エンタープライズ・クラウド・セキュリティとは

エンタープライズ・クラウド・セキュリティとは、クラウドでデジタル資産のセキュリティを確保するために組織が導入するプラクティス、プロトコル、ポリシー、制御の集合体です。エンタープライズ・クラウド・セキュリティは、クラウド環境、クラウド内に存在するデータ、クラウド内で実行されているアプリケーション、クラウド資産とやり取りするユーザーを保護するように設計されています。ほとんどのクラウド環境では、クラウドプロバイダーと顧客の間でセキュリティの責任が分担されます。

パブリック・クラウド・サービスは、サードパーティプロバイダーが提供する仮想化されたリソースプールです。複数の顧客やテナントが、同じ物理サーバー上のコンピューティングリソースをレンタルしている場合があります。そのため、クラウドで実行されている顧客の資産にわずかなセキュリティリスクが生じる可能性があります。さらに、パブリック・クラウド・サービスで実行されるワークロードの可視性には限界があるため、セキュリティチームによるセキュリティ確保の難易度は高くなります。一方、プライベートクラウドは、クラウド内のすべてのリソースが単一の顧客専用であるため、より優れた制御性とセキュリティをもたらす可能性があります。プライベートクラウドの顧客は、クラウド内のベアメタルサーバーにアクセスできます。これにより、他の顧客との帯域幅の競合を回避し、他の顧客がセキュリティリスクになることを回避できます。さらに、セキュリティチームはプライベートクラウドの基盤インフラに対する優れた可視性を得られます。

エンタープライズクラウド環境は、さまざまなセキュリティ上の課題と潜在的な脅威に直面しています。

• 誤設定。セキュリティ設定が誤っている場合や未設定の場合、攻撃者が脆弱性を悪用し、データ、アプリケーション、およびシステムへの不正アクセスを容易に行える可能性があります。
• サービス妨害（DoS）攻撃。DoS 攻撃および 分散サービス妨害（DDoS）攻撃 は、マシンやネットワークの速度低下やクラッシュを狙って設計されています。DoS 攻撃は、多くの場合、より破壊的な攻撃の前段階です。
• サイバー攻撃。ランサムウェア、マルウェア、データ漏えいなど、サイバーセキュリティ上の脅威は珍しいものではありません。多くの場合、これらはエンタープライズに何百万ドルもの損害をもたらすほど強力です。
• 保護されていない API。 ソフトウェアプログラムの相互通信を可能にする API が保護されていない状態にある場合、攻撃者にとって簡単なエントリーポイントになります。
• アカウントの乗っ取り。攻撃者は盗まれた認証情報を使用してユーザーアカウントにアクセスし、乗っ取り、ユーザーになりすまして金銭を盗んだり、機微な情報にアクセスしたりできます。
• データ漏えい。悪性のデータ漏えいや不注意によるデータ漏えいにより、データセキュリティが脅かされ、クラウドに保存されている機微な情報や顧客データが流出する可能性があります。
• 人為的なミス。調査によると、ほとんどのクラウドセキュリティ障害は、悪性の Web サイトへのアクセス、ログイン情報の共有、フィッシング詐欺被害、 不適切で不健全なセキュリティなどの人的ミスによるものです。。

• マルチテナントクラウド環境。パブリッククラウド環境の顧客は、物理サーバーを他の顧客やテナントと共有する可能性のあるクラウドリソースを利用しています。これは、別のテナントへの悪性の攻撃によって顧客の資産が侵害される可能性があるという懸念を高めるものです。
• 可視性の欠如。可視性は、複数のクラウドプロバイダーを使用している組織にとって問題となる可能性があります。このような分散型のクラウド管理では、適切に管理または保護されていないエンドポイント、ワークロード、トラフィックなどの盲点が生じる可能性があります。
• シャドー IT。テレワークやハイブリッドワークなど、働き方が多様化し、個人所有のデバイスを使用するようになると、ユーザーが生産性を維持するために必要なデータやリソースにアクセスしようとしたときに、シャドー IT や不正なクラウドリソースを利用するリスクが高まります。
• 動的なワークロード。クラウド内のワークロードには、VM、コンテナ、データベースなど、さまざまなプロセスやリソースが関係します。ワークロードのすべての部分のセキュリティを確保することは、複雑な作業です。
• コンプライアンスへの対応。HIPAA や PCI DSS などの規制フレームワークでは、エンタープライズによる顧客データや患者情報の保存、使用、保護の方法に関する要件が厳格に定められています。データがクラウドに保存されていると、データレジデンシー要件やデータ主権要件を順守することが難しくなる場合があります。

ほとんどのクラウド・サービス・プロバイダーは、共同責任モデルでエンタープライズ・クラウド・セキュリティにアプローチしています。この取り決めでは、クラウドプロバイダーは顧客がクラウドサービスとして利用できる基盤インフラのセキュリティを確保する責任を負い、顧客は自身が管理できるクラウド環境のすべての部分を保護する責任を負います。IT チームと組織がこのモデルにおける責任を明確に把握していない場合、セキュリティ制御とプログラムのギャップが生じ、攻撃者に簡単に悪用される可能性があります。

クラウド内の資産保護に対するエンタープライズの責任のレベルは、クラウドサービスの提供モデルのタイプによって異なります。IaaS（Infrastructure as a Service）ソリューションでは、クラウドプロバイダーはサーバー、ストレージ、ネットワーキングコンポーネントなどのインフラのセキュリティを確保する責任を負い、顧客はアプリケーション、エンドポイント、ワークロード、データのセキュリティを確保する責任を負います。PaaS（Platform as a Service）ソリューションでは、クラウドプロバイダーはすべてのハードウェアとソフトウェアのセキュリティを確保し、顧客はプラットフォーム上で開発されたすべてのアプリケーションのほか、エンドポイント、ワークロード、ユーザー、ネットワークのセキュリティを確保する責任を負います。SaaS（Software as a Service）ソリューションでは、クラウド・サービス・プロバイダーはすべてのインフラとアプリケーションのセキュリティを確保し、顧客はエンドポイント、ワークロード、データ、ユーザー、ネットワークのセキュリティのみを確保する責任を負います。

強力なセキュリティ体制を維持するために、エンタープライズ・クラウド・セキュリティには多層的なセキュリティ戦略が必要です。最も一般的なクラウドベースのセキュリティソリューションは次のとおりです。

• アイデンティティおよびアクセス管理。堅牢なアクセス制御、厳格な権限、多要素認証などのソリューションにより、攻撃者は盗難された認証情報を使用してクラウド環境にアクセスすることが困難になります。
• 継続的な監視。IT チームがクラウドプラットフォームやクラウドサービスを継続的に監視できるセキュリティソリューションは、潜在的な脅威を迅速に特定して修正するのに有効です。
• クラウドネットワークのセキュリティ。クラウド資産をセグメント化するソリューションにより、侵害の影響を軽減できます。また、クラウド・ネットワーク・セキュリティ・テクノロジーにより、トラフィックを監視し、データやデジタル資産を悪用やラテラルムーブメント（横方向の移動）から保護することができます。
• データ保護。転送中および保存中のデータを暗号化することで、クラウドに保存されているデータを保護し、さまざまな法律や規制を簡単に順守できます。
• 脅威インテリジェンス。最新の脅威インテリジェンスにアクセスすることで、組織は新たなサイバー脅威を特定し、阻止することができます。
• Cloud Access Security Broker（CASB）。CASB は顧客とクラウドサービスの間に立ち、セキュリティポリシーの適用とセキュリティレイヤーの追加を支援します。
• ゼロトラスト・ネットワーク・アクセス（ZTNA）。ZTNA ソリューションはあらゆるリクエストに応じてクラウド資産へのリモートアクセスのセキュリティを確保し、ユーザーやリクエスト元のアプリケーションが継続的に認証されるようにします。

クラウドベースのセキュリティソリューションは、インターネット接続を介して、遠隔地にあるデータセンターのサーバーからセキュリティサービスを提供します。クラウドベースのソリューションにより、エンタープライズはオンプレミス機器を導入するコストと労力を回避できます。セキュリティチームは、世界中のどこからでも、単一のダッシュボードからリモートでセキュリティプログラムを管理できます。クラウドベースのセキュリティソリューションは、オンプレミステクノロジーよりもはるかにスケーラビリティに優れており、クラウドベースのソリューションを選択することで将来を見据えたセキュリティシステムを確保できます。