クラウドインフラストラクチャのセキュリティとは何ですか?

クラウドインフラストラクチャセキュリティとは、基盤となるクラウドインフラストラクチャのセキュリティ体制を強化するために設計されたテクノロジー、コントロール、およびポリシーを指します。強力なクラウドインフラストラクチャセキュリティは、予期しないセキュリティイベントにつながる可能性のある DDoS イベント、データ損失、設定ミスなどの脅威からの保護に役立ちます。クラウドインフラストラクチャセキュリティは、クラウドセキュリティの中核コンポーネントです。

責任分担モデルは、クラウドプロバイダーとお客様との間の特定のサイバーセキュリティ対策の責任者を決定するシステムです。責任は、クラウドプロバイダーであるお客様にある場合もあれば、両方の当事者間で責任を分担する場合もあります。

責任分担モデルにおける各当事者の主な責任は次のとおりです。

クラウドプロバイダーの責任

クラウドプロバイダーは、クラウドサービスを実行する物理インフラストラクチャを保護する責任があります。ハードウェア、ソフトウェア、ネットワーク、およびサービスに接続されているすべての設備は、クラウドプロバイダーの責任です。

サービス利用者の責任

責任分担モデルにおける責任は、選択したクラウドサービスによって決まります。これらのサービスを総合すると、セキュリティ責任の一環として実行する必要がある設定作業の量が決まります。暗号化オプションを含むデータの管理、資産の分類、Identity and Access Management (IAM) ツールの使用による適切な権限の適用などのタスクはお客様の責任となります。

責任の分担

一部の統制は、プロバイダーのインフラストラクチャレイヤーとお客様レイヤーの両方に適用されます。ただし、コンテキストや観点は異なります。責任が分担される場合、クラウドプロバイダーはインフラストラクチャの要件を適用し、顧客はクラウドサービスの使用範囲内で統制を実装します。その例としては、構成管理、意識向上、トレーニングなどがあります。

クラウドインフラストラクチャはすべてのクラウドサービスを支えているため、そのセキュリティはクラウド内のすべてのワークロードにとって不可欠です。

クラウドインフラストラクチャのセキュリティが企業にとって重要である理由はいくつかあります。

クラウド環境での不正アクセス防止を支援

脅威アクターは、膨大な量のデータが含まれているため、クラウド環境を標的にします。クラウドインフラストラクチャの設定ミス、制御の弱さ、または基盤となる脆弱性により、権限のない第三者グループに侵入する可能性があります。クラウドインフラストラクチャのセキュリティ対策では、これらの侵入点を特定して制御し、会社のデータを安全に保ち、データの機密性を促進する必要があります。

事業継続の中断を軽減

分散型サービス拒否 (DDoS) イベントなどの特定のサイバー脅威は、組織が期待どおりに機能する能力を低下させることを目的としています。ネットワークセグメンテーションなどのクラウドインフラストラクチャのセキュリティ対策は、内部および外部の脅威から積極的に防御し、事業運営を高いアップタイムを維持するのに役立ちます。

信頼を維持

組織がサイバーセキュリティイベント、特にクラウドに保存されている顧客データに関連するイベントに巻き込まれると、評判が損なわれる可能性があります。クラウドインフラストラクチャのセキュリティは、クラウドで実行される仮想サービスをより適切に保護し、企業の機密データを確実にプライベートに保つのに役立ちます。

クラウドインフラストラクチャのセキュリティソリューションは通常、それ自体がクラウドネイティブです。

クラウドインフラストラクチャセキュリティの主要コンポーネントは次のとおりです。

ID およびアクセス管理

組織は機密データや情報をクラウドでホストし、権限のあるユーザーがこれらのクラウドリソースにアクセスできるように支援します。Identity and Access Management (IAM) は、どのユーザーロールがデータを操作または検索できるかを定義します。権限システムに加えて、IAM は多要素認証でクラウドアカウントの所有権を確認できるため、権限のないユーザーを防ぐことができます。

ログ記録とテレメトリ

ログ記録およびテレメトリサービスは、クラウドシステム内の特定のアクションとイベントを文書化することを目的としています。アクセスイベント、情報の移動、サイバーセキュリティアクションを注意深く記録することで、組織はクラウドインフラストラクチャの可視性をさらに高めることができます。重要なシステムから送信される運用テレメトリは、監査でよく使用される情報の証跡を作成できます。

分析

分析ソリューションでは、運用上のテレメトリと既存のログデータを使用して、さらなる調査が必要な不一致、異常、または予期しないイベントを特定できます。セキュリティ情報とイベント管理 (SIEM) などの分析システムは、データポイントを集約して潜在的なセキュリティイベントを警告および追跡し、クラウドインフラストラクチャのセキュリティ監視システムが期待どおりに機能していることを確認するのに役立ちます。

ネットワークとデバイスのセキュリティ

従業員は、さまざまな場所やデバイスから、クラウド環境とその中に保存されているクラウドリソースにアクセスします。この広大な敷地を潜在的な脅威から守るには、さまざまなソリューションを導入できます。これらのソリューションには、インバウンドトラフィックとアウトバウンドトラフィックを制御し、悪意のあるトラフィックを除外するネットワークとデバイスのセキュリティと、ネットワークを確実に区分化するのに役立つワークロードの分離が含まれます。

データの暗号化

データセキュリティは、転送中と保管中の両方のすべてのデータが不正アクセスから保護されていることを確認する一般的なプロセスです。クラウドインフラストラクチャのセキュリティでは、データ分類ポリシーを使用して機密性に基づいてデータにタグを付け、さまざまなセキュリティプラクティスを適用してデータを保護できます。保存時と転送中のデータの両方を暗号化して、権限のある当事者のみが機密データにアクセスできるようにすることができます。データセキュリティには、情報セキュリティを強化するためのデータ損失防止戦略の開発と実施も含まれます。

ここでは、クラウドセキュリティ戦略を強化し、基盤となるクラウドコンピューティングインフラストラクチャを保護するためのベストプラクティスをいくつか紹介します。

ネットワークレイヤーを作成

ネットワークレイヤーを作成するには、ワークロードコンポーネントを、その機能と機密性に基づいて、インターネットに接続するウェブサーバーやバックエンドデータベースなどの論理グループに整理する必要があります。これらのコンポーネントを別々のサブネットに配置することで、明確な境界を確立し、それらの間のトラフィックの流れを制御する機会を創出できます。

この階層化されたアプローチは、各レイヤーがセキュリティチェックポイントとして機能する多層防御戦略をサポートします。たとえば、最外層のリソースのみをインターネットに公開する必要がありますが、データベースなどの機密性の高いシステムは分離されたままで、内部ネットワークを介してのみアクセスできます。

仮想プライベートクラウドとプライベートクラウドインフラストラクチャは、クラウド内に論理的に分離されたネットワークとインフラストラクチャを構築するのに役立ちます。クラウドネットワークと使用方法を定義する一貫したセキュリティポリシーを作成することは、安全なクラウド環境を促進するのに役立ちます。

トラフィックフローを制御

トラフィックフローを制御するには、ワークロード、ユーザー、外部システム間で必要な通信のみを許可するように環境をセグメント化する必要があります。このトラフィック制御には、ネットワークとインターネット間のトラフィック (南北トラフィック) とネットワークとインターネット間のトラフィック (東西トラフィック) の両方の管理が含まれます。

よくある間違いは、境界防御だけに頼ったり、ネットワーク層内の信頼を前提としたりすることです。代わりに、ベストプラクティスでは、ユーザーとクラウドサーバーを含むクラウドアセット間で、ポイントツーポイントでアクセス権を付与する、最小特権アプローチが強調されています。このようにインバウンドトラフィックとアウトバウンドトラフィックの両方を制御することで、不正アクセスの影響を抑え、セキュリティイベント中の検出と応答時間を短縮できます。

検査ベースの保護を実装

検査ベースの保護を実装するということは、ネットワーク層間を移動するトラフィックをきめ細かく検査することを意味します。たとえば、転送中のデータの実際のコンテンツ、メタデータ、動作の分析などです。検査ベースの保護により、リアルタイムの脅威インテリジェンスに基づいて異常や潜在的な不正アクセスを検出できます。アプリケーションコンテキスト、ユーザー ID、または既知の脅威に基づいてルールを作成でき、機密性の高いワークロードに近い場合はより厳密になります。

ネットワーク保護を自動化

Infrastructure as Code (IaC) や CI/CD パイプラインなどの DevOps 手法を使用してネットワーク保護を自動化することで、組織はより安全で一貫性のある再現可能なネットワーク構成を導入できます。変更が発生すると、自動パイプラインがテストとデプロイのワークフローを開始します。変更はまずステージング環境にデプロイされて検証され、本番稼働前に意図したとおりに動作するかどうかをテストできます。

AWS Well-Architected フレームワーク

AWS Well-Architected フレームワークは、AWS ワークロードを保護するのに役立つ一連のベストプラクティスとクラウドセキュリティ設計プラクティスを提供します。このフレームワークのセキュリティの柱は、強力な階層型クラウドセキュリティとプロアクティブな保護手段によってシステム、データ、情報をより適切に保護する方法に関する規範的なガイダンスを提供します。

Well-Architected のガイドラインを頻繁に確認することで、組織はクラウドセキュリティ体制を改善し、クラウドインフラストラクチャのセキュリティ戦略が引き続き有効であることを確認できます。

クラウドセキュリティは AWS の最優先事項であり、当社のグローバルインフラストラクチャの設計は継続的な運用をサポートしています。アプリケーション、データ、ワークロードを大規模に保護するために必要なツールとサービスを提供することで、お客様やパートナーとの信頼を維持しています。AWS インフラストラクチャは複数の地理的リージョンとアベイラビリティーゾーンにまたがっており、それぞれが物理的および論理的な制御を重ねて設計されています。これらの安全対策は、そのライフサイクル全体にわたる継続的な脅威モデリングと厳格なテストによって裏付けられています。

AWS は、AWS 上の組織インフラストラクチャのセキュリティを保護するのに役立つさまざまなクラウドインフラストラクチャセキュリティサービスを提供しています。

• Amazon GuardDuty は、インテリジェントな脅威検出により AWS ユーザーアカウント、ワークロード、データを保護するのに役立ちます。
• AWS Identity and Access Management (IAM) は、ワークロードと従業員のアクセスをセキュアに管理およびスケールすることで、AWS での俊敏性とイノベーションをサポートします。
• Amazon Inspector は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、コンテナイメージ、AWS Lambda 関数などのワークロードやコードリポジトリを自動的に検出し、ソフトウェアの脆弱性や意図しないネットワークへの露出がないかスキャンします。
• Amazon Macie では、機械学習とパターンマッチングを利用して機密データを発見し、データセキュリティのリスクを可視化して、そのリスクに対する自動的な防御を行います。
• AWS Security Hub は、お客様の重大なセキュリティ問題に優先順位を付け、規模に応じた対応を支援して環境を保護します。シグナルを相互に関連付け、実用的なインサイトへと充実させることで重大な問題を検出し、効率的な対応を可能にします。AWS Security Hub には、現在のセキュリティ体制を把握するためのクラウドセキュリティ体制管理 (CSPM) が含まれています。

今すぐ無料アカウントを作成して、AWS でクラウドインフラストラクチャセキュリティを開始しましょう。