クラウドセキュリティとは？課題と対策

クラウドコンピューティングは、クラウドへの移行とモバイルワーカーを広義に捉えた言葉で、新しいセキュリティとコンプライアンス上のリスクを生み出しました。クラウドアカウントの乗っ取り、過剰に共有されているデータ、認証されていないクラウドアプリケーションの使用などは、セキュリティ部門に大きな課題を突きつけています。クラウドセキュリティにとっては、IT部門が許可したアプリケーションの可視化と制御が重要です。企業の多くは、Microsoft Office 365・Google G suite・Box・Dropbox・セールスフォース・Slack・AWS・ServiceNowなどを安全に利用したいと考えています。

クラウドセキュリティとは、クラウドコンピューティングプラットフォーム上の人々、データ、インフラストラクチャをサイバー攻撃やコンプライアンスリスクから保護するために使用される技術、アプリケーション、コントロール、およびポリシーのセットを指します。クラウドセキュリティは、外部および内部のセキュリティ脅威に対処するために設計された一連のセキュリティ対策に依存し、クラウドコンピューティングおよびデータストレージのセキュリティ、コンプライアンス、その他の使用リスクを管理します。

クラウドセキュリティは、データや資産を保護することで、クラウドベースのソリューションに依存する組織に重要なセーフティネットを提供できます。結果、情報の信頼性と可用性が向上し、データ保護に関連する初期費用と継続的なコストが削減され、スケーラビリティが容易になり、複雑な攻撃から人やシステムをより効果的に保護することができます。

クラウドセキュリティの要素の一つに、CASB（Cloud Access Security BrokerもしくはCloud App Security Brokerの略）があります。CASBは、オンプレミスかクラウドに導入でき、クラウドサービスとクラウドサービス利用者との中間に導入されます。クラウドでのアクティビティを監視し、攻撃をブロックしてセキュリティポリシーを強化します^[1]。

クラウドセキュリティは、技術的および手続き的な対策の組み合わせを利用して、クラウドベースのインフラストラクチャ、アプリケーション、およびデータを持続的なサイバー脅威から保護します。クラウドセキュリティの基本は、ユーザーとデバイスの認証、データとリソースへのアクセス制御、およびデータプライバシーの保護を確保することです。

クラウドセキュリティは、以下を実践することにより、クラウドベースの脅威から社内の利用者を保護します。

• 利用者がアクセスできるクラウドコンピューティングプラットフォームあるいはサービスを明らかにする
• 攻撃を検知するためにクラウドコンピューティングのアクティビティと意図せず企業を危険にさらしているユーザー行動を監視する
• サイバー攻撃者や利用権限のない人物が機密データやリソースにアクセスすることを防ぐ
• クラウドベースのユーザーアカウントが乗っ取られることを阻止する
• セキュリティとコンプライアンス ポリシーを強化する

従来のサイバーセキュリティソリューションが周囲およびネットワークのセキュリティに焦点を当てるのとは異なり、クラウドセキュリティは、認証プロセス、データ暗号化、多要素認証などを活用して不正アクセスを防止するデータ中心のアプローチを採用しています。

CIAトライアドとして知られる情報セキュリティモデルの一部として、クラウドセキュリティはデータの機密性、完全性、可用性を維持し、パブリック、プライベート、ハイブリッドクラウドサービスの3つの主要なクラウド環境で運用されます。適切な環境は、クラウドセキュリティを利用する個人または組織の種類、ビジネスの性質、およびデータのニーズに依存します。

企業は、同僚や提携企業とファイルなどのデータを共有するために、クラウドコンピューティングと、クラウドベースのコラボレーションツールやメッセージツールを利用しています。同時に、クラウド上での共有は、規制の対象データ、企業秘密や技術設計などの知的財産や、そのほかの極秘企業データを危険にさらす可能性があります。

クラウドコンピューティングインフラは、サイバー脅威からの保護が必要です。クラウドセキュリティは、このタスクに専念するサイバーセキュリティの一分野です。クラウドセキュリティはデータ保護のためだけでなく、業界や組織がコンプライアンス要件を満たし、評判低下を防ぎ、破壊的なイベントが発生した場合の事業継続を確立し、高度にクラウドベースの環境で競争優位性を提供するのにも役立ちます。

クラウドセキュリティは、組織が特定の脆弱性や脅威に対処するのに不可欠です。社員の過失やトレーニング不足は、誰でもアクセスできる公開リンクを介してファイルを過剰に共有するなどのクラウドセキュリティ脅威を引き起こす可能性があります。インサイダーによるデータ窃盗も一般的です。例えば、会社を退職する営業担当者がクラウドCRMサービスからデータを盗むことが考えられます。

シャドーITとは、IT部門から正式に許可を得ていないクラウドアプリやクラウドサービスを利用することをいいます。一般的に、承認されていないSaaSアプリケーションをファイル共有、SNS、コラボレーション、Web会議などに用います。社内未承認のアプリに企業データをアップロードすると、データプライバシーや居住地の規則に違反する可能性もあります。

別の課題として、OAuthの許可があるサードパーティのアプリやプログラムもあります。OAuthに接続済みのサードパーティアプリは、Microsoft 365やGoogle WorkspaceのようなIT承認されたクラウドコンピューティングサービスにアクセスします。数百にも及ぶアプリを社内のクラウド環境で見つけることはよくあることです。広範囲にデータの利用許可を与えてしまう設計の甘さのために、このようなクラウドアプリはリスクがあります。また、簡単に悪用できるデータもあります。さらに、OAuthの危険性は、1度デバイスで認証してしまうと、無効に設定し直さない限り、企業データにアクセスすることができ、継続的にアプリケーションを使用できます。

組織やサイバーセキュリティチームは、クラウドサービスプロバイダーの責任がどこで終わり、自社の責任がどこから始まるのかを明確にする際にも課題に直面します。これらのギャップは脆弱性につながる可能性があります。

今日、組織はデータを保護するために複数の種類のクラウドセキュリティソリューションを活用しています。これらのソリューションは、総合的かつ効果的なクラウドセキュリティ対策を確立するために一緒に使用することができます。

IAM（Identity and Access Management）

IAMはユーザーのアイデンティティとクラウドリソースへのアクセスを管理します。適切な認証、認可、およびユーザー管理を確保し、権限のないアクセスを防止すると同時に、特定のクラウドリソースにアクセスできる人と、その人が実行できるアクションに対する細かい制御を提供します。

ネットワークとデバイスのセキュリティ

ネットワークとデバイスのセキュリティは、クラウドインフラストラクチャとデバイスをネットワークレベルの攻撃を防御し、適切な構成を確保します。このクラウドセキュリティソリューションには、ファイアウォール、IdP（IDプロバイダー）、VPNが含まれ、DDoS攻撃、マルウェア、およびその他の外部脅威から保護します。エンドポイント保護およびモバイルデバイス管理も、クラウドリソースにアクセスするために使用されるデバイスのセキュリティを確保するのに役立ちます。

セキュリティ監視とアラート

継続的な監視、検出、およびアラートは、IdPやSIEMシステムなどのツールを使用してクラウドリソースのリアルタイム監視を提供し、組織がセキュリティ脅威に迅速に対応できるよう支援します。セキュリティ監視ソリューションは、さまざまなソースからデータを収集および分析し、潜在的なセキュリティインシデントを特定してアラートを生成します。

CASB（Cloud Access Security Broker）

CASBは、組織のオンプレミスインフラストラクチャとクラウドの間のゲートキーパーとして機能するクラウドセキュリティシステムの一種です。CASBは、すべてのクラウドアプリケーションとサービス全体でセキュリティポリシーを効果的に監視および施行することができ、組織がクラウドの使用状況を把握し、規制要件の遵守を強制することを可能にします。

データセキュリティ

データセキュリティは、暗号化、データマスキング、アクセス制御を使用してデータを不正アクセス、改ざん、損失から保護します。これには、保存中、転送中、使用中のデータの保護が含まれます。データ漏洩対策（DLP）ソリューション、アクセス制御ソリューション、および暗号化ソリューションを使用して、クラウド内の機密データを保護できます。

ディザスタリカバリと事業継続プラン

この重要なソリューションは、災害時にクラウドサービスを復元し、ダウンタイムを最小限に抑えるための戦略を計画することを含みます。ディザスタリカバリには、重要なデータとアプリケーションを特定し、目標復旧時間（RTO）および目標復旧時点（RPO）を確立して、データとアプリケーションが許容時間内に復元できるようにすることが含まれます。

法的コンプライアンス

法的コンプライアンスは、データプライバシーと保護を含む法的および規制要件にクラウドサービスが準拠することを保証します。HIPAA、GDPR、およびCCPAなどの規制に準拠することは、機密データを取り扱う組織にとって重要です。法的コンプライアンスには、データプライバシーを保護するための適切なコントロールの実装と、クラウドサービスが規制要件を満たしていることの確認が含まれます。

ガバナンス

ガバナンスは、クラウドサービスの使用を管理し、適切なリスク管理とコンプライアンス報告を確保するためのポリシーと手順を確立します。クラウドサービスが業界の規制および基準に準拠することを保証します。ガバナンスには、クラウドサービスに関連するリスクを特定および管理し、それらを軽減するための適切なコントロールを確立することが含まれます。また、データ分類、アクセス制御、およびインシデント対応のためのポリシーと手順を確立することも含まれます。

• 可視性: これは、組織のクラウドサービスの全体像を統合したビューであり、デバイスや場所に関係なくクラウドサービスにアクセスするユーザーに関する詳細を含みます。
• データセキュリティ: 一部のCASBは、望ましくない活動を防ぐためのデータセキュリティポリシーを強制する機能を提供します。これらのポリシーは、監査、アラート、ブロック、隔離、削除、表示のみなどのデータ漏洩対策（DLP）コントロールを通じて適用されます。

• 脅威防止: CASBは、不要なデバイス、ユーザー、および特定のバージョンのアプリがクラウドサービスにアクセスするのを防ぐための適応型アクセス制御を提供します。クラウドアプリのアクセスは、ログイン中およびログイン後に観察される信号に基づいて変更できます。
• コンプライアンス: CASBは、クラウドサービスの使用を管理していることを組織が証明するのをサポートします。CASBは、データの所在やコンプライアンス要件^[2]への準拠の努力を支援します。

サイバー犯罪者は、クラウドセキュリティの脆弱性や弱点を悪用して、貴重なデータや資産にアクセスしようとします。一度攻撃者がクラウドアカウントの認証情報を手に入れると、正規のユーザーになりすまして人々を騙し、資金を送金させたり、企業データを解放させたりします。また、メールアカウントを乗っ取ってスパムやフィッシングメールを配信することもあります。

1,000以上のクラウドサービステナントと2,000万以上のユーザーアカウントを対象とした調査では、2019年上半期だけで1,500万回以上の不正ログイン試行がありました。そのうち40万回以上が成功しました。調査対象のテナントの約85％がサイバー攻撃の標的となり、45％が少なくとも1つのアカウントが侵害されていました。^[3]

サイバー犯罪者は、Microsoft Office 365やGoogle G Suiteなどの人気のあるSaaSアプリケーションをターゲットにする傾向があります。これらのアプリケーションは、企業のコミュニケーションや重要なデータへのアクセスキーを保持しており、ほぼすべての従業員が使用しています。攻撃者は、クラウドアカウントの認証情報を侵害し、脆弱なユーザーを悪用するために、さまざまな手法と複数の脆弱性を利用します。これには以下が含まれます。

• 総当たり攻撃: 総当たり攻撃（ブルートフォースアタック）は、攻撃者が多くのユーザー名とパスワードの組み合わせを試行して有効な組み合わせを見つける試行錯誤の手法です。自動化ツールを使用して大量の認証情報ダンプから複数のユーザー名とパスワードの組み合わせを露出させることが総当たり攻撃をインテリジェントにしています。
• 高度なフィッシングキャンペーン: 認証情報フィッシングとも呼ばれるこれらのターゲットを絞った巧妙なキャンペーンは、さまざまな形で人々を騙して認証情報を明かさせます。攻撃者は通常、ソーシャルエンジニアリング手法を用いたメールでフィッシングを実行します。
• パスワードの使いまわし: この一般的なクラウドセキュリティの脅威は、複数のアカウントで同じパスワードを使用することによって特徴付けられます。攻撃者が無関係なデータ漏洩からアカウントの認証情報を手に入れると、パスワードの使いまわしを利用して他の機密アカウントやデータに侵入することができます。
• データ損失と知的財産の窃盗: 通常の業務日には、クラウドベースのコラボレーションやメッセージングツールを介して同僚、パートナー、およびその他の人々と情報を共有します。しかし、従業員のクラウドセキュリティに関するトレーニングの欠如や従業員の悪意により、機密データが見てはいけない人に共有される可能性があります。
• 悪意のあるファイル共有: フィッシングリンク、認証情報の盗難ツール、ダウンローダーがこれらの攻撃に通常使用されます。脅威アクターは、Dropboxなどのクラウドサービスを通じてマルウェアを配布することもあります。
• データ漏洩: クラウドセキュリティに関連する最も重大なリスクの1つは、データ漏洩の可能性です。ハッカーはクラウドベースのシステムにアクセスして、金融データ、個人情報、知的財産などの機密情報を盗むことができます。
• シャドーIT: 企業内の人々や部門が、ITセキュリティマネージャーの承認や認識なしに新しいクラウドアプリやサービスを導入することがよくあります。これらのサービスは、データ損失、データの過剰共有、コンプライアンスの問題などを引き起こす可能性があります。
• 内部脅威: クラウドベースのシステムにアクセスできる従業員や契約者が、意図的または意図せずにデータ漏洩を引き起こしたり、データを盗んだり、機密情報を漏らしたりすることがあります。
• 分散型サービス拒否（DDoS）攻撃: クラウドベースのシステムは、システムを過負荷にして正当なユーザーがクラウドリソースにアクセスできなくするDDoS攻撃の標的になることがあります。
• 安全でないAPI: クラウドベースのサービスにアクセスするために使用されるアプリケーションプログラミングインターフェース（API）は、注入攻撃や中間者攻撃などの攻撃に対して脆弱である可能性があります。
• 共有インフラストラクチャの脆弱性: クラウドベースのシステムは共有インフラストラクチャを使用することが多く、1つの顧客のシステムに脆弱性があると、同じインフラストラクチャ上のすべての顧客のデータが露出する可能性があります。
• コンプライアンスリスク: クラウドベースのシステムは、HIPAA、PCI-DSS、GDPRなどのさまざまな規制や標準に準拠する必要があります。これらの規制に準拠しないと、法的および財政的な罰則が科される可能性があります。

企業は、変化し続けるサイバーセキュリティ規制に直面して、クラウドコンプライアンスリスクの増大に直面しています。政府や業界の規制により、クラウド内のデータの所在と共有方法を把握することが求められています。欧州連合一般データ保護規則（GDPR）は、数百万の組織に影響を与えています。そのため、新しい規則に準拠する計画を立てることがすべての組織にとって重要です。

今日の攻撃は技術ではなく人をターゲットにしています。これはクラウドでもオンプレミスでも同様です。企業がメッセージングおよびコラボレーションプラットフォームを企業ネットワークからクラウドに移行するにつれて、攻撃に対して脆弱になります。

幸いにも、クラウドセキュリティを強化するために、組織やサイバーセキュリティチームが利用できる多くのセキュリティ戦略があります。クラウドベースのリソースへのアクセスを制限することから、データの暗号化やバックアップまで、クラウドセキュリティのためのいくつかの戦略を以下に示します。

クラウドベースのセキュリティ脅威から保護する

繰り返しになりますが、サイバー犯罪者は技術ではなく人々をターゲットにする傾向があり、Microsoft Office 365やGoogle G Suiteなどの人気のあるクラウド提供のSaaSアプリケーションを利用します。広範なクラウドセキュリティソリューションを備えたCASBは、今日の人中心の脅威に対する最良の防御を提供します。

強力な認証メカニズムを使用する

多要素認証（MFA）は、クラウドリソースにアクセスするために複数の形式の認証をユーザーに要求する重要で実装が容易なセキュリティ制御です。これには、パスワード、PIN、生体情報、トークンやスマートカードなどのユーザーが持っているものが含まれます。MFAは、ユーザーのパスワードが漏洩した場合でも、クラウドリソースへの不正アクセスのリスクを大幅に軽減します。

クラウドリソースへのアクセスを制限する

もう1つの重要な戦略は、アクセス制御にあります。特に、クラウドリソースへのアクセスを必要とするユーザーに限定することが重要です。これには、組織内での役割に基づいてユーザーに権限を付与する役割ベースのアクセス制御の実装や、特定のクラウドリソースへのアクセスを制限するネットワークセグメンテーションの使用が含まれます。

データをバックアップする

データバックアップは、データ漏洩やセキュリティ侵害が発生した場合のデータ復旧のためのクラウドセキュリティのベストプラクティスです。バックアップは定期的に実行し、主データストレージとは別の安全な場所に保管する必要があります。データ損失からの復旧を助けるだけでなく、規制要件の遵守や事業継続性の確保にも役立ちます。

システムを最新の状態に保つ

ソフトウェアとシステムを最新の状態に保つことは、既知の脆弱性のリスクを軽減するための重要なセキュリティ対策です。これには、セキュリティパッチや更新が利用可能になったらすぐに適用すること、および定期的にウイルス対策ソフトウェアやその他のセキュリティソフトウェアを更新することが含まれます。

社員を教育する

セキュリティ意識向上トレーニングは、どのセキュリティプログラムにも欠かせない要素です。社員にクラウドセキュリティのベストプラクティスを教育することで、セキュリティの重要性と組織のデータおよびシステムを保護する上での役割を理解させることができます。これには、パスワード管理、フィッシングの認識、ソーシャルエンジニアリングの検出に関するトレーニングが含まれます。

クラウドリソースを定期的に監視する

監視は、セキュリティインシデントを迅速に検出し対応するための重要なセキュリティ対策です。ネットワークトラフィック、システムログ、ユーザーの活動を監視して、不審な行動や潜在的なセキュリティ脅威を特定することが含まれます。

コンプライアンスを維持する

従業員、契約者、パートナーがクラウド内でデータを共有するにつれて、違反のリスクが増加します。こうした違反を検出し防止するためには、リスク認識型のクラウドセキュリティが必要です。さらに、政府規制や業界の要件に準拠することが不可欠です。これには、社会保障番号や生年月日などの個人を特定できる情報（PII）、クレジットカード情報（PCI）、保護対象保健情報（PHI）が含まれます。

環境内のクラウドアプリを管理する

クラウド提供のアプリの増加を考えると、これらのアプリの使用を管理することが重要です。平均的な企業には約1,000のクラウドアプリがあり、その中には深刻なクラウドセキュリティのギャップがあるものもあります。これらはGDPRなどのデータ所在規制に違反する可能性があります。さらに、攻撃者はサードパーティのアドオンやソーシャルエンジニアリングを利用して、人々に承認済みのSaaSアプリへの広範なアクセスを許可させることがよくあります。

クラウドアプリのガバナンス機能は、クラウドセキュリティの脅威に対する重要な可視性を提供します。また、エンドユーザーにアラートを発し、指導し、クラウドアクセスの自動応答（許可、読み取り専用、ブロックなど）を設定するための重要なコントロールも提供します。

これらのヒントに加えて、強力な検出、修復、リスクベースの認証機能を備えた広範なクラウドセキュリティソリューションを提供するCASBは、ブルートフォースアタック、フィッシング攻撃、悪意のあるファイル共有など、今日の人中心の脅威に対する最良の防御を提供します。

これらの要素は、機密性、完全性、および可用性（CIA）を維持することと共に、サイバー攻撃を防止し、必要なときに必要な場所で的確な対策を講じるための強固なクラウドセキュリティアーキテクチャを確立するための基本となります。

Proofpointは、メールやクラウドアプリを通じて人々を狙う高度な脅威から保護するためのさまざまなクラウドセキュリティソリューションを提供しています。Proofpointが提供するツールおよびプラットフォームには以下が含まれます。

• 脅威防御: 悪意のあるファイルや安全でないURLを使用する既知および新しい脅威を検出、分析、およびブロックするように設計されています。
• ウェブセキュリティ: ウェブベースの脅威に対する可視性を提供し、リスクの高いウェブサイトやクラウドサービスへのアクセスを制御し、ユーザーがオンライン中のデータを保護します。
• データ防御: 複数の製品を組み合わせてデータを防御し、内部リスクを調査し、クラウド脅威をブロックします。

Proofpointのクラウドセキュリティソリューションは、機密データおよびリソースへの不正アクセスを防止し、ユーザーのクラウドベースのアカウントの乗っ取りを保護することを目的としています。詳細については、Proofpointにお問い合わせください。

[1] Gartner Inc. “Magic Quadrant for Cloud Access Security Brokers”
[2] Ibid.
[3] Proofpoint. “Cloud Attacks Prove Effective Across Industries in the First Half of 2019” (「2019年上半期の分析：クラウド攻撃がさまざまな業界に対して効果的であったことが判明」)