脅威インテリジェンスと検知システムは、複数のソースからデータを収集して分析し、セキュリティ運用センタ(SOC)のスタッフによる調査と監視に加え、機械学習やその他の分析技術を利用して、新たに出現して蔓延しているセキュリティ脅威を特定し、緩和します。
  • コンプライアンス管理ソリューションは、コンプライアンス要件の追跡と報告を行い、コンプライアンス違反に伴う罰則やその他のリスクを回避できるよう支援します。

ハイブリッド クラウド セキュリティ サービス

  • クラウド セキュリティ評価サービスは、クラウド環境のセキュリティ体制を評価し、リスクや脆弱性を特定することで、セキュリティ管理の改善やリスク緩和のための提言を行います。
  • クラウド セキュリティ管理は、クラウド環境のセキュリティ機能を監視することで、セキュリティ ポリシーや構成を一元的に可視化して制御するサービスです。
  • クラウド暗号化サービスは、クラウド環境で転送中と保管中のデータを暗号化し、鍵の管理とアクセス制御を実施してデータを確実に保護します。
  • クラウド ワークロード保護プラットフォームは、コンテナ イメージ、認証キー、ソフトウェア サプライ チェーンなどの土台となるインフラストラクチャを保護し、権限エスカレーション、横方向の移動、データの流出を阻止します。
  • IDおよびアクセス管理(IAM)は、認証、認可、アクセス制御の各サービスを提供し、複数のクラウド環境にわたり、安全で規制を遵守したアクセスを確立します。APIやサードパーティとの統合によってマシン間のトラフィックが増加するため、IDベースの新しいセキュリティ アプローチが必要とされています。

ハイブリッド クラウド ネットワーク セキュリティのツール

  • 仮想プライベート ネットワーク(VPN)は、ユーザーのデバイスと接続先のネットワークの間に安全なトンネルを提供し、クラウド リソースへの暗号化されたリモート アクセスを可能にします。VPNを使用すると、パブリック クラウドとプライベート クラウドを安全に接続して、プライベート ネットワークをパブリック クラウド全体に拡張し、ハイブリッド環境のデータ トラフィックを保護することができます。
  • ファイアウォールは、あらかじめ定義されているルールに従ってトラフィックの監視と選別を行うことで、ネットワークへのアクセスを制御するために使用されます。ファイアウォールは、ネットワークの境界、異なるクラウド環境間、各クラウド環境内に実装できます。
  • 侵入検知・防御システム(IDPS)は、ネットワーク トラフィックを分析して悪意のある活動を特定することによって、セキュリティ脅威を検知して防止するように設計されています。ハイブリッド クラウド環境に導入することで、DDoS、マルウェア、フィッシングなどの攻撃を監視してクラウド リソースを保護することができます。
  • セキュリティ情報イベント管理(SIEM)ソリューションを使用すると、組織のハイブリッド クラウド インフラストラクチャ全体のセキュリティ イベントをリアルタイムで監視して分析することができます。SIEMツールは、異なるクラウド環境からログ データを収集して集約し、イベントを相関させて潜在的なセキュリティ脅威を特定できます。
  • Secure Socket Layer(SSL)とTransport Layer Security(TLS)は、インターネットを介した通信を保護するための暗号化プロトコルです。SSLとTLSを使用すると、クラウド環境間で転送中のデータを暗号化し、機密情報を傍受や改ざんから確実に保護することができます。

ハイブリッド クラウド セキュリティの未来

ここではハイブリッド クラウド セキュリティの新たなトレンドをご紹介し、今後数年でどのような進化が考えられるかを見ていきましょう。

  • ゼロトラスト セキュリティは、従来のネットワーク エッジが存在しないことを前提とし、すべてのネットワーク トラフィックは悪意のある可能性のあるものと見なされます。ゼロトラスト セキュリティでは、組織のネットワーク内外を問わず、あらゆるユーザーに対して、保護対象のアプリケーションやデータへのアクセス権を付与される前に認証と認可が行われ、継続的に検証されます。このセキュリティ アプローチでは、強力なアクセス制御、認証、認可のプロセスが実施され、ネットワーク トラフィックを継続的に監視して潜在的な脅威を検知し、対処します。
  • クラウドネイティブ セキュリティは、クラウド特有のツールや技術を活用してセキュリティを向上させるハイブリッド クラウド セキュリティのアプローチです。このアプローチでは、組織のクラウドネイティブ アプリケーション開発戦略全体にセキュリティを組み込み、コンテナ セキュリティ、マイクロセグメンテーション、サーバーレス セキュリティに加え、クラウドベースの脅威インテリジェンス、セキュリティ分析も含まれます。
  • エッジ セキュリティが重視されているのは、エッジ コンピューティングを採用してデータをソースのより近くで処理しようとする組織が増えているためです。エッジ セキュリティでは、エッジ デバイスとゲートウェイでセキュリティ制御と監視を実施し、さらにエッジ デバイスとクラウド間に安全な通信を確保する必要があります。

ハイブリッド クラウドは、多くの企業にとって、競争力を維持するために必要な柔軟性とスケーラビリティをもたらし、コスト削減を可能にする、革新的な技術であることがすでに証明されています。しかし、ハイブリッド クラウドの保護は複雑になりかねず、機密データとワークロードを常に保護するには、適切なハイブリッド クラウド セキュリティ戦略が必要です。

お客様のハイブリッド クラウド戦略の簡素化を支援するために、F5では、複数のクラウドにわたって一貫性を保ち、複数のIT環境でデータとアプリケーションを保護するセキュリティ ツール管理ツールの包括的なセットを提供しています。