オルタナティブ・ブログ > クラウドセキュリテイ研究室 >

日々増加するクラウドへの攻撃と、それを防御するツールについて色々調べます。

クラウドセキュリティを三階層で考える「クラウド・セキュリティの三階層アーキテクチャ」

»

こんにちは!大元です。さて、今日は普段私がお客様に説明している「クラウド・セキュリティの三階層アーキテクチャ」について、ご紹介したいと思います。どこか権威のある団体が提唱しているとかではありませんのでご注意ください。

ただ、私の経験上この考え方がクラウド・セキュリティを検討するにあたって非常にシンプルでどこの企業にも適用しやすい考え方だと思います。

■「保護するデータ中心」に考えるクラウド・セキュリティの三階層アーキテクチャ

私が普段クラウド・セキュリティを検討にあたり重要だと考えているのは「データがどこで生成され、保管され、どこを通ってアクセス、共有されるのか?」といった点です。また、サイバー攻撃者の視点では「どこから侵入して、価値のあるデータにアクセスし、持ち出すのか?」が攻撃シナリオ考える土台になると考えています。

「データがどこで生成され、保存されるか?」をクラウド利用の観点で考えると、デバイスもしくはクラウドが該当します。「どこを通ってアクセス、共有されるか?」はインターネットが該当します。これらの要素を一枚の図で表現するとこのようになります。

データ生成、保存、共有に利用されるインターネット上にある「クラウド層」。

データへアクセスするための「デバイス層」。もちろんデバイス層でもデータは生成、保存、共有されます。

そして、デバイスからクラウドへデータを転送する「ネットワーク層」です。

三階層アーキテクチャ.jpg

■まず目標とすべきは「セキュリテイベースラインの構築」

各々の層では考慮しなければいけないリスクやサイバー攻撃は異なりますし、保護技術も違います。また、導入するタイミングも異なることが多いため、全体を一気に変えていこうと考えるより、この三層構造にあてはめて導入時期等を検討した方がスムーズに進むでしょう。

クラウド・セキュリティの導入や検討案件で良く見かけるのは、様々なセキュリティベンダーからのアウトプットを色々聞いた結果、「風呂敷だけが広がってしまい、膨大な数のセキュリテイ製品をリストアップして、誰も風呂敷を畳めなくなる」光景です。そうなってしまわないように、まずは、必要最低限の「ベースライン」をしっかり作り上げ、それが完成したあとで足りない部分を補強していくことを推奨します。

■「デバイス層のセキュリテイ対策に偏りがちな日本企業

私はクラウド・セキュリティを考えるにあたって「データがどこに保管されているか?」という要素は全体の一部にしかすぎないと考えています。しかし、日本のお客様とゼロトラスト等のキーワードで打ち合わせを行う時にまず検討候補に挙がるのは「デバイスに保存されたデータをいかに保護するか?」であることが非常に多いということです。クラウド時代にあったセキュリティを検討しなければならないのですが、脅威の大半が「マルウェア」と考えられているようです。

こうなる背景には、どこのお客様も最低限のセキュリティ対策としてマルウェア対策は実施されていますし、マルウェア対策ベンダーにセキュリテイ相談を持ちかけると当然マルウェア対策の「拡張」を提案してくるので「エンドポイントセキュリテイの強化」を薦められることが多いのではないかと推測しています。

エンドポイントのセキュリティ対策はクラウド・セキュリティにおいても重要な要素である事に変わりありませんが、「それが全てでは無い」ということです。

エンドポイントセキュリテイに重心を置いたクラウド・セキュリティ案を見せてもらうと、大抵「クラウド層」に関する考慮がすっぽり欠けてしまっていることが大半です。皆さんEDRやMDM/MAM、SOC等もしっかり検討されているのですが、肝心のクラウドに保管されたデータの保護やシャドーITに流出していくデータの保護が考慮されていない「クラウド・セキュリティ案」をどれほど見てきたか。

恐らくは「マルウェアの脅威」や「デバイス紛失リスク」はこれまでの経験上、対策の必要性は良く理解されているのですが、「クラウドの設定ミス」や「シャドーITに流出するリスク」はまだ新しいリスクであり、検討候補にあがっていない、もしくは後回しにされていることが多い印象を受けます。サイバー攻撃者もこういった点を利用して、ここ一年で日本国内の大企業を狙ったサイバー攻撃では「盗難したデータの保管先がシャドーITとなっているクラウドストレージ」が利用されています。誰も監視もしていなければ制御もされていないので「狙ったデータを容易に盗み出せる状態」にあるということですね。

クラウド・セキュリテイを検討するにあたって、クラウド層、ネットワーク層、デバイス層この3つの階層がバランス良く保護されていることが大切です。どこか一つの層だけを重点的に対策したり、どこかが欠けていても「クラウドセキュリテイは本来の役割を果たしません」。

是非、この「クラウド・セキュリティの三階層アーキテクチャ」が、抜け・漏れ・やりすぎの無いクラウド・セキュリティ検討のお役に立てれば幸いです。

Comment(0)