Flowmon

クラウドセキュリティを紐解く

投稿者: 竹日正弘 (Masahiro Takehi) 投稿日: 2025年5月9

クラウドセキュリティとは、ポリシー、制御、テクノロジーを組み合わせ、クラウド上のデータ、システム、インフラストラクチャを保護するための戦略的な取り組みです。スピード、スケーラビリティ、リモートワークのニーズを背景に、クラウドコンピューティングは現代のデジタル基盤へと成長しました。その一方で、物理的にも管理的にも自社の直接的なコントロール下にないインフラにおいて、セキュリティ戦略はどのように進化すべきか、という重要な課題が浮かび上がっています。

本記事では、クラウド環境におけるセキュリティの要諦と課題、ベストプラクティス、さらに Progress Flowmon がどのように可視化とクラウド監視で高度なセキュリティを実現できるかについてご紹介いたします。

クラウドセキュリティの基本要件

クラウドセキュリティとは、単なる製品ではありません。クラウド上の資産を保護するためのポリシー、テクノロジー、制御、サービスの包括的な体系です。また対象領域は、アイデンティティー管理、アクセス制御、暗号化、脅威検出、コンプライアンス対応と多岐にわたります。

クラウドでは、責任共有モデルが重要な概念です。責任範囲はクラウドのサービスモデルによって異なります。

IaaS(Infrastructure as a Service)

クラウドサービスプロバイダーのサーバー、ストレージ、ネットワークなどの基盤インフラリソースを、オンデマンドで利用できるサービスです。基盤インフラはプロバイダーが、アプリケーションやデータは利用者が管理するモデルです。

PaaS(Platform as a Service)

アプリケーションを開発、デプロイ、実行するために必要なプラットフォームを、クラウド上で提供するサービスで、開発環境やサーバー、OS、ミドルウェアなどが一式で提供されます。基盤インフラとこれらのプラットフォームはプロバイダーが、アプリケーションとデータは利用者が管理します。

SaaS(Software as a Service)

基盤インフラやプラットフォームを含め、利用するソフトウェアがプロバイダーより提供されます。アプリケーションを含め大部分をプロバイダーが管理し、利用者はユーザーアクセスやデータガバナンスを担います。

クラウドのサービスモデルによって異なる責任範囲


クラウドセキュリティでは、プロバイダーと利用者がシステム全体の管理責任を共有することとなり、利用者の定義するセキュリティポリシーへの適合可否は、そのシステム全体に渡って評価する必要があります。

クラウドセキュリティの要素

クラウド環境におけるセキュリティ対策は、以下の主要要素によって構成されています。

アイデンティティーとアクセス管理(IAM)

認証と必要最小権限の認可管理徹底。さまざまな認証強度を持つ認証方式を実装するだけでなく、異なるサイト間で認証が連携(シングルサインオン)される場合の、サイト間のセキュリティポリシーの整合性も確認が必要です。

暗号化

保存時および転送時のデータ暗号化(例:AWS KMS、Azure Key Vault などの活用)。クラウド利用の際にゲートウェイ製品などで、データが復号化される場合には、そのゲートウェイでのデータのアクセス保護状況なども検証することが推奨されます。

監視とログ管理

AWS CloudTrail や Azure Monitor による常時モニタリングとログの一元管理など。統合的なログ管理を行う場合、目的とする監視レベルを実現するうえで、取得が必要となるログ項目が確保されているか、ログ出力システム側の設定の確認も求められます。

[ 可視性が高いネットワーク監視 をご参照ください。]

ネットワークセキュリティ

VPC、セキュリティグループ、クラウドファイアウォールによるトラフィック制御。トラフィック監視を実施する際には、対象となるネットワークの帯域を問題なくカバーし、取りこぼしのないネットワークデータの取得が担保されなければなりません。

バックアップと災害復旧

レジリエンスを高める冗長構成と復旧体制。アプリケーション要件と運用要件から適切なバックアップスケジュールの検討、およびバックアップ自身もランサムウェア攻撃などから保護する対策も重要となります。

コンプライアンス管理

ISO 27001、SOC 2、GDPR などへの準拠。あわせてそれぞれの地域が持つ法準拠を確認する必要があります。

Flowmon は、これらのセキュリティ要件を支援するため、ネットワークトラフィックの可視化、異常検知、クラウド環境全体の監視を統合的に提供しています。全体のセキュリティ要件充足度の確保のため、ネットワーク上の振る舞いから異常状態を炙り出し、ネットワークセキュリティのみならず多角的なセキュリティ対策ツールとして、システム全体のセキュアな運用に向け活用が可能です。

変化するセキュリティ境界

クラウドネイティブなアーキテクチャにおいては、従来の「内と外」という境界はもはや存在しません。サイト間の認証も連携され、API によりデータも連携されている昨今のクラウドアプリケーション環境では、結合密度はそれぞれ異なりますが、クラウドも含め複数のシステム環境が連携しています。サプライチェーン攻撃のように、異なる企業間・システム間のつながりを利用した攻撃のアプローチにも気を付けなければなりません。

変化するセキュリティー境界

クラウドのみならずオンプレミス環境も含め、自社のシステムが他社のシステムとどのような連携設定がなされているかを、常に把握しておくことも重要となります。

またシステム間という領域のみならず、その時間軸の視点でも考慮が必要です。利用している端末のセキュリティ環境は変化していく可能性があるため、一度正しいユーザーとして認証を受けた後でも、適宜最新の情報を踏まえた認証および認可設定の再検証が行われるべきです。また、アカウント侵害や権限昇格などの攻撃も、クラウド利用環境でも多く見られる脅威となっています。

ゼロトラストアーキテクチャ(Zero Trust Architecture)やソフトウェア定義境界(SDP)は、ユーザーとデバイスの信頼性をリアルタイムで検証し、常に必要最小限のアクセスを許可する仕組みを目指しています。Flowmon では、リアルタイムの異常検知や行動分析を通じて、こうしたリアルタイムの脅威兆候を検出し、アクセス権限適正化の仕組みの構築にご利用いただけます。

クラウド環境での脅威パターンと対策

現在のクラウド脅威の代表例には次のものがあります。 Capital OneUber の事例が示す通り、攻撃者はもはや単なるIPアドレスではなく、ID、鍵、トークンを狙っています。

  • 不適切に公開されたAPIを突いた攻撃
  • 公開されたS3バケットなど、設定ミスによるデータ漏洩
  • 資格情報・トークンの盗難などによるIDの乗っ取り
  • もっとも脆弱なエンドポイントに侵入し、それを起点としてより攻撃価値の高いシステムリソースへの侵害を行う、サービス間ラテラルムーブメント

これらの現状を踏まえ、クラウドのセキュリティ対応に向け様々なソリューションやコンセプトが提唱されています。以下の主なものを含め、セキュアなクラウド利用環境構築に向け、利用の検討をお勧めします。

CSPM(クラウドセキュリティポスチャー管理)

設定ミスやリスクの可視化と是正。クラウドサービスの設定ミスやセキュリティ上の問題を自動的に検知し、適切な対策を講じるためのソリューションです。

CWPP(クラウドワークロード保護プラットフォーム)

仮想マシンやコンテナの保護。クラウド上の仮想化された環境やコンテナを含む、ワークロードのセキュリティを保護するためのプラットフォームです。

CIEM(クラウドインフラ権限管理)

IDと権限の最適化管理。クラウド環境におけるアクセス権限や特権を管理するセキュリティツールです。クラウド環境内で誰が、どのリソースに、どのようなアクセス権を持っているかを可視化し、権限の過剰付与や誤設定を防ぐことで、セキュリティリスクを低減する役割を果たします。

CNAPP(統合型クラウドネイティブアプリ保護)

これらを統合した包括的ソリューション。異なる要素やテクノロジーを統合して、クラウドネイティブアプリケーションのセキュリティを強化します。

クラウド利用環境のセキュリティ対策は、ビジネス継続の上で企業規模にかかわらず必須のものとなります。Flowmon では小規模展開から大規模ネットワークを対象とした構成まで、幅広くネットワークセキュリティの強化にご利用いただけます。

Flowmon によるクラウド利用環境のセキュリティー強化

Flowmon はまた、オンプレミス、ハイブリッド、マルチクラウドにまたがる環境を一元的に可視化・監視し、より迅速で実践的なインシデント対応を可能にします。

まとめ

セキュリティはシステムの一部のみを堅牢にしても、実効性がなく、システム全体を通し一定のレベルを担保することが必要要件となります。オンプレミスからクラウド、企業内から連携するサプライチェーン、また時間とともに変遷する可能性のあるリスク要素も踏まえ、認証・認可の見直しも重要な視点となります。

またIPブラックリストなどの固定的な脅威情報のみならず、リアルタイムに変化する脅威を検知することで、被害の事後処理ではなく防御が可能となります。利用するクラウドのサービス形態やアプリケーション・データの価値を踏まえた、適切なセキュリティ投資をご検討ください。

Flowmon でクラウドセキュリティを次のレベルへ

Progress Flowmon は、ハイブリッド環境・マルチクラウド環境におけるインテリジェントな可視化と自動化された監視を提供します。 ネットワークトラフィックの分析、異常の早期検知、クラウド運用の最適化を、Flowmon が力強くご支援します。

[Flowmon の詳細は こちら から]

竹日正弘 (Masahiro Takehi)

オリゾンシステムズ株式会社(本社:東京)において、チェコ共和国をはじめとする海外ITセキュリティー製品のビジネス開発を担当

著者が作成したブログ
Prefooter Dots
Subscribe Icon

Latest Stories in Your Inbox

Subscribe to get all the news, info and tutorials you need to build better business apps and sites

The specified form no longer exists or is currently unpublished.
OSZAR »