クラウドのセキュリティ保護: 本当に知っておくべきこと

5分 読む

ほぼすべての企業が、計画的な行動によるものでも、従業員が承認されていないクラウド サービスを採用しているためでも、何らかの形でクラウドに移行しています。 従業員は通常、仕事をより効率的に行うためにクラウド サービスを導入しますが、セキュリティ上の影響を考慮せずに導入します。これは経営上の懸念事項です。

残念ながら、クラウド セキュリティに関しては、企業は間違った問題を心配することがよくあります。 クラウド プロバイダーは、全体として、平均的な企業よりもはるかに優れたサービス セキュリティ対策を講じているため、クラウド プロバイダのセキュリティや、クラウド プロバイダがハッキングされるかどうかについて過度に心配する必要はありません。

代わりに、クラウドのうち自分が制御する部分について心配する必要があります。 これらの懸念は、企業が導入するクラウドの種類によって異なります。 Infrastructure as a Service (IaaS) を使用すると、セキュリティをより細かく制御できますが、セキュリティに対する責任も大幅に増加します。 SaaS (Software as a Service) では、セキュリティに対する制御は最小限に抑えられ、その責任の多くをサービス プロバイダーに移譲します。 Platform as a Service (PaaS) はこれら 2 つを組み合わせたものです。
これらの理由から、採用するクラウド サービスのモデルによって、セキュリティに関するプロバイダーの責任のレベルが決まります。 知っておくべきことは次のとおりです。

1. クラウドapplicationsとインフラストラクチャに対する脅威を理解する

クラウド インフラストラクチャに対する最も懸念される脅威は、他のインフラストラクチャの場合と同じで、さまざまな原因による侵害です。 侵害にはさまざまなレベルがあることを認識することが重要です。管理者アカウントへのアクセス権を取得した攻撃者は、制限されたユーザー アカウントにアクセスする攻撃者よりもはるかに多くの制御権を持ちます。

そのため、管理者ユーザーと特権ユーザーについてはさらに注意を払い、すべてのユーザー アカウントに対して通常行われる監視以上にそれらのアカウントを監視する必要があります。 企業の従業員は SaaS、PaaS、IaaS インフラストラクチャに対して何らかの形の管理者アクセス権を保持しているため、このセキュリティの脅威はすべてのタイプのクラウドに当てはまります。

2. アイデンティティとアクセスを安全に管理

さらに、クラウド サービスのセキュリティを確保するには、ID とアクセスの重要性に特に注意する必要があります。 ID およびアクセス データの保存場所は保護し、厳重に監視する必要があります。 しかし、平均的な企業では従業員が使用するクラウドapplicationsを 1,031 個処理する必要があり、フェデレーション ID 管理またはシングル サインオン インフラストラクチャがなければこれを実現することはできません。

3. 可用性に対する脅威を相殺する

分散型サービス拒否 (DDoS) 攻撃はより巧妙になり、実行しやすくなりました。 ブーターやストレッサーとも呼ばれる DDoS 攻撃請負サービスは、ネットワークや Web サイトをダウンさせるために簡単に利用できます。 また、クラウド サービスの人気が高まるにつれて、DDoS 攻撃の影響も大きくなります。これは、攻撃者が 1 回の攻撃で多くの企業の重要なビジネス サービスを中断できるためです。

たとえば、2016 年 10 月には、数万台のデジタル ビデオ レコーダー、カメラ、家庭用ルーターを利用した大規模な DDoS 攻撃がDNS プロバイダーの Dyn を標的としました。同社の顧客は、オンライン ユーザーを自社のサイトに誘導するためにこのサービスに依存しています。 その結果、Netflix、Twitter、PayPal を含む多くのインターネット サービスが中断されました。

プロバイダーが攻撃に耐えられるだけの柔軟性を備えているかどうかを判断する必要があります。 多くのクラウド インフラストラクチャ プロバイダーは帯域幅を増やす機能を提供していますが、攻撃中は追加の帯域幅に対して料金を請求されることが多く、ビジネスに多大な損害を与えます。 攻撃のレベルに対応するにはコストがかかりすぎると判断されるポイントと、不正なトラフィックがアプリに到達する前に阻止する DDoS 緩和サービスを導入する方が合理的と判断されるポイントを評価する必要があります。

4. 脆弱性の脅威を管理する

2015年、ハッカーがウイルス対策企業BitDefenderのパブリッククラウドの脆弱性を利用して、暗号化されていないユーザー名とパスワードを数え切れないほど盗んだ。 脆弱性は、オンプレミスのデバイスやアプライアンスと同様に、クラウド インフラストラクチャにとっても脅威となります。

企業は俊敏な方法でパッチを適用できる必要があります。つまり、運用チームはどのインフラストラクチャ コンポーネントが脆弱であるかを把握し、その脆弱性を管理するためのオプションを持っている必要があります。 迅速なパッチ展開を優先する必要がありますが、セキュリティ チームがさらなる問題を引き起こすことなく問題を修正するのに十分な時間を確保するために、仮想パッチも利用できる必要があります。

全体的に、クラウド サービスとプラットフォームは、サービス レベル契約や定期的な更新とパッチ適用により、平均的な企業のインフラストラクチャよりも安全である傾向があるため、企業は自社の管理下にあるクラウドの側面に重点を置く必要があります。 企業は、アクセスと資格情報を制御し、サービスを利用可能な状態に維持し、自社の管理下にあるクラウド インフラストラクチャの部分における脆弱性を管理することに重点を置くと、クラウドがはるかに安全な選択肢であることに気付くでしょう。

F5 Networks のシニア セキュリティ ソリューション アーキテクトである Brian McHenry は、Webapplicationとネットワーク セキュリティに重点を置いています。 McHenry は、顧客と F5 製品チームの間の連絡役として機能し、実践的で現実的な視点を提供します。 彼は InformationSecurityBuzz.com の定期寄稿者であり、BSidesNYC の共同設立者であり、AppSecUSA、BC Aware Day、GoSec Montreal、Central Ohio Infosec Summit などで講演を行っています。 2008 年に F5 に入社する前、自らを IT ジェネラリストと称する McHenry 氏は、新興企業から大手金融サービス企業に至るまで、さまざまなテクノロジー組織で指導的立場を務めていました。