クラウドストレージセキュリティのベストプラクティス

チュートリアル

クラウドストレージは、簡単なアクセシビリティ、スケーラビリティ、コスト効率など、多くの組織に利益をもたらしています。パブリッククラウドプロバイダーは、技術の開発と効率とセキュリティの向上のために新しい機能を追加し続けています。しかし、クラウド内の潜在的なセキュリティ問題を解決するために注意すべきセキュリティ上の懸念点があります。すべての潜在的なリスクとクラウド内のデータ損失を防ぐためのデータ保護慣行を見ていきましょう。

クラウドストレージのセキュリティとは何ですか?

クラウドストレージのセキュリティとは、クラウドベースのストレージシステムに保存されたデータをデータ侵害、データ損失、およびその他のセキュリティ上の脅威から保護するために使用される技術と対策を指します。これらのセキュリティ対策は、ベンダーとデータを所有する組織によって一部実施され、機密性、整合性、可用性を確保するために行われます。

取られる具体的なセキュリティ対策は、データの種類、クラウド展開モデル(パブリック、プライベート、ハイブリッド)、および組織のセキュリティポリシーに応じて異なります。

まずは、クラウドストレージの種類を見てみましょう:

  • パブリッククラウド。クラウドリソースは第三者プロバイダーによって所有および運営され、複数のユーザーで共有され、インターネット経由でアクセスされます。例には、Amazon Web Services(AWS)、Microsoft Azure、Google Cloudなどがあります。
  • プライベートクラウド。クラウドリソースは単一の組織に専用され、オンプレミスまたは第三者によってホストされることがあります。より多くの制御およびカスタマイズオプションを提供しますが、より高い初期投資が必要です。
  • ハイブリッドクラウド。公共クラウドとプライベートクラウドの要素を組み合わせ、データとアプリケーションを両方の間で共有できるようにします。公共およびプライベートクラウド環境は通常、シームレスに連携または組織され、一緒に正常に機能するようになっています。このセットアップでは、ITリソースの使用方法とセキュリティに対する制御および柔軟性が向上します。

クラウドストレージセキュリティ懸念

両方のデプロイメントモデルに共通するいくつかのセキュリティ脅威が存在しますが、これは基盤となる技術とクラウドコンピューティングの性質によるもので、両方ともネットワーク経由でリソースを提供します。ただし、異なるデプロイメントモデル間にはいくつかの違いがあり、これにより固有のセキュリティ上の考慮事項が生じます。

共有されるセキュリティ上の懸念

クラウドセキュリティの問題は、ビジネスの評判と収益に深刻な影響を与える可能性があります:

  • データ侵害は、不正な個人がシステムにアクセスし、特に機密情報や個人情報にアクセスすることを含みます。データ侵害は深刻な法的問題と財務的損失を引き起こす可能性があります。技術的な障害、人為的なミス、またはその他の予期しないイベントによって引き起こされるデータ損失は、両方のモデルでリスクです。組織がバックアップとリカバリプランを持っていない場合、データ損失は深刻な結果をもたらす可能性があります。
  • データ喪失は、技術的障害、人為的ミス、その他予期しない事象によって引き起こされるリスクであり、どちらのモデルにも存在します。組織がバックアップおよび回復計画を持っていない場合、データ喪失は深刻な結果をもたらす可能性があります。
  • コンプライアンスおよび規制上の問題。プライベートクラウドおよびパブリッククラウドでは、業界固有または地域の規制の対象となる機密データを扱う際に、規制遵守の課題が存在することがあります。多くの国では、データ保護、データの国境内保持、データ主権の法律があります。一例としてGDPRがあります。

これらの結果を引き起こす主なセキュリティ脅威は以下の通りです。

  • データ暗号化。暗号化されていないデータは、攻撃者がこのデータにアクセスし、このデータを破損または盗むことを容易にします。暗号化は、プライベートクラウドおよびパブリッククラウドの静止状態および転送中のデータを保護するために不可欠です。
  • アクセス制御。適切なアクセス制御メカニズムは、どちらの展開モデルにおいても、データおよびリソースへの不正アクセスを防ぐために重要です。クラウドストレージにおけるIAMの悪化は、データ漏洩、不正アクセス、内部者の脅威、侵害された資格情報、監査の欠如、コンプライアンス違反、特権のあるユーザーの過剰な権限につながり、セキュリティリスクを増加させ、データの完全性を損なうことがあります。
  • システム脆弱性は、クラウドストレージシステムの基盤となるハードウェア、ソフトウェア、またはインフラストラクチャにおけるセキュリティの弱点や欠陥の可能性を指します。悪意のあるアクターは、これらを利用して、不正アクセスを取得し、データの完全性を侵害し、クラウドサービスを中断させる可能性があります。
  • 誤設定されたクラウドは、リソース、サービス、またはセキュリティ設定が適切に構成されていない状態を指します。これにより、攻撃者はこれらの弱点を悪用して、不正なアクセスを得たり、データの整合性を破壊したり、サービスを妨害したりすることが可能になります。ハッカーは、クラウド環境の脆弱性や弱点を悪用する能力を持っているため、クラウドストレージに対して重大な懸念を引き起こします。

さらに、各種のクラウドに固有のセキュリティ上の懸念があります。

パブリッククラウドのセキュリティ上の懸念

  • 共有パブリッククラウドインフラは、顧客が直接アクセスできないデータセンター内のサーバーを共有することに依存しています。クラウドプロバイダーは通常、各顧客に対して特定の物理サーバーを提供しません。パブリッククラウドは共有リソースを使用するため、隣接するクラウドテナントの脆弱性によるデータ露出のリスクが増大します。
  • 誤ってデータが公開されることや漏洩することは、特にマルチテナント環境においてクラウドストレージでの重大な脅威です。これらの用語は、機密性の高いデータが不正な個人やエンティティに意図せずにアクセス可能になった状況を指します。このような事案は、個人や組織に対してプライバシーの侵害、法的責任、評判の損傷、財務的損失などの深刻な影響をもたらす可能性があります。
  • 第三者リスク。パブリッククラウドを利用する組織は、クラウドサービスプロバイダーのセキュリティ慣行に依存し、プロバイダーのセキュリティ姿勢について懸念を抱く可能性があります。組織はクラウドインフラストラクチャーを物理的に制御できず、そこに保存されているデータに関するプライバシー上の懸念があるかもしれません。
  • 攻撃面の拡大。広範なパブリッククラウド環境は、プライベートクラウドと比較してより大きな攻撃面を持ち、セキュリティを確保するのがより難しくなります。
  • プロバイダーへの依存。パブリッククラウドを利用する組織は、ロックインによりプロバイダーの切り替えに困難を感じる場合があり、データとリソースの管理に影響を与える可能性があります。
  • データの所在地と主権。パブリッククラウドに保存されているデータは、さまざまな地理的な地域に物理的に配置されている可能性があり、データの所在地と主権規制との遵守に関する懸念が生じる可能性があります。

プライベートクラウドのセキュリティ上の懸念

  • 物理的セキュリティ。プライベートクラウドでは、組織はデータが保存されている物理的インフラストラクチャーをより制御できるため、物理的な侵入のリスクが低減します。このより高い制御は、不適切なセキュリティ設定があると、プライベートクラウドに保存されているデータに問題が生じる可能性があるため、高い責任を伴います。
  • ネットワークの分離。プライベートクラウドは通常、外部ネットワークから分離されており、パブリックインターネットからの攻撃への露出が減少します。ただし、インターネットアクセスがある場合や外部リソースとデータを共有している場合は、ネットワークが適切に構成されていないと、データの侵害や感染のリスクが生じる可能性があります。
  • インサイダーの脅威は、元従業員、ビジネスパートナー、契約業者、または組織のデータやインフラへのアクセス権を持つ人物が、その内部者アクセスを不正利用することを含みます。例えば、競合他社のためにデータをコピーしたり、インフラを使用したりすることが挙げられます。インサイダーの脅威は依然として懸念事項ですが、アクセスが組織内の認可された人員に限定されているため、プライベートクラウドではより管理しやすい場合があります。

クラウドストレージのセキュリティ確保方法

クラウドストレージのセキュリティ確保は、パブリックまたはプライベートクラウド環境に関係なく、技術的な制御、ポリシー、ベストプラクティスを組み合わせた包括的なアプローチが必要です。このセクションでは、パブリックおよびプライベートクラウド環境でのクラウドストレージのセキュリティ確保方法について説明します。

パブリッククラウドストレージのセキュリティ確保

  • 信頼できるプロバイダーを選択します。セキュリティとコンプライアンスにおいて強力な実績を持つ、確立された信頼できるクラウドサービスプロバイダーを選択します。また、以下のことも行う必要があります:
    • データの暗号化、アクセス制御、インシデント対応プロトコルなど、クラウドプロバイダーのセキュリティプラクティスを確認します。
    • プロバイダーの 共有責任モデル を理解し、彼らが担当するセキュリティの側面と、自身が責任を負う部分を把握します。
  • データ分類。データを感度レベルに基づいて分類し、適切なセキュリティ対策を適用してください。すべてのデータが同じレベルの保護を必要とするわけではありません。
  • アクセス制御と認証
    • 不正なアクセスを防ぐために、マルチファクタ認証(MFA)などの強力な認証メカニズムを実装してください。
    • ユーザーが最小限必要な権限を持つことを保証するために、役割ベースのアクセス制御(RBAC)を設定してください。

    強力なパスワード管理のプラクティスとマルチファクタ認証を組み合わせることで、組織はクラウドストレージシステムへの不正アクセス、データ侵害、およびその他のセキュリティ脅威のリスクを大幅に低減することができます。ユーザーは、何か(パスワード)と何か(第二の認証要素)を提供する必要があり、より堅牢でレイヤー化されたセキュリティアプローチが作成されます。

プライベートクラウドストレージのセキュリティ強化

  • 物理的セキュリティ。データセンターへの不正な侵入を防止するために、プライベートクラウドインフラストラクチャーに対する物理的アクセス制御を維持します。例えば、Wi-Fi経由で攻撃者が物理的にネットワークにアクセスできないようにします。
  • ネットワークの分離。ネットワークのセグメンテーションおよび分離技術を使用して、プライベートクラウドの異なる部分を分離し、攻撃面を減らします。ネットワーク分離とセキュリティの観点からクラウドストレージをセキュリティ化するには、不正アクセス、データ漏洩、およびネットワークベースの攻撃を防ぐための対策を実装します。
  • 内部アクセス制御。不正な内部アクセスを防ぐために、厳格なユーザーアクセス制御と認証メカニズムを実装します。インフラストラクチャーで強力なパスワードと暗号化キーまたは証明書を使用します。厳格なセキュリティポリシーが要求する場合は、定期的にパスワードを変更します。
  • 脆弱性管理。プライベートクラウドインフラストラクチャーで定期的に脆弱性評価とペネトレーションテストを実施し、弱点を特定および対処します。公共クラウドプロバイダーはクラウドインフラストラクチャーのソフトウェアを定期的かつ自動的にパッチしますが、プライベートクラウドではセキュリティパッチのインストールに注意を払う必要があります。
  • インシデント対応。セキュリティ侵害やデータ侵害に迅速かつ効果的に対処するためのインシデント対応計画を策定します。
  • 従業員トレーニング。セキュリティのベストプラクティスに関する従業員向けのトレーニングを提供し、安全なプライベートクラウド環境を維持する役割を強調します。
  • 構成管理。セキュリティの脆弱性を防ぐために構成を厳格に管理します。

パブリックおよびプライベートクラウドのセキュリティ対策

  • パッチ管理。クラウドアプリケーションとオペレーティングシステムを最新のセキュリティパッチでアップデートし、脆弱性を緩和します。プライベートクラウドインフラのすべてのコンポーネントにセキュリティパッチとアップデートをタイムリーに適用します。
  • ネットワークセキュリティ。クラウドへの安全な接続を確立するために仮想プライベートネットワーク(VPN)を使用し、データ送信中のセキュリティを強化します。ファイアウォールと侵入検知/防止システムを実装し、ネットワークトラフィックを監視および制御します。適切な構成により、不正アクセス、DDoS攻撃、およびその他の攻撃を回避できます。
  • データの暗号化:
    • 静的データ。クラウドに保存されたデータを保護するために暗号化メカニズムを使用し、不正アクセスが発生してもデータが読めないようにします。
    • 転送中のデータ。SSL/TLSなどのプロトコルを使用して、ローカルシステムとクラウドサーバー間を移動するデータを暗号化します。

    プライベートクラウド環境内のデータの静的および転送中のデータに暗号化を適用します。暗号化は、クラウドストレージに関連するリスク、データ漏えい、不正アクセス、およびコンプライアンス違反を緩和するための重要なセキュリティレイヤーを追加します。組織は、セキュリティの進化に対応してもデータが保護されるようにするために、暗号化をクラウドストレージ戦略の基本的な側面と考える必要があります。

    クライアント側の暗号化は、クライアント側でデータを暗号化し(クラウドにアップロードされる前に)、適切な復号キーを持つクライアントによってのみ復号化されることで、クラウドストレージのセキュリティを大幅に向上させます。

    ただし、クライアント側の暗号化はセキュリティを高める一方で、管理上の複雑さがあります。ユーザーは暗号化キーを管理する必要があり、紛失すると永久的なデータ損失を引き起こす可能性があります。さらに、暗号化されたデータはクラウドプロバイダーによって検索またはインデックス化できないため、フルテキスト検索などの機能に影響を与える可能性があります。

  • 定期的な監査とコンプライアンス。セキュリティ審査を定期的に実施し、セキュリティ対策の効果を評価し、業界基準を遵守します。
  • 定期的な監視と監査。堅牢なログ記録および監視システムを設定して、プライベートクラウド内の不審なアクティビティを検出し、対応します。監視は、継続的な環境の可視性を提供し、異常を検出し、潜在的な脅威に迅速に対応することで、クラウドデータストレージのセキュリティを向上させる上で重要な役割を果たします。
    • セキュリティ情報およびイベント管理(SIEM)ツールを使用して、異常なアクティビティを継続的に監視します。
    • アクセスログを確認し、セキュリティポリシーに準拠していることを確認するために定期的な監査を実施します。
  • データのバックアップと回復:
    • データを定期的にバックアップし、データ復旧プロセスをテストして、データ損失の場合でも事業継続を確保します。
    • 堅牢なバックアップと災害復旧ソリューションを実装し、インシデント発生時のデータの可用性と強靱性を確保します。
    • クラウドに保存されたデータのバックアップを実装することで、データ損失、侵害、予期せぬイベントに対する追加の保護層を提供し、クラウドストレージのセキュリティを大幅に向上させることができます。バックアップは、データの重複コピーを作成し、それらを別々の場所に保存することを含み、データの強靱性を確保し、リスクを軽減します。
    • 定期的で自動化されたバックアップ、オフサイトのストレージ、暗号化、テスト、および複数のバックアップバージョンの保持により、バックアップの利点を最大限に活用します。この包括的なアプローチは、データの強靱性を強化し、リスクを低減し、クラウドストレージのセキュリティを強化します。
    • 3-2-1バックアップルールに従います。

パブリッククラウドおよびプライベートクラウドのシナリオの両方において、セキュリティは継続的なプロセスであり、新たな脅威に対する警戒心、適応、継続的な改善が必要です。組織固有のニーズ、データの機密性、使用しているクラウド展開モデルに基づいてセキュリティ戦略をカスタマイズすることが重要です。

クラウドデータ保護のためにNAKIVO Backup&Replicationを使用する

NAKIVO Backup&Replicationは、パブリッククラウドおよびプライベートクラウドのデータを保護するのに役立つ汎用データ保護ソリューションです。NAKIVOソリューションは、クラウドに保存できる次のアイテムのバックアップをサポートしています:

  • Amazon EC2インスタンス
  • VMware VM
  • Hyper-V VM
  • Microsoft 365
  • Oracleデータベース
  • NASバックアップ(SMBおよびNFS共有バックアップ)

柔軟なオプションにより、異なる場所(オンプレミスおよびパブリッククラウド)にバックアップとバックアップコピーを保存することができます。これは、3-2-1バックアップルールに従うためです。SMBまたはNFS共有

  • A local backup repository on a physical or virtual machines
  • SMBまたはNFS共有
  • Amazon S3およびWasabiなどのS3互換クラウドストレージ
  • Azure Blob Storage
  • Backblaze B2クラウドストレージ
  • テープ
  • 重複除去アプライアンス

さらに、NAKIVO Backup & Replicationは、複雑な災害復旧シナリオを作成し、DRプロセスを自動化するサイト復旧機能も提供しています。製品はまた、トランスポート中のデータ暗号化とバックアップリポジトリの暗号化もサポートしています。

Source:
https://www.nakivo.com/blog/cloud-storage-security/