強靭なクラウドセキュリティアーキテクチャの設計

images of DoiT offerings

重要なworkloadsをクラウドへ移行する企業が増えるなか、堅牢なセキュリティアーキテクチャの構築はかつてないほど重要になっています。一方で、基本的な制御の先へ進めず、現在および将来の脅威に対応できるフレームワークを整備しきれていない組織も少なくありません。効果的なクラウドセキュリティとは、個別ツールを揃えることではなく、資産を守りながら事業の成長を後押しする、一貫したシステムを築き上げることに本質があります。

本ガイドでは、クラウドセキュリティアーキテクチャの基本原則から実践的な戦略まで、その主要な構成要素を整理して解説します。あわせて、適切なフレームワークやベストプラクティスを通じて、進化する脅威に耐えうる強靭なクラウド環境をどう構築するかを見ていきます。

クラウドセキュリティアーキテクチャの3つの基本原則

堅牢なクラウドコンピューティングセキュリティの土台は、あらゆる判断と戦略の指針となる3つの基本原則に集約されます。

1. 多層防御(Defense in Depth)

クラウド環境を守るうえで、多層的なセキュリティアプローチは最も有効な手段の一つです。単一の対策に頼るのではなく、多層防御はアーキテクチャ全体に複数の保護層を配置します。たとえばネットワークセキュリティグループを第一の防衛線とし、その上にWAF、暗号化、ID管理といった層を重ねることで、バランスの取れたデータ保護が実現します。

2. 最小権限の原則

この原則は、ユーザー・システム・アプリケーションに対して、業務に必要な最小限のアクセス権だけを付与することを徹底するものです。リソースが動的に変化し、設定ミスが時間の経過とともに積み重なりやすいクラウド環境では、この考え方がとりわけ重要になります。最小権限の原則を守るとは、すべてのクラウドリソースとサービスにわたるアクセス制御を定期的に見直し、きめ細かく調整し続けることを意味します。

3. セキュリティ・バイ・デザイン

クラウドシステムは、設計の最初の段階からセキュリティを組み込む必要があります。Infrastructure as Code(IaC)テンプレートに制御を埋め込めば一貫性が保たれ、開発パイプラインに自動セキュリティテストを組み込めば問題を早期に発見できます。Open Policy Agent(OPA)やHashiCorp Sentinelといったポリシー・アズ・コードのツールは、デプロイ時にセキュリティポリシーを自動適用することでこの取り組みをさらに強化します。これらは組織標準に照らして設定を検証し、非準拠リソースのデプロイを防ぎ、IaCワークフローと並走するガードレールとして機能します。さらに、継続的な監視で脅威を見張り、安全なバックアップ、フェイルオーバー機構、緊急アクセス計画を備えて、障害時にもシステムが動き続ける状態を作りましょう。

BONUS:ゼロトラストアーキテクチャ(ZTA)

「決して信頼せず、常に検証する」というゼロトラストの考え方も、クラウドセキュリティでは欠かせません。このモデルはユーザー・デバイス・アプリケーションを継続的に検証し、絶えず変化するクラウド環境でもアクセスの安全性を保ちます。主要なクラウドプロバイダーも、ID対応プロキシや検証サービス、マイクロセグメンテーションといったツールでこのアプローチを支えています。

責任共有モデルの重要性

graph of shared responsibility

クラウドセキュリティが従来のオンプレミス型セキュリティと異なるのは、責任共有モデルが前提となっている点です。クラウドプロバイダーがインフラを保護し、企業はアプリケーション、データ、アクセス管理を担います。

責任の境界はサービスモデルによって変わります。Infrastructure as a Service(IaaS)では、ハイパーバイザーから上のすべて——OSのセキュリティ、ネットワーク、アプリケーションなど——を自社で管理します。Platform as a Service(PaaS)では、OSとミドルウェアはプロバイダーが守る一方、アプリケーションとデータは利用者の責任です。Software as a Service(SaaS)では、セキュリティの大部分をプロバイダーが担いますが、データ、ユーザーアクセス、コンプライアンスは利用者が管理します。

Kubernetesのようなコンテナ化されたworkloadsは、さらに複雑さを増します。AmazonのEKSやGoogleのGKEといったマネージドサービスはコントロールプレーンを管理しますが、コンテナイメージ、ネットワークポリシー、ランタイム環境は利用者の責任です。たとえばKubernetesのネットワークポリシーが正しく設定されていないと、クラスター内のpod同士が自由に通信でき、いずれかのコンテナが侵害された際にラテラルムーブメントを許してしまう恐れがあります。同様に、ロールベースアクセス制御(RBAC)の設定ミスはサービスアカウントに過剰な権限を与え、攻撃対象領域を広げる原因になります。こうした場面で頼りになるのが、EKSとGKEに精通したDoiTの専門知識です。セキュリティの抜け漏れを埋め、利用者側の責任範囲を明確に整理しながら導きます。

現代のクラウドセキュリティアーキテクチャに欠かせない構成要素

強固なクラウドセキュリティとは、相互に連動する複数の要素を無理なく一つにまとめ上げることです。これらをバラバラの部品として扱うのではなく、成果を上げている組織は統一されたセキュリティフレームワークの中に織り込んでいます。

ID・アクセス管理(IAM)

クラウドセキュリティの出発点は、確実なID管理です。今日のIAMには、属性ベースアクセス制御(ABAC)やジャストインタイムのアクセス払い出しといった仕組みが含まれます。よくある問題が、ユーザーが本来必要な範囲を超えた権限を抱え込んでいく「権限のクリープ」です。とりわけKubernetesでは、podセキュリティポリシーやサービスアカウントが絡むため厄介になります。IAMを機能させ続けるには、定期的なアクセスレビュー、継続的なモニタリング、多要素認証(MFA)の徹底、過剰権限を検出・是正する自動化ツールなど、アクセス管理を常に最新の状態に保つことが重要です。

ネットワークセキュリティアーキテクチャ

クラウドネットワークの保護には、従来の境界型セキュリティとは異なる発想が必要です。ゼロトラストの原則に従い、ネットワークのあらゆる部分が侵害されうる前提で扱うことが鍵となります。

主な構成要素は次のとおりです。

ネットワークセグメンテーションには、Virtual Private Cloud(VPC)やサブネット分離といったクラウドネイティブのツールを活用しましょう。アプリケーションアーキテクチャに合わせてセグメントを設計し、AWS Security GroupsやAzure NSGsなどを使って、セキュリティ要件に応じてworkloadsを分離するマイクロセグメンテーションも検討してください。
コンテナ化されたアプリケーションでは、サービスメッシュがサービス間の暗号化・認証・認可を担えます。Istio(GKE向け)やAWS App Mesh(EKS向け)などが有力ですが、ネットワークとコンテナオーケストレーションに関する一定の知識が求められます。

セキュリティ監視と運用

クラウド環境からは膨大なセキュリティデータが生まれ、その収集・分析・対応が必要になります。本当の課題は、こうしたデータを行動につながる洞察に変えることです。そのために必要な要素は次のとおりです。

クラウド固有の攻撃パターンを捉えるリアルタイムの脅威検知。たとえば、認証情報の窃取やコンテナエスケープを示唆する不審なAPI呼び出しを検出する仕組みです。
業務を止めずに脅威に対応できる自動レスポンスのツール。侵害された認証情報を失効させたり、影響を受けたworkloadsを隔離しつつアプリケーションを動かし続けたりできるものです。

クラウドセキュリティポスチャ管理(CSPM)

CSPMツールは、継続的なセキュリティ評価とコンプライアンスの監視を提供します。ここで難しいのは、複数のクラウドプロバイダーやサービスを横断してセキュリティ水準を保ち続けることです。組織には、次のことが可能なツールが求められます。

クラウドプロバイダーをまたいで設定ミスを検出・修正する
セキュリティポリシーや規制への準拠状況を継続的に追跡する
クラウド環境全体のセキュリティリスクを一元的に可視化する

コンテナとKubernetesのセキュリティ

コンテナ化されたアプリケーションが標準となるなか、その保護はクラウドセキュリティの中核に据えられつつあります。よくある課題は次のとおりです。

コンテナイメージに脆弱性がなく、適切に構成されているかを確認する
コンテナ間および外部サービスとの間に堅牢なネットワークポリシーを敷く
Kubernetes上のシークレットや機密設定データを適切に管理する
コンテナのランタイムの挙動を監視し、潜在的な問題を検知する

主要なクラウドプロバイダーは、コンテナセキュリティを補強するネイティブツールを揃えています。たとえばAWSにはイメージスキャン用のAmazon ECRや安全な移行を支援するApp2Containerがあり、Google Cloudには信頼できるデプロイのためのContainer AnalysisとBinary Authorizationが用意されています。サードパーティ製ツールと組み合わせれば、コンテナ化されたworkloadsの保護をさらに強化できます。

立ち向かうべき相手:クラウドセキュリティの脅威と脆弱性

woman working on a computer

クラウドセキュリティには、つねにリスクと機会のバランスがつきまといます。だからこそ、自社が直面しうる脅威と脆弱性を正しく把握しておくことが欠かせません。

ここからは、IaaS・PaaS・SaaSの各デプロイメントでセキュリティリスクがどのように現れるか、そしてそれが自社のセキュリティ体制にとって何を意味するかを整理していきます。

Infrastructure as a Service(IaaS)

IaaS環境では、OSから上のすべてを自社で管理することになるため、攻撃対象領域は広がりがちです。盗まれた認証情報や設定が甘いIAMロールを起点としたアカウント侵害はよくある問題で、攻撃者はこれを足がかりに不正リソースを立ち上げたり、機密データへアクセスしたりします。複数アカウントを抱える構成では、権限昇格の経路がすぐには見えにくく、特にリスクが高まります。

最大級の課題の一つが、公開状態のストレージバケットや過度に緩いセキュリティグループといった設定ミスです。さらに、クラウドインフラは絶えず変化するため、設定を常に安全な状態に保つこと自体が容易ではありません。

Platform as a Service(PaaS)

PaaS環境には、特に責任共有モデルにまつわる独自の課題があります。インフラとアプリケーション基盤のセキュリティはプロバイダーが担う一方、自社アプリケーションとデータの保護は最終的に利用者の責任です。

大きなリスクの一つが、フレームワークやライブラリといった依存関係に潜む脆弱性です。PaaSでは開発のスピードが速いぶん、システムを最新かつ適切な構成に保ち続けることが難しくなります。

APIセキュリティもまた重要な領域です。PaaSアプリケーションは内部・外部のAPIに大きく依存していることが多く、適切な制御を欠くとデータ漏えいやアプリ機能への不正アクセスにつながりかねません。

Software as a Service(SaaS)

セキュリティ対策の大部分をSaaSプロバイダーが担っているとはいえ、利用者側にも見過ごせないリスクが残ります。データ共有やアクセス制御の設定ミスは、機密情報の意図せぬ流出につながりかねず、特に共同作業の場では、ユーザーが誤った相手とデータを共有してしまうケースも起こり得ます。

加えて、複数のSaaSアプリを連携させるなかで、統合のセキュリティも大きな関心事になっています。連携ポイントはいずれも脆弱性の入り口となり得るため、設定ミスを防ぐには細心の注意が必要です。

サービスをまたぐ攻撃パターン

クラウドアーキテクチャでは複数のサービスモデルが組み合わさることが多く、それが厄介なセキュリティ課題を生みます。たとえばサプライチェーン攻撃は、複数のサービス階層に同時に影響を及ぼし得ます。IaaS環境で侵害されたコンテナイメージが、それを利用するPaaSサービスにまで波及する、といった具合です。

ID基盤を狙った攻撃も、特にハイブリッド環境では巧妙化しています。攻撃者はサービスモデル間の信頼関係を悪用し、組織のクラウドインフラ内をラテラルに移動していきます。

Kubernetesに固有の脅威

コンテナオーケストレーション環境にも独自のセキュリティ課題があります。たとえば、自己管理型のKubernetes環境におけるコントロールプレーンへの攻撃や、ホストや他のコンテナを露出させかねないコンテナエスケープの脆弱性などです。これらは、複数のアプリケーションが同じホストを共有するマルチテナント構成ではいっそう深刻になります。

クラウドセキュリティフレームワーク入門

cloud security diagram

クラウドセキュリティフレームワークは、ゼロから組み立てなくてもセキュリティリスクに体系的に向き合える土台を提供してくれます。現実の課題に対処しながら、堅実なセキュリティ体制を築くうえで頼れる存在です。

MITRE ATT&CK for cloud

クラウド環境向けの強力なツールであるMITRE ATT&CKは、攻撃手法を体系的に整理し、防御戦略を提示します。たとえば権限昇格のリスクについて、ATT&CKは次のような知見を提供します。

攻撃者がIAMの設定ミスをどう悪用するか
その活動を検知する方法
リスクを抑えるための予防策

このアプローチによって、組織は画一的な広範な制御ではなく、特定の脅威にフォーカスして対策を打てるようになります。たとえばKubernetesクラスターの保護も、コンテナエスケープやコントロールプレーンの脆弱性といった脅威に的を絞ったコンテナ向けガイダンスがあれば、ぐっと扱いやすくなります。

Cloud Security Alliance(CSA)Cloud Controls Matrix

CSAのCloud Controls Matrix(CCM)は、GDPRやHIPAAなどのコンプライアンス基準にセキュリティ対策を整合させることを主眼に置いています。さまざまな領域にまたがる明確な制御目標を提示し、サービスモデルに応じて柔軟に適用できます。複数のクラウドサービスが入り混じるハイブリッド環境では、特に有用です。

NISTサイバーセキュリティフレームワーククラウドプロファイル

NISTのフレームワークは、従来のセキュリティ慣行をクラウド固有のニーズに合わせて再設計したものです。重点領域は次のとおりです。

継続的なモニタリングと自動化
IDを軸に据えたセキュリティ
クラウド境界をまたぐデータの保護

Prisma CloudやLaceworkといったクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)は、クラウドインフラ・コンテナ・アプリケーションに対し、NISTに沿ったセキュリティを提供します。これらを使えばコンプライアンス対応、脆弱性管理、脅威検知が扱いやすくなり、クラウド環境全体のリスクマネジメントを簡素化できます。

本フレームワークは、ゼロトラスト原則の実装手順や、セキュリティを段階的に底上げしていくための明確なステップも示しています。

安全なクラウドアーキテクチャを設計するためのベストプラクティス

ここからは、セキュリティフレームワークと脅威に関する知見を、クラウドセキュリティアーキテクチャを底上げする具体的なアクションへ落とし込んでいきましょう。

コンテナworkloadsの保護

コンテナセキュリティは、ライフサイクルのあらゆる段階で目を配る必要があります。安全なベースイメージから始め、脆弱性スキャンを自動化し、ビルドパイプラインでソフトウェア部品表(SBOM)を確認しましょう。EKSやGKEで運用しているなら、podセキュリティポリシー、ネットワーク制御、アドミッションコントローラーの設定は欠かせません。DoiTは、workloadsの効率を保ちながらこれらの設定を最適化するお手伝いができます。

セキュリティ監視と対応

本当に行動につながる知見を生む、確かなモニタリング戦略を組み立てましょう。アプリケーションアーキテクチャを理解し、通常の挙動と疑わしい挙動を見分けられる、コンテキストを踏まえたモニタリングを取り入れてください。基本的なアラートにとどまらず、次の要素も組み込みましょう。

挙動ベースの異常検知
サービス間通信のモニタリング
ユーザー行動の分析
リソース使用状況のトラッキング

AWS Security Hub、Amazon Detective、Azure Sentinelといったクラウドネイティブのセキュリティ情報・イベント管理(SIEM)ツールは、クラウド全体のセキュリティデータを横断的に分析し、複雑な攻撃パターンを浮かび上がらせます。既存サービスと連携し、統合されたダッシュボードと協調的なレスポンスを提供することで、より効果的なセキュリティ運用を後押しします。

ネットワークセキュリティの強化

マイクロセグメンテーションを取り入れ、進化する脅威の一歩先を行きましょう。認証、暗号化通信、きめ細かいトラフィックフィルタリング、サービスIDに基づく柔軟なアクセス制御など、サービスを軸にした制御を優先してください。

クラウドにおける安全な航路を描く