セキュリティ

クラウドセキュリティの特徴とは

クラウドセキュリティとは、クラウド・コンピューティングに関わるデータ、アプリケーション、およびインフラストラクチャの保護を指します。パブリッククラウドプライベートクラウドハイブリッドクラウドのいずれであれ、クラウド環境におけるセキュリティの多くの側面は、オンプレミスの IT アーキテクチャの場合と共通しています。

不正なデータ公開や漏えい、不適切なアクセス制御、攻撃の受けやすさ、可用性の阻害など、高度なセキュリティ上の懸念は、従来の IT にもクラウドシステムにも同様に影響します。どのコンピューティング環境であっても同じように、クラウドセキュリティには適切な予防策を維持することが関係します。したがって、以下のことが必要です。

  • データとシステムが安全であることを確認できる
  • セキュリティの現状を確認できる
  • 異常が発生した場合に直ちに把握できる
  • 予期しないイベントを追跡して対応できる

クラウドセキュリティの特徴とは

多くの人がクラウド・コンピューティングのメリットを理解している一方で、セキュリティ脅威を理由に、移行に踏み切れずにもいます。確かに、それも理解できます。インターネットと物理サーバーを介して送信される、形のないリソース間のどこかに存在するものを理解するのは簡単ではありません。クラウドは、物事が常に変化している動的な環境です。そして、セキュリティの脅威も同様です。とはいえ、クラウドセキュリティのほとんどは IT セキュリティと同様のものです。そして、それぞれの違いを理解すれば、「クラウド」という言葉に対して抱きがちな不安も解消することでしょう。

あいまいな境界

セキュリティとアクセスは密接な関係にあります。従来の環境では大抵、境界セキュリティモデルを使用してアクセスを制御します。クラウド環境は高度に接続されているため、トラフィックが従来の境界防御をバイパスしやすくなります。安全でないアプリケーション・プログラミング・インタフェース (API)、脆弱な ID と資格情報の管理、アカウントの乗っ取り、悪意のある内部関係者は、システムとデータにとって脅威となり得ます。クラウド内の不正アクセスを防止するには、データ中心のアプローチに移行する必要があります。データの暗号化、認可プロセスの強化、強力なパスワードと 2 要素認証の要求、すべてのレベルにおけるセキュリティの構築などが必要です。

すべてがソフトウェアへ

「クラウド」とは、ソフトウェアを介してユーザーに提供されるホストされたリソースを指します。クラウド・コンピューティング・インフラストラクチャと、そこで処理されるすべてのデータは、動的で、スケーラブルで、ポータブルです。クラウド・セキュリティ・コントロールは、環境設定に対応でき、ワークロードや保管中と移動中のデータに適応する必要があります。ワークロードの本質的な部分として (暗号化など)、あるいはクラウド管理システムと API を介して動的に行います。これは、システムの破壊やデータの損失からクラウド環境を保護するのに役立ちます。

より複雑化した脅威

複雑化した脅威とは、クラウドを含む先進的なコンピューティングに悪影響を与えるものすべてを指します。ますます複雑化したマルウェアや、知能型の持続的な脅威 (Advanced Persistent Threat、APT) などの攻撃は、コンピューティング・スタックの脆弱性を標的にすることでネットワーク防御を回避するように設計されています。データ漏えいは、不正な情報漏えいやデータの改ざんを招く可能性があります。これらの脅威には確かな解決策がないとはいえ、新たな脅威に対応すべく進化している、クラウドセキュリティの最新プラクティスを実践し続けることが必要です。


クラウドセキュリティは人任せにしない

使用しているクラウドの種類に関係なく、そのクラウドにおける自分のスペースは自分で保護する必要があります。第三者が保守するクラウドを使用している場合でも、人任せにはできず、そうすべきでもありません。セキュリティ障害の最大の要因となっているのは、適切な注意を十分に払っていないことなのです。クラウドセキュリティは、全員の責任です。それには以下が含まれます。

クラウドの中に何があるかは重要です。外部ソースからコードをダウンロードする場合と同様に、パッケージのソース、作成者、また悪質なコードが含まれていないかを確認する必要があります。既知の信頼できるソースからソフトウェアを入手し、適宜アップデートを提供してインストールするための仕組みがあることを確認しましょう。

個人データ、財務データ、その他の機密データは、厳格なコンプライアンス規制の対象となる場合があります。関係する法律は、ビジネスを行う場所 (および相手) によって異なります。たとえば、欧州連合の一般データ保護規制 (GDPR) を参照してください。クラウド・デプロイメントを選択する前に、コンプライアンス要件を確認しましょう。

クラウドネイティブ環境では、新しいインスタンスを簡単に作成できます。そして、古いインスタンスは簡単に忘れられてしまいます。放置されたインスタンスは、「クラウドゾンビ」、つまりアクティブであるものの監視されないインスタンスになってしまう可能性があります。放置されたインスタンスはすぐに古くなり、新しいセキュリティパッチが適用されていない状態になります。そのため、ライフサイクル管理とガバナンスポリシーが役立ちます。

ワークロードを別のクラウドに簡単に移動できますか?サービス・レベル・アグリーメント (SLA) では、クラウドプロバイダーが顧客のデータやアプリケーションをいつ、どのように返すかを明確に定義する必要があります。当面、移動する予定がないとしても、今後その必要が生じるかもしれません。今から移植性について考えておくことで、将来のロックインを防ぐことができます。

自分のワークスペースで何が起こっているのかを監視することは、セキュリティ侵害の影響を避けるために (少なくとも、その影響を抑制するために) 重要です。Red Hat CloudForms などの統合されたクラウド管理プラットフォームは、あらゆる環境のすべてのリソースを監視するのに役立ちます。

クラウドセキュリティの複雑さを理解している、適切な信頼できる人材を雇い、パートナーにしましょう。パブリッククラウドのインフラストラクチャは、企業のプライベートクラウドよりも安全性が高い場合もあります。なぜなら、パブリッククラウド・プロバイダーには、より情報に通じた、必要な経験やツールを有するセキュリティチームがいるからです。


パブリッククラウドは安全か

では、パブリッククラウドの安全性について説明しましょう。パブリック、プライベート、ハイブリッドの 3 つのクラウド・デプロイメントのセキュリティの違いについて説明してきました。とはいえ、一番の関心は「パブリッククラウドは安全なのか」という点でしょう。これは場合によります。

パブリッククラウドは、多くのタイプのワークロードに適したセキュリティを提供しますが、すべてのワークロードに適しているわけではありません。それは主に、プライベートクラウドで実現されるような分離がサポートされないためです。パブリッククラウドはマルチテナンシーをサポートしています。つまり、クラウドプロバイダーのコンピューティング能力 (またはストレージスペース) を他の「テナント」とともに借りていることになります。各テナントは、クラウドプロバイダーの SLA に署名します。SLA では、誰が何に責任を負うのかがクラウドプロバイダーにより文書化されています。それは、家主から物理的なスペースを借りることによく似ています。家主 (クラウドプロバイダー) は、建物 (クラウド・インフラストラクチャ) の維持、鍵の保持 (アクセス)、そして通常はテナントのやり方に関わらないこと (プライバシー) を約束します。一方、テナントは、建物の状態を損なったり、他のテナントに迷惑をかけたり (安全でないアプリケーションの実行など) しないことを約束します。しかし、隣人を選ぶことはできません。隣人が有害な事態を招いてしまう人物である場合もあり得ます。クラウドプロバイダーのインフラストラクチャ・セキュリティ・チームは異常なイベントを監視していますが、悪意のある分散型サービス妨害 (DDoS) 攻撃のような、ステルス型あるいは攻撃的な脅威は、他のテナントに悪影響を及ぼす場合があります。

幸い、Cloud Security Alliance の Cloud Controls Matrix など、業界で認められているセキュリティ基準、規制、および制御フレームワークがあります。また、追加のセキュリティ対策 (暗号化や DDoS 軽減技法など) を導入してマルチテナント環境で自分自身を分離し、侵害されたインフラストラクチャからワークロードを保護することもできます。これで十分でない場合は、クラウドアクセス・セキュリティ・ブローカーをリリースして活動を監視し、リスクの低いエンタープライズ機能に対してセキュリティポリシーを施行することができます。しかし、厳格なプライバシー、セキュリティ、およびコンプライアンスの規制の下で運営される業界では、このすべての対策でも十分でないかもしれません。

ハイブリッドクラウドによるリスク軽減

セキュリティに関する決定は、リスク許容度とコストメリット分析と深い関係があります。潜在的なリスクとメリットは、組織の全体的な正常性にどのように影響するでしょうか?最も重要なことは何でしょうか?すべてのワークロードが、最高レベルの暗号化とセキュリティを必要とするわけではありません。こう考えてみてください。家に鍵をかければすべての所有物が比較的安全に保たれますが、それでも貴重品は金庫に保管したいと思うことでしょう。選択肢が複数あるのは良いことです。

だからこそ、多くの企業がハイブリッドクラウドに目を向けるようになっています。ハイブリッドクラウドは、すべてのクラウドのメリットを併せ持っているためです。ハイブリッドクラウドでは、コンプライアンス、監査、ポリシー、またはセキュリティ要件に基づいてワークロードとデータの配置場所を選択できるため、特に機密性の高いワークロードをプライベートクラウドで保護し、機密性の低いワークロードをパブリッククラウドで運用することができます。ハイブリッドクラウドに特有のセキュリティ上の課題 (データの移行、複雑化、攻撃対象領域の大きさなど) もありますが、複数の環境が存在することは、セキュリティリスクに対する最大の防御の 1 つとなり得ます。

Red Hat によるクラウドセキュリティのサポート

パブリッククラウドとプライベートクラウドのデプロイメントをシームレスに管理する、包括的なプライベートクラウド型の IaaS ソリューションです。

プライベートクラウド、パブリッククラウド、ハイブリッドクラウド、仮想化プラットフォームの一元管理機能を提供します。

信頼性の高い ID を確立して維持し、通信のプライバシーを保つためのスケーラブルでセキュアなフレームワークを提供するエンタープライズ・ソフトウェア・システムです。

オペレーティング・システムから独立した、ネットワークベースのレジストリで、管理者はユーザー ID やアプリケーション情報を一元的に格納できます。

セキュリティ対策についてさらに詳しく知る