クラウドセキュリティの基本、ベストプラクティス、実装

クラウドセキュリティとは、クラウド環境に保存されているデータ、インフラストラクチャ、システムを保護するための一連の制御、ポリシー、手順、テクノロジーを指します。

クラウドセキュリティでは、データの安全性を維持し、規制遵守の要件を満たし、顧客のプライバシーを保護し、すべてのユーザーとデバイスの認証ルールを確立するために必要なプロセスとツールを利用できます。

クラウドサービスのセキュリティは、従来のITセキュリティと同様の機能を提供しますが、企業はさらにクラウドコンピューティングの多くのメリットも享受できます。レガシー、ハイブリッド、マルチクラウドのいずれの環境を使用している場合も、データを安全に保つことは企業の成功に不可欠です。ここでは、クラウドセキュリティがなぜ必要なのか、また、クラウドセキュリティプログラムを成功させるためのベストプラクティスについて説明します。

クラウドセキュリティが重要な理由

クラウドでのオペレーションには、アプリケーションやデータ、システムを破損、削除、漏洩、窃取から守るためのセキュリティ対策が必要です。クラウドアプリケーションは、インストールが不要で、インターネット接続があればどこからでもアクセスできます。このため、理論的には、クラウドでホストされる情報は、サイバー脅威やハッキングの影響を受けやすくなります。クラウドのストレージを保護しなければ、データやユーザー情報が危険にさらされます。

このリスクを軽減するため、ネイティブクラウド、ハイブリッド、オンプレミスのいずれの環境を実行しているかを問わず、すべてのクラウドコンピューティングでセキュリティ脅威に対する適切な備えが必要です。

クラウドセキュリティを強化することには、以下のメリットがあります。

• 既存のクラウドの脅威を防ぐ。クラウドに保存されたデータは、適切な保護を施さなければ、サイバー犯罪者が容易にアクセスできます。データを保護しない組織は、データ損失に加え、APIの侵害、アカウントの乗っ取り、悪意のある内部関係者の脅威、モバイルセキュリティの脅威、脆弱なアクセス、資格情報、アイデンティティ管理などのリスクにさらされています。
• 進化するリスクに備える。サイバー犯罪者がデプロイする攻撃方法が高度化する中で、脅威は常に変化しています。したがって、セキュリティの防御を常に最新状態に保つことが重要です。
• セキュリティを一元化する。クラウドベースのネットワークは、何千、場合によっては何百万ものユーザーやデバイスが、さまざまな場所から四六時中アクセスしています。これを手作業で管理することはほぼ不可能であり、ビジネスデータを攻撃のリスクにさらすことになります。アクセス管理を合理化し、データの保護を一元化することで、セキュリティを強化し、管理者の作業負荷を軽減できます。
• コストを削減する。クラウドインフラストラクチャのセキュリティによって、高額な専用ハードウェアに投資する必要性を排除できます。クラウドセキュリティは、24時間365日の保護を提供し、人の介入を最小限に抑えることで、資本支出や管理費を削減します。

クラス最高のセキュリティプラットフォームを使用して、ユーザーとそのデータを確実に保護するとともに、管理者、IT、セキュリティチームが無用な管理タスクに費やす時間を減らし、ビジネスに付加価値を与えるタスクに専念できるようになります。

クラウドセキュリティ実装で考慮すべき要素

クラウドネットワークセキュリティのソリューションに投資する前には、いくつかの要素を検討すべきです。

• ソリューションプロバイダーは徹底的に吟味されたか？企業の強さは、採用するセキュリティソリューションに左右されます。クラウドサービスに使用するセキュリティツールには、信頼と実績のあるプロバイダーのものを選んでください。
• ソフトウェアの更新を自動化できるか？データ保護のためのセキュリティ対策が、最新の脅威に対応していなければ意味がありません。ソフトウェアが更新を随時インストールするように設定します。また、自動化することで、従業員がソフトウェアやデバイスの更新を忘れるリスクも排除できます。
• ソリューションがコンプライアンス要件を満たしているか？脅威と同様に、遵守すべき規制も常に変化しています。企業は、クラウドベースの個人/財務/機密データが保存される各管轄区域のコンプライアンス要件を把握し、すべてに対応するソリューションを導入する必要があります。

クラウドセキュリティのベストプラクティス

自社のソリューションとチームを確実に保護するために、実施できるクラウドセキュリティのベストプラクティスをいくつか紹介します。

1. 多要素認証をデプロイする

アダプティブMFAは、クラウドベースの環境でセキュリティを強化しながら、ユーザーエクスペリエンスを向上させるために非常に重要です。

ユーザーアカウントや企業の機密データを保護するには、もはやパスワードだけでは不十分です。盗まれた認証情報と並んで、脆弱なパスワードは、ハッカーがビジネスシステムに不正にアクセスするための簡単で一般的な方法です。推定で、セキュリティ侵害の80%には、パスワードの漏洩が関係しています。

MFAは、従業員、顧客、パートナーがアプリケーション、デバイス、システムにアクセスしようとする際に、ワンタイムパスワードや生体認証などの第2の証明を提供することで本人確認を行うことを要求します。このプロセスにより、ユーザー名とパスワードの組み合わせだけに頼らずにユーザーを認証できます。

2. パスワードレスに移行する

MFAを確立した多くの企業にとって、パスワードから脱却することが次のステップとなります。

Okta VerifyやWebAuthnのようなアプリを使用するパスワードレス認証によって、以下が可能になります。

• セッションのリスクに応じて認証エクスペリエンスを強化する
• デスクトップとモバイルでワンクリックまたはワンタッチの認証を提供する
• パスワード管理に関連するITヘルプデスク/サポートのコストを削減する
• 認証情報の窃取や漏洩によるデータ漏洩のリスクとコストを最小限に抑える

3. ユーザーアクセスを管理する

従業員は、自分の仕事に必要なアプリケーションやリソースにアクセスできればよいのです。また、ユーザーに必要以上のアクセスレベルを提供すると、認証情報の窃取や内部脅威による攻撃を受けるリスクが生じます。

組織は、すべての従業員が必要なアプリケーションやデータのみを表示・アクセスできるようにするために、適切なレベルの認可を設定する必要があります。また、ユーザーのアクセス権を設定することで、従業員が権限のない情報を編集・削除することを防ぎ、ハッカーが従業員の認証情報を盗むことを防止できます。

4. アクティビティを常に監視する

クラウドアプリケーションやシステムの脅威レベルの高さを考えると、ユーザーの不規則な活動を定期的かつ体系的にスキャンすることが重要です。企業は、ユーザーが新しいIPアドレスからログインしたり、新しいデバイスからアプリケーションにアクセスしたりするなど、通常の使用パターンから逸脱した行動を検知するために、リアルタイムの分析と監視を行う必要があります。

不規則な活動は、セキュリティ侵害の可能性を示すものであり、リアルタイムの監視は、ハッカーが被害を与える前に阻止するのに役立ちます。また、ユーザーが新しいデバイスからシステムにアクセスし、無害なアラートがトリガーされた場合は、MFAによって迅速かつ簡単に認証できます。

企業がアプリケーションやシステムをリアルタイムに監視するためのソリューションには、エンドポイントの検知/応答、侵入検知/応答、脆弱性スキャン/修復が含まれます。

5. オンボーディングとオフボーディングを自動化する

新しい社員が入社すると、業務を開始して効果的に仕事をするためにアプリケーションやシステムへのアクセスが必要になります。また、従業員が離職する際にも、すべてのデータやリソースへのアクセスを即座に無効にすることが同様に重要です。

オンボーディングとオフボーディングのプロセスを自動化することで、ミスを防ぎ、ユーザーアクセスのプロビジョニング解除を速やかに実行し、管理者やITチームのアカウント保守の負担を軽減できます。

6. 継続的な社員教育を実施する

クラウドコンピューティングのセキュリティを確保することは重要ですが、従業員が直面するリスクを理解することも不可欠です。パスワードや認証情報の窃取が多発している現在、従業員はハッカーに対する組織の最初の防衛線となっています。

企業は、従業員がセキュリティを常に重視するよう、定期的にトレーニングを行う必要があります。

チームは、フィッシング攻撃の兆候、なりすましWebサイトとは何か、ハッカーが被害者を狙う際の戦術を理解するためのトレーニングを受ける必要があります。

クラウドセキュリティは、オンプレミスのセキュリティと何が違うのか？

従来の静的なデータストレージとは異なり、クラウドは常に変化しています。つまり、企業は、適応性があり、自動化され、進化するセキュリティのアプローチを必要としています。

また、クラウドのアプリケーションセキュリティと従来のITセキュリティの主な違いについても認識しておく必要があります。

• 今や、境界が移りました。従来、企業はネットワーク境界の安全を確保し、その内側はすべて信頼でき、その外側は信頼できないと考えていました。しかし、クラウド環境は高度に接続されており、ユーザーは複数のデバイスや多様な場所からビジネスネットワークに接続できます。つまり、人が新たな境界になったのです。

ユーザーやデバイスが増加する中、このような分散した境界では、アカウントの乗っ取り、内部脅威、安全でないAPI、脆弱なアイデンティティ管理プロセスによって不正アクセスのリスクが高まります。認可と認証の強化、アイデンティティの保護、データの暗号化など、新しいセキュリティの考え方が求められています。

• すべてはソフトウェアであり、ソフトウェアにはセキュリティが必要です。クラウドコンピューティングのインフラストラクチャでは、複数のリソースがホストされ、アプリケーションを通じてユーザーに提供されます。これらのリソースは、動的で、ポータビリティと拡張性に優れ、クラウドベースの管理システムやAPIによって編成されます。クラウドセキュリティの制御は、保存中/転送中のワークロードとデータを常に対象とし、環境を保護してデータの破損や損失を防止します。
• 脅威は高度化しています。クラウドを含む最新のコンピューティングは、ますます高度化するサイバー脅威の影響を受けやすくなっています。マルウェアからAIを駆使したソーシャルエンジニアリングから、APT（Advanced Persistent Threat）まで、これらの脅威は企業のシステムやネットワークの脆弱性を狙って作られています。クラウドセキュリティも、これに対応して常に進化しています。新たな脅威を防ぐために、常に最新のベストプラクティスに従うことが欠かせません。

クラウドサービスの保護にOktaを役立てる

クラウドでのオペレーションには、コストの効率やユーザーエクスペリエンスの向上など、さまざまなメリットがあります。しかし、信頼できるクラウドセキュリティソフトウェアでクラウドソリューションを保護し、クラウドセキュリティのベストプラクティスを遵守し、従業員にリスクを認識させることが不可欠です。

Oktaは、安全なクラウドインフラストラクチャのデプロイを支援しています。Oktaのセキュリティテクニカルホワイトペーパーをダウンロードして、チームでご共有ください。