現在主流となったクラウドコンピューティングが市場に初めて現れた当初(Amazonが2006年にElastic Compute Cloud製品をリリース)、多くの組織は、重要なデータやプロセスを、つかみどころのない名前が付けられた革新技術に委ねることを躊躇していました。
しかし、時代は変わりました。現在、組織の約96%がクラウドコンピューティングを利用しています。その効率性、拡張性、柔軟性、モビリティ、災害復旧力、セキュリティなどのさまざまなメリットを享受しようと、80%以上はマルチクラウド環境を導入しています。
組織がさらに多くのコンピューティングインフラストラクチャーをクラウド環境に移行するなか、企業は主にAmazon Web Services、Microsoft Azure、Google Cloud Platformのビッグ3をプロバイダーとして採用しています。クラウドコンピューティングプロバイダーを選択する際の最大の懸念は、もちろんセキュリティです。
ある意味「クラウド」は、次を含む最高レベルの物理的保護機能を持つ、強固に防備されたデータセンターを象徴するものです。
- 2段階認証システム
- 車両通行遮断機
- 高解像度カメラ
- レーザービーム侵入検知システム
- 虹彩スキャナー
- 電子アクセスカード
つまり、施設自体が非常に強固な物理的安全性を備えています。問題は、仮想クラウドセキュリティの面で、Amazon(AWS)、Azure、Google(GCP)を比較した場合、どうなのかということです。
クラウドセキュリティを詳しく知る
当初は、先端技術に依存しがちな企業ですらクラウドへの移行に躊躇していたにもかかわらず、現在のクラウドコンピューティング市場は急拡大しています。業界アナリストのCanalys.comによる2018年第4四半期の統計によると、市場リーダーは次のとおりです。
- Amazon Web Services — 市場シェア32.3%(73億ドル相当)
- Microsoft Azure — 市場シェア16.5%(37億ドル相当)
- Google Cloud — 市場シェア9.5%(22億ドル相当)
クラウドベースのクラウドコンサルティングおよびアジャイルなソフトウェア開発サービス会社「Zymr」の創設者兼CEOであるHaresh Kumbhani氏は、クラウドのセキュリティに関して、考慮すべき3つの重要な側面があるとしています。それらは、
- 物理的なセキュリティ:地理的場所における物理的な資産の保護など
- インフラストラクチャーのセキュリティ:セキュリティパッチの速やかな更新やポート上の異常なふるまいのスキャンを徹底するなど
- データおよびアクセスのセキュリティ:データの暗号化、ユーザー権限の制御など
ただし、クラウドプロバイダーは、3番目の側面であるデータおよびアクセスのセキュリティについてはほとんど制御できません。一般的に、アプリケーションレベルのセキュリティは、ユーザーの責任範囲とされています。
「侵害の約80%は、この3番目のセキュリティがあまり守られないために発生します」と、Kumbhani氏は主張しています。同氏は、このようなリスクを軽減するために、クライアントがデータとデータベースを暗号化し、ユーザーの権限が正しいことを確認するとともに、脅威のシナリオを監視するサイバーセキュリティスキャナーなどの機能を採用することを推奨しています。
クラウドユーザーがセキュリティコンポーネントに対して相当の責任を負うという考え方が、責任共有モデルです。Tripwireのブログ記事(『The Cloud’s Shared Responsibility Model Explained』)では、クラウドのセキュリティ(クラウドサービスプロバイダーの責任範囲)と、クラウド内のセキュリティ(ユーザーの責任範囲)とを区別しています。
この記事の執筆者は次のように述べています。「セキュリティ、ガバナンス、コンプライアンスの要件を継続的に満たすようにすることは顧客の義務です。たとえば、クラウドサービスプロバイダーは、ブルートフォース攻撃によるログイン試行から保護することができるかもしれませんが、従業員がすべてのクラウドサービスで一意かつ安全なパスワードを使用するよう徹底させて、アカウント侵害のリスクを最小限に抑えることは顧客側の責任です。」
AWS vs. Azure vs. Google Cloud:
セキュリティエキスパートによる比較
DisruptOpsの創設者兼プロダクトVPであり、Securosisのアナリスト兼CEOであるRich Mogull氏は、クラウドセキュリティの観点から、『The Security Pro’s Quick Cloud Comparison: AWS, Azure or GCP?』という記事で、3大プロバイダーのセキュリティを分析しています。
AWSは最も古くから存在し、最も成熟した重要なクラウドプロバイダーです。そのことは、良いことでもあり、悪いことでもあります。なぜならばAWSのエンタープライズレベルのオプションは、基本的に基盤となるサービスを元に当座しのぎで作られたもので、現代のクラウド展開を見越して構築されたものではないからです。…
AWSの最大の利点は、優位性のあるプロバイダーとして、多くの知識とツールを持っていることです。そのため、簡単に回答を得たり、支援を受けたり、サポートされているツールを見つけたりすることができます。このことは、プラットフォームの成熟性や機能に増して重要なことです。また、AWSは、セキュアな設定をデフォルト化している点でなかなか優れています。たとえば、インスタンスをVPC(仮想ネットワーク)にデプロイする際には、ネットワークアクセスの制御が適切に行われます。…
「堅牢なAPIアクティビティモニタリング機能から、基本的な脅威インテリジェンス(Guard Duty)、WAF、DLP(Macie)、脆弱性評価(Inspector)、自動化のためのセキュリティイベントトリガーに至るまで、ほとんどの中核的なセキュリティ機能が提供されています。… AWSの非常に優れたセキュリティ機能のなかでも、セキュリティグループ(ファイアウォール)と詳細なIAM(アイデンティティ&アクセス管理)の実装は特に秀でています。」
Mogull氏は、AWSが追加のセキュリティの「分離」に重点を置いているために、「エンタープライズ規模の環境の管理を必要以上に難しくしており」、大規模環境においてユーザーがIAMを管理しにくくなっていると分析しています。「このような制限はあるものの、AWSにはセキュリティ上の問題が少なく、クラウドサービスを始めるのに最も適したサービスであるといえるでしょう。」と、Mogull氏は結論付けています。
「Azureの一貫性の欠如と、質の低いドキュメントには、イライラさせられることがあります。また、多くのサービスでは、安全性の低い設定がデフォルトで定義されています。たとえば、新しい仮想ネットワークと、新しい仮想マシンを作成するとき、すべてのポートとプロトコルはオープンに設定されます。AWSとGCPでは、デフォルトでは「拒否」の設定ですが、Azureの場合はデフォルトが「許可」になっています。
Azureにも、企業にとって重要な利点がいくつかあります。Azure Active Directoryは、認証とアクセス許可の管理における唯一の真の情報源です。各アカウントに対して、フェデレーション、ユーザー、アクセス権を構成する必要があるAWSとは異なり、Azureではすべてを単一のディレクトリから管理できます。これには良い面と悪い面があります。管理は簡単で一貫性がありますが、環境(サブスクリプション)を互いに分離したり保護しにくくなります。…
Azureには、他にも、エンタープライズユーザーにとって特に魅力的な主要機能が2つあります。
- アクティビティログは、デフォルトで、すべてのリージョンのテナント全体(組織)のコンソールおよびAPIアクティビティをカバーします。…
- Azure Security Centerもまた、(適切なライセンスを適用して)テナント全体を対象としており、ローカルチームが独自のアラートを管理できるように、サブスクリプションレベルのアクセスを許可するようにスコープを設定できます。これが、AWS Security Hubで構築しようとしている環境です。しかし、ASCでは、透明性が欠如し、評価機能に制限があるために、ストレスを感じることがあります。重要なのは、ASCが得意なことは何か、及第点なのは何か(たとえば、一部の脅威スキャンは1日1回しか行えない)こと、また不得手なことは何か(たとえば、コンプライアンス評価には奇妙なギャップがあること)を理解することです。
Azureにはまた、一貫性や可用性の面に加え、ドキュメントの問題もあります。… Azureでセキュリティは確保できますが、採用時には是非、慎重に時間をかけて、あらゆるテストを行ってください。
GCPは、未熟な面と成熟した面の両方持ち合わせています。Googleの長期にわたる素晴らしいエンジニアリングとグローバルオペレーションの技術に基づいて構築されたGCPは、非常に優秀です。
Azureと同様に、GCPは、数年前に追加されたAWSの機能と比較して、最初から多くの機能が計画されていたため、高度に集中化されています。アカウント内では、サービスを接続する箇所を除き、プロジェクトは互いに分離されています。GCPは全体的にAWSほど成熟していませんが、一部のサービス(特にコンテナ管理とAI)では業界のリーダーです。
GCPのセキュリティの水準を簡単に表現するならば、AWSとAzureの間ということになるでしょう。GCPでは組織全体のロギングが可能ですが、その対応範囲は完全ではありません。GCPのIAMは緻密で、容易な一元管理が可能です。しかし、カスタムポリシーに関する一部の機能は、まだベータ版のままです。ただ、これはあくまで成熟度の問題でしょう。GCPでも通常、デフォルトでセキュアな構成になっていますが、必ずしもAWSと同じ範囲のセキュリティ機能が提供されるわけではありません。
GCPにも、優秀なセキュリティツールがいくつか組み込まれています。Cloud Security Command Centerは、Google版のAzure Security CenterあるいはAWS Security Hubです。Stackdriver Loggingは優れた機能を発揮します。またGoogleは、セキュリティ設定の管理を行うためのオープンソースツールForsetiを提供しています。
その欠点は、GCPに関する経験豊富なセキュリティエキスパートが非常に少ないことと、コミュニティおよびツールの堅牢性が乏しいことです。歴史の浅いサービスにこのような課題があるのは当然です。そして、この種の知識の拡大には時間がかかるものです。
クラウドのセキュリティ:Amazon Web Services vs. Microsoft Azure vs. Google
各社がそれぞれのセキュリティについてどのように説明しているか(明らかに偏った見方になるとは思われますが)を調べることも役に立つでしょう。
AMAZON WEB SERVICESによる説明:
クラウドコンピューティングとは、インターネット経由でコンピューティング、データベース、ストレージ、アプリケーションをはじめとした、さまざまなITリソースをオンデマンドかつ従量課金形式で利用することができるサービスの総称です。
クラウドのセキュリティについて:
クラウドセキュリティはAWSの最優先事項です。AWSのお客様は、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャーから利点を得られます。クラウドでのセキュリティはオンプレミスのデータセンターにおけるセキュリティとよく似ています。ただし、施設とハードウェアを管理するコストがかかりません。クラウドでは、物理的なサーバーまたはストレージ機器を管理する必要がありません。その代わりにソフトウェアベースのセキュリティツールを使用して、クラウドリソースを出入りする情報の流れを監視および保護します。
AWSクラウドでは、責任共有モデルを採用しています。AWSはクラウドのセキュリティを管理する一方、クラウド内のセキュリティはお客様の責任です。お客様は、オンサイトデータセンター内のアプリケーションと全く同様に、それぞれのコンテンツ、プラットフォーム、アプリケーション、システム、およびネットワークを保護するためにどのようなセキュリティを選択して実装するかに対する主導権を持っています。
お客様のセキュリティ目標達成を支援するために、AWSでは数百ものツールや機能を用意しています。AWSでは、ネットワークセキュリティ、構成管理、アクセス管理およびデータ暗号化において、セキュリティに特化したツールや機能を提供しています。
MICROSOFT AZUREによる説明:
クラウドコンピューティングとは、簡単に言えば、サーバー、ストレージ、データベース、ネットワーク、ソフトウェア、分析、インテリジェンスなどのコンピューティングサービスをインターネット(「クラウド」)経由で提供し、高速なイノベーションを推進して柔軟なリソースおよびスケールメリットを提供することです。
クラウドのセキュリティについて:
セキュリティ関連のR&Dへの10億米ドルを超える投資と、3,500名のサイバー セキュリティ エキスパート
セキュリティはAzureの基盤です。物理的なデータセンター、インフラストラクチャー、オペレーションをまたいで提供される、多層のセキュリティを活用しましょう。サイバーセキュリティエキスパートがお客様のビジネス資産とデータを積極的に監視し、保護します。
6.5兆件の脅威の兆候を日々分析
Microsoftが長年にわたるセキュリティ経験から得たクラウドの大規模なインテリジェンスを利用します。AIによるセキュリティシグナルにより、脅威の検出と応答をよりスマートかつ迅速なものにして、セキュリティオペレーションを最新化します。
GOOGLE CLOUDによる説明:
これまで組織がパブリッククラウドに求めていたのは、費用の削減や、プライベート データセンターの容量の拡大でした。しかし現在、組織がパブリッククラウドに求めているのはセキュリティであり、プロバイダーは人員やプロセスへの投資によって安全なインフラストラクチャーを構築することができるはずだという認識が広まっています。
クラウドのセキュリティについて:
Googleはクラウドのパイオニアとして、クラウドモデルにおけるセキュリティの影響を十分に理解しています。Googleのクラウドサービスは、数多くある従来型のオンプレミスのソリューションよりも高度なセキュリティを実現できます。Googleは自社の業務を保護するという観点から、セキュリティを最優先事項にしています。そして、Googleが使用するインフラストラクチャーは、お客様に提供しているものと同じであるため、こうした保護体制の効果はお客様の組織にも波及します。このため、Googleではセキュリティを重視し、データ保護を設計基準の主な柱としています。
Googleの組織体制、研修の優先順位、雇用プロセスにおいても、セキュリティは重要視されています。セキュリティは、Googleのデータセンターの構成や、データセンターで採用される技術の基準であり、脅威への対応方法など、Googleの通常業務や障害対策においても、最も重要な要素です。顧客データの取り扱い方においても、セキュリティは最も優先される要件です。Googleのアカウント管理、コンプライアンス監査、Googleがお客様に提供している証明書も、セキュリティを基盤としています。
最近のクラウドセキュリティニュースによると、Google Cloudは競合の2社から市場シェアを獲得するための取り組みを強化しており、2018年11月にはOracleの元最高経営責任者であるThomas Kurian氏を新しいCEOとして採用しています。
セキュリティへの注力に関して、2019年6月にKurian氏は、Alphabet傘下のエンタープライズ向けセキュリティ企業Chronicleが、Google Cloudに加わることを発表しています。同氏は次のようにコメントしています。「Google Cloudのお客様にとって、データのセキュアな保存と脅威に対する防衛のニーズは、クラウドやオンプレミスに関係なく、最優先の課題です。私たちは、チップからデータセンターまでのあらゆるレベルで総合的にセキュリティに取り組んでいます。ハードウェアインフラストラクチャー、サービスのデプロイ、ユーザーの識別、ストレージ、インターネット通信、セキュリティ運用といったさまざまな分野のセキュリティ機能を絶えず拡充し、それらを連携することで大規模な多層防御を可能にしています。
結論
主要なクラウドサービスプロバイダーが最良のセキュリティを提供するべく最善の努力を払っていても、クラウドコンピューティングを使用するすべての組織は、責任共有モデルのもと、デューデリジェンスを怠ってはなりません。
継続的な責任としては、アクセス制御を慎重に管理すること、クラウド環境におけるセキュリティ上の脅威を監視すること、定期的にペネトレーションテストを実施すること、クラウドセキュリティのベストプラクティスに関する従業員の徹底的なトレーニングを実施することなどが範囲として含まれます。
執筆者について:Michelle Moore博士は、サンディエゴ大学の革新的なサイバーセキュリティオペレーションおよびリーダーシッププログラムのオンライン修士課程のアカデミックディレクター兼実務教授です。また研究者、著者、サイバーセキュリティポリシーアナリストでもあり、サイバーセキュリティの専門家として民間および政府における20年以上の経験があります。
編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwire Inc.の意見を反映するものではありません。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
