クラウドのセキュリティには、テクノロジー、制御、プロセス、ポリシーが含まれ…これらが合わさってクラウドベースのシステム、データ、インフラストラクチャを保護します。これはコンピュータセキュリティのサブドメインであり、より広範には情報セキュリティとなります。

これはあなたとクラウドサービスプロバイダーの間で共有される責任です。クラウドセキュリティ戦略を実装、データを保護、法令を遵守し、顧客のプライバシーを保護しましょう。これが、データ侵害とデータ損失の評判面での、そして財務的、法的影響からあなたを守ります。

クラウドセキュリティの責任共有モデル
クラウドセキュリティの責任共有モデル(画像の参照元:Synopsys)

クラウドセキュリティは、どの組織にとっても重要な要件です。特に(ISC)2の調査によると、93%の組織がクラウドセキュリティについて中程度または非常に懸念しており、4分の1の組織が過去12か月間にクラウドセキュリティインシデントがあったことを認めています。

クラウドセキュリティの包括的なガイドをお届けします。クラウドへの移行によるセキュリティリスクを調査し、クラウドセキュリティが必要な理由を理解し、クラウドセキュリティのベストプラクティスを考えてみましょう。また、クラウドサービスプロバイダーのセキュリティを評価する方法や、クラウドセキュリティを改善するための認定やトレーニングを見つける方法なども扱うことにします。

さぁ、始めましょう。

クラウドセキュリティの仕組みとは

クラウドセキュリティは、テクノロジー、コントロール、プロセス、ポリシーの複雑な相互作用により成り立ちます。そして組織固有の状況に合わせて高度にパーソナライズされた手段を用いる必要があります。

そのため、クラウドセキュリティがどのように「機能するか」を説明する唯一無二の定義はありません。

クラウドワークロード保護のモデル
クラウドワークロード保護のモデル(画像の参照元:HyTrust)

ありがたいことに、堅牢なクラウドセキュリティセットアップを実現するために使用できる、広く確立された戦略やツールはいくつもあります。

アイデンティティとアクセスの管理

すべての企業に、情報へのアクセスを制御するためのID・アクセス管理(IAM)システムが必要です。クラウドプロバイダーは、IAMと直接統合するか、独自のビルトインシステムを提供します。IAMは、多要素認証とユーザーアクセスポリシーを組み合わせて、アプリケーションとデータへのアクセス権を持つユーザー、ユーザーがアクセスできるもの、ユーザーがデータに対してできることを制御します。

物理的セキュリティ

物理的セキュリティは、クラウドセキュリティのもう1つの柱です。これは、クラウドプロバイダーのデータセンターに格納されているハードウェアへの直接アクセス、そして、混乱を防ぐための対策の組み合わせです。物理的セキュリティとしては、セキュリティドア、無停電電源、監視カメラ、アラーム、空気と粒子のろ過、防火などによる直接的なアクセスの制御が挙げられます。

脅威インテリジェンス、監視、防止

脅威インテリジェンス不正侵入検知システム(IDS)不正侵入防止システム(IPS)は、クラウドセキュリティの根幹を形成しています。脅威インテリジェンスとIDSツールは、現在のシステムを標的にしている、または将来の脅威となる攻撃者を特定する機能を提供します。IPSツールは、攻撃を緩和して、さらに、その発生を警告することで対応を可能にします。

暗号化

クラウドテクノロジーを使用して、クラウドプロバイダーのプラットフォームとの間でデータを送受信し、多くの場合、インフラストラクチャ内に保存します。暗号化は、 データアセットを保護するクラウドセキュリティの追加のレイヤーとなります。データアセットは、保管時や転送時にエンコードすることによって保護されます。これにより、あなただけがアクセスできる解読キーがないと、データを解読することがほぼ不可能になります。

クラウドの脆弱性とペネトレーションテスト

クラウドのセキュリティを維持・改善するもう1つの方法は、脆弱性とペネトレーションテストです。潜在的な弱点や悪用を特定するために、あなた自身やプロバイダーが自らのクラウドインフラストラクチャを攻撃するものです。次に、これらの脆弱性にパッチを適用してセキュリティスタンスを改善するソリューションを実装します。

マイクロセグメンテーション

マイクロセグメンテーションは、クラウドセキュリティの実装においてより一層人気を博しています。これは、クラウドのデプロイメントを個別のワークロードレベルに至るまで、セキュリティセグメントに分割する方法です。

個々のワークロードを分離することで、柔軟なセキュリティポリシーを適用して、攻撃者がアクセスを獲得した場合に発生する可能性のある被害を最小限に抑えることができます。

次世代ファイアウォール

次世代ファイアウォールは、クラウドセキュリティを構成するもう1つのピースです。従来のファイアウォールの機能と新しい高度な機能を使用してワークロードを保護します。従来のファイアウォールによる保護には、パケットフィルタリング、ステートフルインスペクション、プロキシ、IPブロッキング、ドメイン名ブロッキング、ポートブロッキングが含まれます。

次世代ファイアウォールは、侵入防止システム、ディープパケットインスペクション、アプリケーション制御、暗号化されたトラフィックの分析を追加して、包括的な脅威の検出と防止を可能にします。

Kinstaのホスティングアーキテクチャ
Kinstaのホスティングアーキテクチャ

Kinstaでは、Google Cloud Platform (GCP) ファイアウォールを設けることで、すべてのWordPressウェブサイトを保護しています。これにより最先端のセキュリティと、他のGCPセキュリティソリューションとの緊密な統合が実現しています。

クラウドコンピューティングにおける7つのセキュリティリスク

クラウドで運用しているかどうかに関わらず、セキュリティはすべてのビジネスにとっての懸念事項です。サービス拒否マルウェアSQLインジェクション、データ侵害、データ損失などのリスクが介在します。これらはすべて、事業の評判と収益に大きな影響を与える可能性があります。

クラウドに移行すると、新たな一連のリスクが発生し、同時に既存のリスクの性質が変化します。ただし、これは、クラウドコンピューティングが安全ではないという意味ではありません。実際、多くのクラウドプロバイダーが、他の方法にはない高度に洗練されたセキュリティツールとリソースを導入しています。

つまり大事なのは、リスクを軽減するために、リスクの変化に注意する必要があるということです。それでは、クラウドコンピューティングに固有のセキュリティリスクを見てみましょう。

1. 可視性の喪失

ほとんどの企業は、複数のデバイス、部門、地域を通じてさまざまなクラウドサービスにアクセスします。クラウドコンピューティングのセットアップがこのように複雑であるため、適切なツールがなければ、インフラストラクチャへのアクセスの可視性が失われる可能性があります。

正しいプロセスを用いないと、クラウドサービスを使用しているユーザーを見失う可能性があります。例えば、これには、アクセス、アップロード、ダウンロードされているデータの種類も含まれます。

把握できないものを守ることはできません。これは、データ侵害やデータ損失のリスク増大を意味します。

2. コンプライアンス違反

規制の強化に伴い、さまざまな厳しいコンプライアンス要件を遵守する必要がある、というケースも考えられます。クラウド移行の際に、注意しないとコンプライアンス違反のリスクが生じてしまいます。

規制の多くでは、データがどこにあるか、誰がデータにアクセスできるか、データがどのように処理されるか、どのように保護されるかを把握することが求められます。また規制によっては、クラウドプロバイダーが特定のコンプライアンス準拠を示す証明書を保持する必要があります。

クラウドへのデータの不注意な転送、または間違ったプロバイダーへの移動は、組織のコンプライアンス違反へと帰結する可能性があります。深刻な法的・財政的悪影響がもたらされることも予想されます。

3. クラウドセキュリティ戦略とアーキテクチャの欠如

これは簡単に回避できる類のクラウドセキュリティリスクですが…多くの企業で回避できていないのが実情です。大多数は、システムとデータをクラウドに移行することを急いで、インフラストラクチャを保護するためのセキュリティシステムと戦略が導入されるずっと前の段階で、運用を開始してしまっています。

Kinstaは、クラウド移行の際の「セキュリティ第一主義」を大事にしています。そのため、Kinstaは無料のWordPress移行(移管)サービスを提供して、クラウドへの移行が安全であり、長時間のダウンタイムを回避できるように努めているのです。

クラウドがシステムやデータに即して稼働するよう設計された、セキュリティ戦略とインフラストラクチャを実装するようにしてください。

4. 組織内部の人間による脅威

信頼すべき従業員、請負業者、ビジネスパートナーが、最大のセキュリティリスクの一部になる可能性があります。このような関係者が、事業に損害をもたらそうという悪意を必ずしも持っているとは限りません。実際このようなリスクの大半は、トレーニングの欠如や過失に起因します。

この問題に直面していると仮定し、そこからクラウドに移行すると、リスクの性質が変わります。クラウドサービスプロバイダーにデータの制御を任せ、プロバイダーの従業員という「別の内部の人間による脅威」も加わります。

5. 契約違反

契約上のパートナーシップには、共有データの使用方法、保存方法、データへのアクセスを許可されたユーザーに関する制限が伴います。従業員が知らぬ間に、制限のかかったデータを無許可でクラウドサービスに移動すると、契約違反が発生し法的措置につながる可能性があります。

クラウドプロバイダーの利用規約は必ずお読みください。データをクラウドに移動する権限がある場合でも、一部のサービスプロバイダーには、インフラストラクチャにアップロードされたデータを共有する権利があることがあります。意識をしないと、あなたも意図せずに秘密保持契約に違反してしまうかもしれません。

6. 安全でないアプリケーションユーザーインターフェイス(API)

クラウドインフラストラクチャでシステムを操作する際に、APIを使用して制御を実装できます。ウェブまたはモバイルアプリケーションに組み込まれているAPIを使えば、スタッフによる内部アクセスまたは消費者による外部アクセスを提供できます。

これは、クラウドのセキュリティリスクを招く可能性のある外部を向いたAPIです。安全でない外部APIは、データを盗んでサービスを操作しようとするサイバー犯罪者の不正アクセスゲートウェイとなり得ます。

安全でない外部APIの最も顕著な例は、Facebook – Cambridge Analytica Scandalでしょう。Facebookのセキュアでない外部APIが、Cambridge AnalyticaにFacebookユーザーデータへのディープアクセスを提供することになってしまいました。

7. クラウドサービスの設定ミス

クラウドサービスの設定ミスも、潜在的なクラウドセキュリティリスクとなります。サービスの範囲と複雑さが増すことで、これは日々大きな問題になっています。クラウドサービスの設定を誤ると、データが公開されたり、操作されたり、削除されたりする可能性があります。

一般的な原因として、機密性の高いデータのデフォルトのセキュリティとアクセス管理設定の維持が挙げられます。その他には、権限のない個人にアクセスを許可する管理システムや、機密データが許可なしで開かれたままになっている破損状態のデータアクセスが考えられるでしょう。

クラウドセキュリティが必要な理由

クラウドテクノロジーの大量導入とサイバー脅威の絶え間ない増加と高度化が組み合わさり、クラウドセキュリティの必要性が高まりを見せています。クラウドテクノロジーを採用することによるセキュリティリスク(上記で概説)を鑑み、これに対する軽減策を実行しないと、重大な影響が生じる可能性があります。

しかし、すべてが否定的であるとは言えず、クラウドのセキュリティは大きなメリットももたらします。クラウドセキュリティが重要な要件である理由を見てみましょう。

サイバーセキュリティの脅威は日々増加

クラウドのセキュリティのためにベストプラクティスが必要とされるのには訳があります。量と巧妙さの両方において、サイバー犯罪者からの脅威は加速の一途をたどっています。これのデータとして (ISC)2のクラウドセキュリティレポートでは、2019年には企業の28%がクラウドセキュリティインシデントを経験したことが明らかになっています。英国政府も、英国企業の32%が過去12か月間にシステムへの攻撃を経験したと報告しています。

データ侵害とデータ損失の防止

増加するサイバー攻撃の結果として、データ侵害とデータ損失の頻度と量が加速しています。ノートンの新興脅威レポートによると、2019年の最初の6か月だけでも、40億を超える記録が漏えいしたとされています。

データの侵害・損失は、法的、財政的側面、評判に重大な影響を与える可能性があります。IBMは最新のレポートで、データ侵害の平均コストを392万ドルと推定しています。

コンプライアンス違反を回避する

クラウドのセキュリティによってコンプライアンス違反のリスクが生じることについては、すでにご説明した通りです。コンプライアンス違反の影響を示す事例として、ドイツのプライバシー監視機関は、EUの一般データ保護規則(GDPR)に違反したとして、最近、1&1 Telecommunicationsに950万ユーロの罰金を科しました。

ビジネス継続性の維持

優れたクラウドセキュリティは、ビジネスの存続、そして、サービス拒否攻撃(DDoS攻撃)などの脅威からの保護に貢献します。計画外の停止やシステムのダウンタイムは、ビジネスの継続性を妨げ、収益に影響を与えます。ガートナーの調査によると、このダウンタイムのコストは1分あたり平均5600ドルと見積もられています。

クラウドセキュリティの利点

クラウドセキュリティには、脅威からの保護だけでなく、不適切な慣行による影響を回避するという利点があり、事業には必須の事項です。具体的には以下の通りです。

1. 集中型セキュリティ

クラウドコンピューティングがアプリケーションとデータを集中化するのと同じように、クラウドセキュリティは保護を集中化し、可視性の向上、制御の実装、攻撃に対する守りの強化を支援します。また、すべてを1か所にまとめることで、ビジネスの継続性と、災害復旧の容易さという点からも強さを発揮します。

2. コストの削減

信頼の高いクラウドサービスプロバイダーには、24時間体制でアプリケーションやデータを保護するための専用のハードウェアとソフトウェアが用意されています。これにより、実費(高額)での確保が不要になります。

3. 管理の削減

クラウドに移行すると、セキュリティの責任分担モデルが利用できます。これにより、セキュリティ管理に費やす時間とリソースを大幅に削減できます。クラウドサービスプロバイダーは、ストレージ、コンピューティング、ネットワーク、物理的インフラストラクチャ全体にわたり、インフラとユーザーを保護する責任を負います。

4. 信頼性の向上

大手クラウドサービスプロバイダーは、信頼できる最先端のクラウドセキュリティハードウェアとソフトウェアを提供しており、継続的なサービスが利用できます。ひいては、あなたの提供するサービスの利用者もどこからでも、どのデバイスからでも、データやアプリケーションに安全にアクセスできることになります。

クラウドセキュリティのベストプラクティス

システムをクラウドに移行しても、多くのセキュリティプ面のプロセスとベストプラクティスは変わりません。ただし、クラウドベースのシステムとデータのセキュリティを維持するために克服すべき新しい課題が出現します。

この課題を解決するために、クラウドベースへの移行の際に知っておきたいセキュリティのベストプラクティスをまとめましたのでご覧ください。

信頼できるプロバイダーを選ぶ

クラウドセキュリティのベストプラクティスの基盤は、信頼できるサービスプロバイダーを選ぶことです。最高のセキュリティプロトコルを誇り、業界最高レベルのベストプラクティスを実践するクラウドプロバイダーと提携するのが理想です。

パートナーとソリューションの市場を拡大し、あなたによるデプロイメントのセキュリティを促進してくれるサービスプロバイダーを探すこと。

プロバイダーの信頼性は、それが持つセキュリティコンプライアンスや認証から推し量ることができます。そして優れたプロバイダーは、これらを公開しています。たとえば、Amazon Web ServicesAlibaba CloudGoogle Cloud(Kinstaが利用中)、Azureなどのすべての主要プロバイダーは、利用者が広くアクセスしセキュリティコンプライアンスや認証を確認できるようにしています。

これ以外にも、信頼できるプロバイダーの選択には多くの判断要素があります。これについては、記事の後半で、クラウドプロバイダーのセキュリティを評価するための10のチェックリストとしてご紹介します。

自らの責任共有モデルを理解する

クラウドサービスプロバイダーと提携し、システムとデータをクラウドに移動すると、セキュリティの実装に関する責任を共有するパートナーシップが幕を開けます。

ベストプラクティスの重要な一部でもあるように、共有する責任を確認し理解することが欠かせません。自らが担うセキュリティタスクと、プロバイダーに処理してもらうタスクを分類しましょう。

これの規模は、サービスとしてのソフトウェア(SaaS)、サービスとしてのプラットフォーム(PaaS)、サービスとしてのインフラストラクチャ(IaaS)を利用するのか、またはオンプレミスのデータセンターを選択するのか、といった判断に応じて変化します。

Google Cloud Platformの責任共有モデル
Google Cloud Platformの責任共有モデル

AWSAzureGoogle Cloud PlatformAlibaba Cloudなどの大手クラウドサービスプロバイダーは、セキュリティの責任共有モデルと呼ばれるものを公開しています。これが透明性と明快さの確保につながっています。クラウドサービスプロバイダーの責任共有モデルを必ず確認してください。

クラウドプロバイダーの契約とSLAを確認する

セキュリティのベストプラクティスの一環として、クラウドとの契約やサービス品質保証(SLA)を確認しようと考える人はあまりいないでしょう。SLAやクラウドサービス契約は、サービスの提供とインシデント発生時の償還請求を保証するものに過ぎません。

しかし利用規約、添付書類、付録には、セキュリティに影響を与える可能性のある多くのものが含まれています。契約は、クラウドサービスプロバイダーがデータに責任を負うことと、データを所有することの違いを意味します。

McAfee 2019 Cloud Adoption and Risk Reportによると、クラウドプロバイダーの62.7%は、顧客データが顧客によって所有されていると明記していません。これにより、あなたによりアップロードされたすべてのデータの所有権をプロバイダーが主張できる合法的なグレイエリアが生まれます。

データの所有者を確認し、サービスの利用を終了した場合のデータへの影響を確認してください。また、プロバイダーがセキュリティイベントやそれに対する応答についての可視性を提供する必要があるかどうかも明確にしてください。

契約の要素に不満がある場合は、交渉してみてください。交渉できないものがある場合は、同意することがビジネスにとって許容できるリスクかどうかを判断する必要があります。そうでない場合は、暗号化、監視、または代替プロバイダーを探すなどの方法で、リスク軽減の代替案を確保する必要があります。

ユーザーのトレーニング

ユーザーは、セキュアなクラウドコンピューティングにおける防御の最前線です。一人一人のセキュリティに関する行動や知識次第で、システムの保護を強化することにも、サイバー攻撃への扉を開くことにもなります。

ベストプラクティスは、システムにアクセスするすべてのユーザー(スタッフと利害関係者)に安全なクラウドにおける慣行を教示することです。マルウェアを特定する方法、フィッシングメールを見分ける方法、そして、安全でない行為に伴うリスクを理解してもらいましょう。

クラウドセキュリティの実装に直接関与する管理者などのより上級のユーザーについては、業界固有の研修を用意したり認定を受けさせるといった方法を検討してください。今回の記事の後半では、お勧めのクラウドセキュリティの認定やトレーニングをご紹介します。

ユーザーアクセスの制御

ポリシーを通したユーザーアクセスの厳格な制御の実装も、クラウドセキュリティのベストプラクティスに欠かせません。これによりクラウドサービスにアクセスしようとするユーザーをより確実に管理できます。

まずは「信頼ゼロ」から始めましょう。そしてユーザーに確実に必要なシステムとデータへのアクセスのみを許可し、それ以上のことはしないでください。ポリシー実装の際の複雑さを回避するために、選択したリソースへのアクセスのみを許可するよう分けられた個別のグループを作成します。そして、個々のユーザーごとにアクセスをカスタマイズするのではなく、ユーザーを該当するグループに追加しましょう。

ユーザーエンドポイントを保護する

クラウドセキュリティのベストプラクティスを構成するもう1つの要素として、ユーザーエンドポイントを保護することが挙げられます。大多数のユーザーは、ウェブブラウザを介してクラウドサービスにアクセスします。したがって、ユーザーのブラウザを最新の状態に保ち、あらゆる脅威から保護するために、高度なクライアント側のセキュリティを確保することが重要です。

エンドユーザーのデバイス保護のために、エンドポイントセキュリティソリューションの実装も検討しましょう。モバイルデバイスリモートワーキングの普及により、必須の施策だと言えます。ユーザーは、これまで以上に、会社が所有していないデバイスを介してクラウドサービスにアクセスする傾向にあります。

ファイアウォール、ウイルス対策、インターネットセキュリティツール、モバイルデバイスセキュリティ、侵入検知ツールを含んだソリューションが理想的です。

クラウドサービスの可視性を維持する

クラウドサービスの使用は、多様かつ一時的になり得ます。多くの組織が、さまざまなプロバイダーからの、そして、様々な地域で複数のクラウドサービスを使用しています。調査によると、クラウドリソースの平均的な生存時間は2時間とのことです。

この種の挙動は、クラウド環境に「盲点」をもたらします。それを目視できない状態で、当然、保護することもできません。

エコシステム全体の可視性を確実に提供するクラウドセキュリティソリューションを実装しましょう。こうすることで、単一のポータルから、すべてのリソース、プロジェクト、地域でのクラウドの使用状況を監視・保護できます。この可視性は、きめ細かなセキュリティポリシーを実装し、さまざまなリスクを軽減する上で便利になります。

暗号化を実装する

データの暗号化は、その場所に関係なくセキュリティのベストプラクティスであり、クラウドに移行するとなると必須事項です。クラウドサービスを使用すると、データをサードパーティのプラットフォームに保存し、ネットワークとクラウドサービス間でデータをやり取りするので、データをより大きなリスクにさらすことになります。

転送と保存の両方の時点におけるデータに最高レベルの暗号化を実装するようにしてください。データをクラウドにアップロードする前に、暗号化ソリューションの利用をご検討ください。独自の暗号化キーを使用してこれを完全に管理できるようにすることも重要です。

外部からのアクセスからデータを保護するために、クラウドプロバイダーがビルトインの暗号化サービスを提供する場合もあります。しかしこの場合には、プロバイダーが暗号化キーへアクセスできることになります。

Kinstaは完全暗号化アプローチを採用し、セキュアなWordPressホスティングソリューションにさらなる保護をプラスしています。FTP接続はサポートせず、暗号化したSFTP接続とSSH接続のみに対応しています。

強力なパスワードセキュリティポリシーを実装する

アクセスするサービスに関係なく、強力なパスワードセキュリティポリシーを持つことはベストプラクティスの一環だと言えるでしょう。可能な限り強力なポリシーの実装は、不正アクセスを防ぐための重要な要素です。

最低限の条件として、すべてのパスワードには、大文字1つ、小文字1つ、数字1つ、記号1つを含め、そして14文字以上にしましょう。加えて、ユーザーが90日ごとにパスワードを更新するように強制し、システムが直近24個のパスワードを記憶するように(そして、それ以外を使うように求める)設定しましょう。

このようなパスワードポリシーは、ユーザーが複数のデバイスにわたって単純なパスワードを作成することを防ぎ、ブルートフォース攻撃の大部分に打ち勝ちます。

セキュリティのベストプラクティスと保護をさらに強化するために、多要素認証も実装しましょう。身分認証の際には2つ以上の証拠の提出をユーザーに義務付けます。

Cloud Access Security Broker(CASB)を使用する

CASBは、クラウドセキュリティベストプラクティス実装のための中心的なツールになりつつあります。これは、ユーザーとクラウドサービスプロバイダーの間で機能するソフトウェアで、ユーザー側によるセキュリティの管理をクラウドにまで拡張します。

CASBは、クラウドエコシステムの可視性を確保、データセキュリティポリシーを適用、脅威の識別と保護を実装、そして、コンプライアンスを維持するための高度なクラウドセキュリティツールセットだと言えます。

CASBがどのように機能するかについては、この記事の後半をご覧ください。お勧めのCASBプロバイダー5選をご紹介しています。

クラウド利用者のためのチェックリスト10項目

クラウドに移行しサービスプロバイダーを選択する際に、考慮すべき最も重要な要素の1つがセキュリティです。選択したサービスプロバイダーに会社のデータを共有したり、保存を任せたりすることになります。

だからこそ、データが安全であるという確信を持ってから先に進む必要があります。責任共有から、プロバイダーのセキュリティ標準が完全であるかどうかまで、考慮すべき要素は無数にあります。これは、特にセキュリティの専門家でない人にとっては、困難なプロセスになります。

そこで、クラウドサービスプロバイダーを評価する際のセキュリティチェックリスト10項目をご紹介します。

1.転送・保存時のデータの保護

クラウドサービスに移行する際の、セキュリティの重要な要素は、ユーザー(エンドユーザー)とプロバイダーの間で転送されるデータの保護です。これは、あなたとプロバイダーの両方の責任です。データの傍受を防ぐためのネットワーク保護と、傍受された場合に攻撃者がデータを読み取るのを防ぐための暗号化が必要です。

送信・保存に際しデータを簡単に暗号化できるツールを提供しているサービスプロバイダーを選ぶようにしましょう。これにより、サービスプロバイダー内部でのデータの管理、そしてクラウドサービスプロバイダーとAPIが公開されている可能性のある他のサービスとの間のデータ転送の両方に対して、同じレベルの保護が適用されます。

2. アセットの保護

クラウドサービスプロバイダーを選択するときには、データが保存、処理、管理される物理的な場所を理解する必要があります。これは、GDPRのような政府や業界に関連した規制の遵守について特に重要です。

優れたプロバイダーは、アセットを確実に保護するために、データセンターで高度な物理的保護を確保し、不正アクセスからデータを保護します。また、リソースが再プロビジョニングや処理される前にデータアセットを確実に消去することで、リソースが悪用されるのを防ぎます。

3. 可視性と制御

セキュリティの重要な側面として、自分自身のデータを表示・制御する機能も欠かせません。優れたサービスプロバイダーは、データの場所とあなたの所在地に関係なく、データの完全なる可視性を提供し、誰がデータにアクセスしているかの確認を可能にします。

プロバイダーはアクティビティモニタリング機能を提供する必要があります。これにより、エコシステム全体の構成とセキュリティの変更を発見できるようになります。新規・既存ソリューションの統合サポートも同様です。

4. 信頼の置けるセキュリティマーケットプレイスとパートナーネットワーク

クラウドでのデプロイメントを保護する道のりは、1つのソリューションやパートナーでは完結しません。優れたクラウドサービスプロバイダーを利用していれば、マーケットプレイスを通じてさまざまなパートナーやソリューションを簡単に見つけ繋がることができます。

セキュリティ面で実績のある信頼できるパートナーが揃ったマーケットプレイスを誇るプロバイダーを選びましょう。ちなみにそのようなマーケットプレイスについては、ワンクリックデプロイメント機能があり、パブリック、プライベート、またはハイブリッドクラウドのいずれであっても、データのセキュリティを補完するセキュリティソリューションを提供していることも条件です。

5. 安全なユーザー管理

優れたクラウドサービスプロバイダーは、ユーザーの安全な管理を可能にするツールも提供しているものです。これにより、管理インターフェースや操作への不正アクセスを防止し、アプリケーション、データ、リソースの侵害を未然に回避することができます。

それぞれのユーザーを分離し、悪意のある(または侵害された)ユーザーが別のサービスやデータに影響を与えるのを防ぐセキュリティプロトコルを実装していることも不可欠です。

6. コンプライアンスとセキュリティの統合

クラウドサービスプロバイダーを検討する際、セキュリティとコンプライアンスをあわせて精査する必要があります。プロバイダーが、サードパーティによる検証済みのグローバルなコンプライアンス要件を満たしているか確認しましょう。クラウドセキュリティに関する業界のベストプラクティスに従い、理想的には認証を取得しているクラウドサービスプロバイダーを選びたいものです。

Cloud Security Allianceの「Security, Trust, and Assurance Registry (STAR)」プログラムがいい指標になります。また、HIPPA、PCI-DSS、GDPRが適用され得る、規制の厳しい業界で事業を行う場合は、業界固有の認証を持つプロバイダーを選ぶ必要もあります。

あなたのコンプライアンスの取り組みが費用対効果と効率の両方の面から高いレベルになるために、クラウドサービスプロバイダーからは、そのセキュリティコントロールをあなた独自のコンプライアンス・認証プログラムへと継承できるように確保してもらう必要があります。

7. アイデンティティと認証

クラウドプロバイダーは、サービスインターフェースへのアクセスが、承認・認証された個人のみに制限されるようにする必要があります。

ユーザー名とパスワード、2要素認証、TLSクライアント証明書、既存のID管理サービスプロバイダーとのIDフェデレーションといった認証機能が提供されているかどうか確認するようにしましょう。

また、専用回線、企業、コミュニティネットワークへのアクセスを制限する機能も必要です。優れたプロバイダーは、傍受を避けるために、HTTPSなどの安全なチャネルを通じてのみ認証を配信するものです。

認証方法が弱いサービスは避けてください。システムが不正アクセスにさらされ、データ盗難、サービス変更、またはサービス拒否が発生する危険性があります。また、メール、HTTP、または電話による認証も避けてください。

これらは、ソーシャルエンジニアリング、そしてIDや認証資格情報の傍受に対して非常に脆弱です。

8. 運用上のセキュリティ

クラウドサービス検討時には、強力な運用上のセキュリティを実装し攻撃を検出・防止するプロバイダーを選びたいものです。これは具体的には以下の4つの柱を網羅する必要があります。

構成と変更の管理

構成や依存関係など、サービスを構成するアセットに透明性を確保するプロバイダーが必要です。セキュリティに影響を与える可能性のあるサービスの変更を通知し、脆弱性が発生しないように努めるのがプロバイダーの義務です。

脆弱性管理

サービスに対する新しい脅威を検出し軽減するための脆弱性管理プロセスを持つプロバイダーを選びましょう。脅威、その重大性、解決策を含む計画されている軽減のタイムラインを常に把握しておく必要があります。

保護状況の監視

価値あるプロバイダーは、サービスの攻撃、誤用、誤動作を特定するための高度な監視ツールを備えています。それがあってはじめて、あらゆるインシデントに対処するために迅速かつ決定的な行動を取り、あなたのような利用者に対して結果を通知することができるのです。

Kinstaは、WordPressホスティングソリューションにおける最高の運用上のセキュリティ標準を設けています。これには、最新のセキュリティアップデートの適用、継続的な稼働時間のモニタリング、自動バックアップ、あらゆる攻撃を阻止するための受動的・能動的策が含まれます。

つまり、あなたのサイトが24時間年中無休で監視・保護されるということです。

インシデント管理

優秀なプロバイダーたるもの、 一般的な攻撃に対して、前もってインシデント管理プロセスを用意しているものです。あらゆる攻撃に応じて、そのプロセスを実施する準備ができている状態を意味します。

どのようなインシデントも報告できる明確な連絡方法(許容範囲の速度と形式)も確保されるべきでしょう。

9. 人事セキュリティ

信頼できる担当者がいるクラウドサービスプロバイダーが必要になります(システムとデータにアクセスできるため)。選択したクラウドサービスプロバイダーに、厳格で透明性の高いセキュリティスクリーニングプロセスが用意されているか確認しましょう。

職員の身元確認、働く権利の精査、時効無しの犯罪歴があるかどうかのチェック…といった手続きが徹底されていてほしいものです。理想的には、イギリスのBS 7858:2019アメリカのフォームI-9など、各地で確立されたスクリーニング基準に準拠することが期待されます。

スクリーニングに加え、担当者が自らのセキュリティ上の責任を理解し、定期的なトレーニングを受けることを保証するサービスプロバイダーが必要になります。また、サービスにアクセスし影響を与える可能性のあるユーザーの数を最小限に抑えるポリシーも必要です。

10. サービスの安全な使用

最先端のセキュリティを備えたクラウドプロバイダーを選択したとしても、サービスの使用方法に問題があれば重大な違反へとつながる可能性があります。サービスを使用する際には、セキュリティの責任がどこにあるかを理解することが重要です。

責任のレベルは、あなたのクラウドデプロイメントモデル、サービスの使用方法、そして、個々のサービスにおけるビルトインの機能により変わります。

たとえば、IaaSでは、あなたに重大なセキュリティ上の責任がのしかかります。コンピューティングインスタンスをデプロイする場合、最新のオペレーティングシステムをインストールし、セキュリティを構成し、継続的なパッチとメンテナンスを実行する責任はユーザーにあります。同じことは、そのインスタンスにデプロイするアプリケーションにも当てはまります。

したがって、選択したサービスのセキュリティ要件と、利用可能なセキュリティ構成オプションを必ず理解してください。また、選択したサービスを安全に使用できるようにスタッフを教育することも重要です。

クラウドセキュリティアライアンスとは?

クラウドコンピューティング業界は異種市場です。企業がガイダンスを求めることのできる中央統治機関はありません。特にクラウドセキュリティのような課題に取り組むときには、イライラすることがあります。

ただありがたいことに、統治機関の代わりに、業界のサポートに専念する組織がいくつかあります。その中の1つがクラウドセキュリティアライアンスです。

クラウドセキュリティアライアンスのロゴ
クラウドセキュリティアライアンスのロゴ

クラウドセキュリティアライアンス(CSA)は、安全なクラウドコンピューティング環境維持のためのベストプラクティスの開発と認知向上に取り組む非営利団体です。

これは、教育、研究、イベント、製品の形で、業界におけるクラウド固有のセキュリティガイダンスを提供する会員組織です。このガイダンスは、業界の実務家、協会、政府、CSAの個人および企業メンバーの専門知識を組み合わせた集大成だと言えます。

クラウドセキュリティアライアンスについて理解を深めるために、これが業界をどのようにサポートしているのか詳しく見てみましょう。

メンバーシップ

CSAはメンバーの基盤の上に構築されています。CSAにメンバーとして加入すると、個人、企業、ソリューションプロバイダーのいずれであるかに応じて、さまざまなメリットが享受できます。

具体的には、専門知識を持った人々との繋がり、国際標準化評議会への参加、トレーニングの割引、限定イベントやウェビナーへの参加に分類されます。

保証

CSAは、有名なクラウドセキュリティ認定プログラム「Security, Trust & Assurance Registry (STAR)」を開発しました。

STARは、自己評価、サードパーティの監査、標準に照らした継続的な監視を通じて透明性を提供するプロバイダー保証プログラムです。このプログラムは3つのレベルで構成され、保有者によるクラウドサービスのセキュリティを検証しながら、ベストプラクティスの遵守を証明します。

学習

CSAは、業界におけるクラウドセキュリティの継続的な改善をサポートするために、豊富な教育サービスを提供しています。CSAによるさまざまなクラウドセキュリティ認証を取得、CSAのナレッジセンターを利用し、定期的に開催されるウェビナーやイベントに参加できます。

研究

CSAは継続的な調査を通じて、クラウドセキュリティのベストプラクティスを開発・革新しながら、業界をサポートします。これは、現在クラウドセキュリティの30の枠組みに広がるワーキンググループにより推進されています。

最先端のものでは、DevSecOps、モノのインターネット、人工知能、ブロックチェーンのワーキンググループが作られています。CSAは継続的に研究結果を無料で公開しており、変化を続けるクラウドセキュリティ業界参入者の面々に最新の情報を提供しています。

コミュニティ

CSAは、クラウドセキュリティコミュニティの維持と開発からも業界をサポートしています。それが、クラウドセキュリティ業界全体のつながり、知識共有、革新を可能にするコミュニティです。

CSAブログ
CSAブログ

この成長を続けるコミュニティには豊富な幅があり、これに参加することで各地域の専門家やCSA関係者とつながり、業界最高レベルの人々から専門知識が吸収できます。 CSAブログもあり、CSAからの助言を実践することに熱意を注ぐ多くのファンを誇ります。

Kaspersky Security Cloudとは?

クラウドのセキュリティについて話すとき、往往にして、企業に焦点を当てることになり、個々の消費者が見落とされがちです。

個人的な用途(写真、 ファイル、習慣管理など)でクラウドサービスを利用している場合であっても、データのセキュリティを真剣に考える必要があります。カスペルスキーの新しい適応型クラウドベースセキュリティソリューションであるKaspersky Security Cloudをご紹介します。

Kaspersky Security Cloud
Kaspersky Security Cloud

Kaspersky Labウイルス対策ソフトウェアの最高の機能とアプリケーションを組み合わせることで、ユーザーのデバイス上でデジタル脅威に対する守りを固めます。

このプラットフォームは、企業ではなく個人ユーザー向けに設計されています。

Kaspersky Security Cloudは、デバイスをマルウェアやウイルスから保護、その使用方法を最適化する機能を追加して、常に最大限の守りを確保します。ウイルス対策、ランサムウェア対策、モバイルセキュリティ、 パスワード管理、VPN、ペアレンタルコントロールなど、さまざまなプライバシー機能が組み込まれています。

このプラットフォームは、Windows、macOS、Android、iOSで利用できます。Kaspersky Security CloudのFamilyプランでは、最大20台のデバイスを保護できます。

Kaspersky Security Cloudの主な機能

Kaspersky Security Cloudの理解を深めるために、主な機能をご紹介します。4つのセクションに分類できます。

スキャン

Kaspersky Security Cloudは、セキュリティソリューションに欠かせない重要な機能として、デバイスをスキャンして、見つかったマルウェアやウイルスを削除できます。個々のファイル、クイックスキャン、システム全体、スケジュールなど、さまざまなスキャンオプションが利用できます。

プライバシー

ビルトインの機能を使用して、オンラインアカウントが侵害されていないかどうか確認、ウェブカメラへのアクセスやウェブサイトのトラフィックをブロックし、ブラウザ利用状況が監視されないようにすることができます。

Kaspersky Secure ConnectionとKaspersky Password Managerを追加ダウンロードしてプライバシーを拡張することもできます。Secure Connectionは、送受信するすべてのデータを暗号化すると同時に、場所を非表示にします。一方、Password Managerは、パスワードの保存と保護に使えます。

ホームネットワーク

Home Networkでは、ホームネットワークに接続されているすべてのデバイスを表示できます。さらにKaspersky Security Cloudにより保護されているものの確認も可能。この機能により、新しいデバイスが接続されたときに通知を受けたり、不明なデバイスをブロックしたりできます。

HDヘルス

便利でありながらシンプルなHD Health機能により、ハードドライブディスクの状態と温度が評価できます。エラー率、電源サイクル、電源オンの時間、データ読み取り合計、データ書き込み合計に関する情報も表示されます。

Kaspersky Security Cloudは、クラウドサービスの導入により新しいセキュリティソリューションのニーズが生まれた好例です。

次の項目では、Cloud Access Security Brokersが登場したエンタープライズにおける同様の例を見ていきます。

Cloud Access Security Broker(CASB)とは?

Cloud Access Security Broker(CASB)とは、あなた、あなたのクラウドサービスを利用する人、そしてクラウドサービスプロバイダーの間に存在するソフトウェアです。CASBは、セキュリティの制御をオンプレミスインフラストラクチャからクラウドへと拡張し、クラウドアプリケーションのセキュリティ、コンプライアンス、ガバナンスポリシーの実施を支援します。通常、オンプレミスに設けられるか、クラウドでホストされます。

Cloud Access Security Brokerモデル
Cloud Access Security Brokerモデル(画像参照元:ガートナー)

CASBは、高いレベルのクラウドセキュリティリスクに対する守りをもたらし、リスクの高いイベントの継続的な監視や軽減を支援します。これは、あなたの組織によるセキュリティポリシーを使用して、オンプレミス環境とクラウド環境の間で移動するデータを保護することによって実施されます。

CASBは、マルウェア回避によりサイバー攻撃からユーザーを保護し、エンドツーエンドの暗号化を使用してデータを守り、外部ユーザーによるコンテンツ解読を防ぎます。

CASBの仕組み

CASBは、 リバースプロキシ、フォワードプロキシ、または「APIモード」の3つの方法でデプロイできます。それぞれに独自の長所と短所があり、多くの業界の専門家が複数モードでのデプロイを推奨しています。

CASBのさまざまなデプロイメントのモードを詳しく見てみましょう。

リバースプロキシ

リバースプロキシはクラウドサービス側に位置し、ネットワークトラフィックのパス上でインラインセキュリティを担います。リバースプロキシブローカーの接続はインターネットからアプリケーションサーバーに実行され、その背後にある元のソースからの情報は隠されます。

フォワードプロキシ

フォワードプロキシはクラアント側に位置します。CASBにより、複数のクラウドプラットフォームに対するトラフィックにプロキシが利用されます。フォワードプロキシの接続は、ファイアウォールの背後で守られているあなたの側から実行されます。リバースプロキシと同様に、インラインセキュリティ機能も備えています。

APIモード

プロキシの場合とは異なり、アプリケーションプログラムインターフェース(API)を使用すると、CASBとクラウドサービスを直接統合できます。これにより、管理されたトラフィックと管理されていないトラフィックの両方を保護できます。

クラウドサービスプロバイダーのAPI機能に応じて、アクティビティ、コンテンツを表示し、適切なアクションを実行できます。

CASBの機能の柱

CASBは、次の4つの柱となる機能を提供します。

1. 可視性

クラウドアプリケーションがIT部門の視界の外にある場合、企業のガバナンス・リスク・コンプライアンスプロセスにより制御されない情報が介在することになります。

CASBは、すべてのクラウドアプリケーションとその使用状況を可視化します。これにはプラットフォームを使用しているユーザー、部門、場所、使用されているデバイスに関する重要な情報が含まれます。

2. データセキュリティ

クラウドプラットフォームを使用すると、誤って間違った人とデータを共有してしまうリスクが高まります。クラウドストレージを使用している場合、一般的なデータ損失防止(DLP)ツールでは、データにアクセスしているユーザーを追跡または制御できません。

CASBは、暗号化、トークン化、アクセス制御、情報権利管理を組み合わせ、クラウドプラットフォーム内でのデータ中心のセキュリティを確保することに貢献します。

3. 脅威からの保護

保護の最も難しい分野の1つが、あなた自身のスタッフです。組織のコアシステムへのアクセスを取り消されたはずの以前の社員でさえ、ビジネスに不可欠な情報が保管されたクラウドアプリにアクセスできる場合があります。

CASBを使用すると、クラウドインフラストラクチャ内で悪意のある(または不注意による)内部の脅威、特権を持つユーザー、そして侵害されたアカウントの検出や、それらへの対応が行えます。

4. コンプライアンス

データをクラウドに移動するときは、データのセキュリティとプライバシーについて、業界や政府の規制に準拠する必要がありますが、CASBがこれを担ってくれます。クラウド内の機密データにDLPポリシーを適用し、SOXやHIPAAなどの規制への準拠を支えます。

CASBは、PCI DSS、NIST、CJIS、MAS、ISO 27001などの主要な規制要件と、あなたのクラウドセキュリティ構成を比較する際にも役立ちます。

2020年にお勧めのクラウドアクセスセキュリティブローカー5選

クラウドへのサービスの大規模な移行と、データの漏えいや損失のリスクを背景としたクラウドセキュリティ実装の必要性が相まり、CASB市場は爆発的に成長しています。

CASBは次世代テクノロジーとして、クラウドセキュリティ戦略の重要な要素となっています。ガートナーの「Magic Quadrant for Cloud Access Brokers」レポートによると、大企業の5人に1人はCASBを使用してクラウドサービスを保護または管理しているとのこと。

— ガートナー2019 Cloud Access Security Broker (CASB) Magic Quadrant
— ガートナー2019 Cloud Access Security Broker (CASB) Magic Quadrant

ガートナーは例の「マジッククアドラント」を使用してCASB市場の5人のリーダーを特定しています。

McAfee

McAfeeは、2018年1月に、Skyhigh Networksの買収というかたちでCASB市場に参入しました。現在、MVISION Cloudとして知られるこのプラットフォームは、クラウドサービスの4つのCASBの柱すべてを網羅しています。

このプラットフォームは、包括的なDLPエンジンを提供し、構造化データ・非構造化データの暗号化やトークン化などの高度な制御を可能にします。CASBは、リバースプロキシモード機能とフォワードプロキシを使用してAPIのインスペクションのためにデプロイできます。

McAfeeはまた、オンプレミス仮想アプリを、これを必要とするユーザー向けに利用できるようにしています。

Microsoft

Microsoftの提供するCASBはMicrosoft Cloud Application Securityというものです。このプラットフォームは、リバースプロキシやAPIコネクタを含む複数のデプロイメントモードをサポートしています。Microsoftは、可視性の強化、分析、データ制御、革新的な自動化機能を備えたCASBソリューションの開発を続けています。

また、Microsoft Cloud Application Securityは、Azure Active DirectoryやMicrosoft Defender Advanced Threat Protectionなど拡大を続けるセキュリティ・IDソリューションポートフォリオとも標準で統合されます。

このようにして、Microsoftは、ワンクリックでのデプロイメントができる、Microsoftプラットフォーム全体に完全に統合されたソリューションを顧客に提供しています。

Netskope

CASBソリューションプロバイダーを単に買収するかたちの多くの企業とは異なり、Netskopeは独立した企業として事業を展開しています。Netskopeは、アプリケーションのディスカバリー(可視化)とSaaSのセキュリティ評価において優れていることで有名です。

Netskopeは、公開API(そして非公開APIのインラインでのデコード)を通し何千ものクラウドサービスをサポートしています。CASBはDLP(情報漏洩対策)を提供し、脅威インテリジェンス、静的・動的分析、機械学習ベースの異常検出を使用してリアルタイムで脅威を識別します。

Symantec

SymantecはCloudSOCというCASBを提供しています。2016年にBlue Coat SystemsのPerspecsysとElastica製品の買収と統合によって強化されました。

CloudSOCは、自動データ分類を用いたDLPと、ネイティブクラウドAPIを使用したマルチモード監視、リアルタイムのトラフィック処理、そして複数のデータフィードからの入力に対応しています。高度なユーザー行動分析(UBA)を使用すると、組織内外からの脅威を自動的に識別して無効化できます。

Bitglass

Bitglass Cloud Securityは次世代CASBと呼ばれ、あらゆるアプリ、デバイス、ネットワークと統合するように設計されています。

プラットフォームはクラウドからネイティブに実行され、エージェントやプロファイルを使用せずにモバイルデバイス上の企業データを保護する唯一のプロバイダーとして知られています。Bitglassは、信頼度の評価、信頼レベル、保管時の暗号化に焦点を当てたゼロデイアプローチを導入することにより、注目を集めました。

2020年お勧めのクラウドセキュリティ認定10選

クラウドプラットフォームを正確に保護するには、高度なクラウドセキュリティのスキルと知識が必要になります。また、選択したクラウドプロバイダー内でアクセス、ネットワークセキュリティを構成し、データの保護を確保できるように、プラットフォーム固有のスキルを習得する必要もあります。

幸いなことに、クラウドトレーニング・認定市場は進化を続け、多くのソリューションを日々生み出しています。さまざまなプラットフォームに固有の、そして、ベンダーに関係のない中立的な認定があり、必要なスキルの開発と証明に活用できます。基礎知識を獲得したい場合も、特定の職務に合わせてスキルを高めたい場合も、認定資格を利用するのが便利です。

実際にどれを選べばいいのかという指標として、2020年にお勧めの10のクラウドセキュリティ認定をご紹介します。

ここにある認定の1つを取得するだけで、クラウド導入の安全性が向上するだけでなく、仕事探しの際に有利に働き、さらに給与のアップにも一役買うかもしれません。

(ISC)2 – Certified Cloud Security Professional (CCSP)

CCSPは、IT・情報セキュリティ業界従事者を対象とした、世界的に認められたクラウドセキュリティ認定です。

CCSPを取得すると、クラウド内のデータ、アプリケーション、インフラストラクチャを設計、管理、保護するための高度な技術スキルと知識があることが証明できます。これは、(ISC)2のサイバーセキュリティ専門家が開発したベストプラクティス、手順、ポリシーを基にしています。CCSPは、あなたがエンタープライズアーキテクト、システムエンジニア、セキュリティ管理者、アーキテクト、エンジニア、またはマネージャーである場合に最適です。

CCSP試験のトレーニングや受験の前に、いくつかの経験面での厳しい要件を満たす必要があります。IT業界での5年間のフルタイムの職歴が必要になります。そして、これには、サイバーセキュリティ業界での3年間の経験、CCSP CBKの6つの分類のいずれかでの1年間の経験が含まれます。これと同レベルに高度な「世界一のサイバーセキュリティ認定」と銘打つ(ISC)²のCISSP認定資格を保持している場合には経験面での要件をパスすることができます。

クラウドセキュリティアライアンス–Certificate of Cloud Security Knowledge (CCSK)

CCSKは、クラウドセキュリティ界で広く認識されているエントリーレベルの資格です。業界のベストプラクティスを定義し認識を高めることで、安全なクラウドコンピューティング環境の確保を支援するメンバー組織であるクラウドセキュリティアライアンスにより作成されました。

CCSKを取得すると、クラウド内のデータを保護するために必要な基本的なスキルと知識を保有していることが証明されます。技術的なセキュリティコントロールの構成からクラウドガバナンスまで、さまざまな役割に応じたセキュリティのベストプラクティスの土台を学びます。

CCSK取得者は(ISC)²のより高度なCCSP認定の前提条件も満たすことになるので、さらに上を目指したい人は挑戦してみてもいいでしょう。

AWS 認定セキュリティ – 専門知識

AWS 認定セキュリティ – 専門知識は、AWSクラウドプラットフォームでのキャリア開発を目指す人に最適です。

AWS認定セキュリティを取得することで、データ分類、暗号化メソッド、安全なインターネットプロトコル、そして、それらを実装するために必要なAWSメカニズムに関するスキルがあることを証明できます。

認定取得に向け、 さまざまな学習経路から選択して、AWSでのセキュリティの基礎、アーキテクチャ、セキュリティエンジニアリング全体にわたる知識とスキルを習得できます。そしてゴールに到着する頃には、AWSクラウドでアプリケーションを安全に実行するためのスキルと自信を養うことができるという流れです。

これを始めるには、まずセキュリティに関連する仕事の役割があり、AWSワークロード保護の2年以上の実務経験が必要になります。

Microsoft Certified: Azure Security Engineer Associate

最近、Microsoftは認定の道筋を役割ベースに変更しました。ここで提供されているいずれかの認定を取得することで、特定の職務を遂行するために必要なスキルと知識を身につけていることが証明されます。

Azure Security Engineer Associate認定を取得すると、Azure Cloud Platformのセキュリティエンジニアになるスキルがあることが証明できます。具体的には、クラウド環境でのデータ、アプリケーション、ネットワークの保護、セキュリティ制御、脅威に対する保護の実装、IDとアクセスの管理といった能力です。

AZ-500:Microsoft Azure Security Technologiesの試験を受験するのに必要なスキル面での要件はありません。

Google CloudのProfessional Cloud Security Engineer 認定資格

GoogleのProfessional Cloud Security Engineer資格を取得すると、Google Cloud Platformで安全なインフラストラクチャを設計、開発、実装、管理できることが証明できます。セキュリティのベストプラクティスと業界の要件に合わせてGoogleのセキュリティテクノロジーを使用するスキルが焦点になります。

Professional Cloud Security Engineer認定を取得するには、Google Cloud Platform内でアクセス、ネットワークセキュリティを構成し、データ保護を確保する方法を学ぶ必要があります。また、コンプライアンスと管理の行き届いた運用を確保するための知識を取得することも必須です。

AzureやAWSの認定資格と同様に、この資格は、Google Cloud Platformに固有のクラウドセキュリティスキルを開発したい人にうってつけです。業界で名のあるクラウドプロバイダーによる認定でキャリアを前進させましょう。

Alibaba ACA Cloud Security Certification

このACA Cloud Security認定は、Alibabaの提供する認定の道筋の第一段階として位置づけられています。この認定を取得すると、Alibabaクラウドデプロイメントにクラウドセキュリティの原則を適用するための基礎知識があることが証明されます。

Linuxとネットワーキングオペレーションに関する基本的なスキルを習得します。また、Alibaba Cloud Platform内のホスティング、アプリケーション、ネットワーク、データセキュリティソリューションについても学びます。Server Guard、WAF、Anit-DDoS basic、Proなど、Alibabaの主要なセキュリティ製品もいくつか扱うことになります。

アソシエイトレベルの認定を取得したら、Alibaba ACP Cloud Security認定の取得へと進むこともできます。

Alibaba ACP Cloud Security認定

ACP Cloud Security認定は、Alibabaクラウドセキュリティ認定の道筋の第二段階にあたります。Alibaba Cloudセキュリティ製品を使用するアーキテクト、開発者、O&Mプロフェッショナルを対象とした、より高度な認定です。

ACA Cloud Security認定で得られた基礎スキルと知識に基づいて、セキュリティ、監視、管理におけるAlibaba Cloudのコア製品について学びます。

プロフェッショナルレベルをクリアすると、Alibaba ACE Cloud Security認定を取得できます。ちなみにエキスパートレベルの認定はまだ開発中であり、まもなくリリースされる予定です。

Cloud Credential CouncilのProfessional Cloud Security Manager Certification (PCS)

CCCのProfessional Cloud Security Manager認定資格は、Cloud Credential Councilによる高度な認定です。ガバナンスとリスクの専門家、監査員コンプライアンスの専門家、またはクラウドコンピューティングの専門家である場合に最適です。

セキュリティとガバナンスのためにクラウド環境でベストプラクティスを適用するためのスキルと知識を学ぶことになります。クラウドサービスの管理、ガバナンス、戦略などの主要なトピックが網羅されています。セキュアな環境でクラウドサービスを設計、デプロイ、移行する方法についても学習します。

この認定資格は高度であるため、EXIN提供のCCC Cloud Technology AssociateCCC Cloud Virtualization Essentialsをすでに持っている方にお勧めします。

Oracle Cloud Platform Identity and Security Management 2019 Certified Associate

Oracleのクラウドセキュリティ認定のタイトルを見ればその中身がすぐにわかります。Oracle Cloud PlatformでのID・セキュリティ管理について学びます。クラウドソリューションの実装に関する専門知識を形として示したいセキュリティの専門家にうってつけです。

認定への準備として、Oracle Cloud Platformのコアとなるセキュリティ機能を学ぶことになります。Oracle Identity Cloud Service、Oracle CASB Cloud Service、サービスのアーキテクチャとデプロイメント、Identity Security Operations Center Frameworkを実装するための知識とスキルを構築します。

1Z0-1070試験に合格すると、世界的に高い認知度を誇るOracle Certified Associate(OCA)として認定されます。サービスの構成など、Oracle Cloud Securityポートフォリオを通してあなたのスキルが証明できます。これに挑戦するには、管理者としてのクラウドセキュリティ実装に関する最新かつ実践的な経験が必要になります。

SANS SEC524: Cloud Security and Risk Fundamentals

こちらのSEC524: Cloud Security and Risk Fundamentalsはコースであり、認定とは毛色が異なります。ただし、ここでご紹介している他の認定にはない重要なスキルと知識が習得できるので、これも含めることにしました。

重要な点として、さまざまなクラウドプロバイダーのセキュリティを評価する方法を学ぶことができます。クラウドコンピューティング配信モデル(SaaS、PaaS、IaaS)とそれらに固有のセキュリティ要件が網羅されています。パブリック、プライベート、またはハイブリッドクラウドでの運用時のセキュリティに関する追加の事項も学習できます。

コースを完了すると、さまざまな主力となるスキルが身に付きます。クラウドコントラクトを評価し、セキュリティアーキテクチャ、ツール、プロセスをクラウド環境での使用のために適応し、クラウドセットアップの脆弱性評価を実行する方法が身につきます。

まとめ

クラウドに移行する際には、最初から包括的なクラウドセキュリティ戦略を実装する準備が欠かせません。まず、適切なクラウドサービスプロバイダーを選び、そして適切なツール、プロセス、ポリシー、ベストプラクティスを組み合わせた戦略を実装しましょうしましょう。

あなたが自分に与えられたセキュリティ上の責任を理解し、コンプライアンスに焦点を当てることが基本です。

クラウドセキュリティでは、サイバー犯罪に対する防御の最も重要かつ見落とされがちな側面の1つに、社員やクラウドプロバイダーのスタッフがあります。

また、クラウドコンピューティングは、オンプレミスでサービスをデプロイするよりも安全であるという事実を忘れてはなりません。実際、多くのクラウドプロバイダーは、他では利用できない高度なセキュリティハードウェアやソフトウェアを誇ります。

適切なプロバイダーを選択することで、クラウドコンピューティングによってもたらされる内容に関係なく、セキュリティ全体を向上し、リスクを軽減することができます。

Edward Jones

8年の業界経験を持つテクノロジーライター。Microsoft、IBM、Entrepreneurなどの大手出版社で300本以上の記事を執筆。