Azure Managed Service Column ＜Azure運用コラム＞ハイブリッドクラウドのセキュリティ対策について解説

ハイブリッドクラウドのセキュリティリスクと実装事例について解説

ハイブリッドクラウドは、オンプレミスの堅牢さとクラウドの柔軟性を組み合わせることで、企業の IT ニーズに応じた最適なリソースをバランス良く提供してくれます。

しかし、データの移動と共有が多様なプラットフォーム間で行われるため、不適切なアクセス管理や不十分な暗号化、　API　の脆弱性などが原因でセキュリティリスクを高める恐れもあります。

本記事ではハイブリッドクラウドにおけるセキュリティリスクと基本的な対策、実装事例について解説します。

1. ハイブリッドクラウドのセキュリティリスク

ハイブリッドクラウドは多くのメリットを提供しますが、セキュリティリスクも伴います。その主なセキュリティリスクについて紹介します。

データ漏洩

ハイブリッドクラウドではデータが異なるプラットフォーム間で移動する際、データが適切に暗号化されていない場合、中間者攻撃によるデータ漏洩のリスクがあります。

不正アクセス

ハイブリッドクラウドは様々な種類のプラットフォームを統合していることから、リモートアクセスの接続ポイントに対してアクセス制御が不適切であった場合、不正アクセスを許してしまうおそれがあります。

エンドポイントの脅威

ユーザーのデバイスや IoT 機器など、多様なエンドポイントがクラウドリソースにアクセスするハイブリッドクラウド環境では、これらのデバイスが適切に管理・運用されていない場合、セキュリティリスクが発生しやすくなります。

APIとインターフェースの脆弱性

ハイブリッドクラウドはオンプレミスとクラウド環境をつなぐ API やインターフェースのセキュリティが不十分な場合、攻撃の対象となりやすくなります。

管理の複雑化とインシデント対応の遅延

オンプレミスとクラウド環境が混在するハイブリッドクラウドでは、異なるプラットフォームのセキュリティ設定に矛盾が生じる可能性があります。さらにインシデントが発生した際の対応も複雑化し、迅速な復旧が困難になることがあります。

コンプライアンス違反

ハイブリッドクラウドは異なるクラウド環境間でのセキュリティ基準の違いがコンプライアンス違反を引き起こすリスクが高まります。

2. ハイブリッドクラウドの基本的なセキュリティ対策

ハイブリッドクラウドのセキュリティリスクを踏まえ、基本的なセキュリティ対策について、それぞれの観点から解説します。

データ漏洩対策

ハイブリッドクラウドでは、機密情報が不正に外部に送信されるのを防ぐために、オンプレミスからクラウドへデータを転送する際、またはクラウド上にデータを保管する際、必ず暗号化の設定を行いましょう。 DLP （ Data Loss Prevention ：データ損失防止）ソリューションの導入などが有効です。

不正アクセス対策

リモートアクセスの接続ポイントに対して、多要素認証、シングルサインオン、最小特権の原則の適用、ロールベースのアクセスコントロールなどを通じてアクセスを厳格に管理しましょう。

エンドポイント保護対策

すべてのデバイスに対し、 OS のバージョンを常に最新に保ち、パッチ管理を徹底します。またアンチウイルスソフトや XDR （ Extended Detection and Response ）ソリューションを導入し、ソフトウェアのバージョンも常に最新に保ちましょう。

APIセキュリティ対策

API 通信は TLS （ Transport Layer Security ）などの暗号化プロトコルを使用して保護し、 API キーやトークンベースの認証を導入しましょう。また、 API ゲートウェイサービスは、このような暗号化や、 API キー、高度な認証をサポートしているのでセキュリティ対策の実装が安易に可能なので活用しましょう。

セキュリティポリシーの統合管理

クラウドとオンプレミスの両方に統一されたセキュリティポリシーを策定し、定期的な監査を実施しながら、セキュリティ設定の整合性を保つ必要があります。ハイブリッド環境を横断的に監視が可能であり、異常な行動や脅威を検出することができる SIEM （ Security Information and Event Management ）などを導入し一元的な監視・管理環境の構築を検討しましょう。

コンプライアンスとガバナンス対策

ハイブリッドクラウドのコンプライアンスとガバナンス対策には、統一されたポリシーの策定が重要です。定期的な監査を実施し、アクセス制御、データ暗号化、リスク評価を強化します。また、データの分類とタグ付けを通じて、情報の取り扱いを明確にし、適切なガバナンスを保持することが効果的です。

3. セキュリティ対策の実装事例

ここでは、ハイブリッドクラウドのセキュリティ対策を、環境の組み合わせ毎に具体例をあげて解説します。

パブリッククラウド×プライベートクラウド

この事例では、プライベートクラウドで機密データを管理し、パブリッククラウドのメリットであるスケーラビリティを活かし仮想サーバ、またはコンテナ技術によりアプリケーションのホスティングを行います。

セキュリティ対策

パブリッククラウドとのデータやりとりが頻繁に行われるため、 VPN や専用ネットワーク接続を使用して安全な通信チャネルを確立し、両クラウド間でデータを安全に転送するエンドツーエンドの暗号化を実装します。

さらにプライベートクラウドとパブリッククラウド間でのアクセスを厳密に制御して、統一されたセキュリティ監視とログ管理を行います。パブリッククラウド側では可用性及びコンプライアンス、ガバナンスの準拠がサービス事業者側で提供されます。

一方、プライベートクラウド側では自社でのバックアップと災害復旧計画の立案、コンプライアンスとガバナンスの対策を立案します。

パブリッククラウド×オンプレミス

オンプレミスで運用しているレガシーシステムと、パブリッククラウド上の新しいビジネスアプリケーションを組み合わせて利用するケースです。

セキュリティ対策

オンプレミスの物理サーバとパブリッククラウドの間でのデータ転送を考慮し、 VPN または専用ネットワーク接続を拠点間で確立し、通信の暗号化を実装します。

オンプレミス側のレガシーシステムを保護するため、エンドポイント同士での通信は行わず、オンプレミス側のゲートウェイにファイアウォールを導入し、システム間の連携を必要最低限の通信に制御するアクセス制御が最適です。

またオンプレミスに対してはバックアップと災害復旧計画の立案、コンプライアンスとガバナンス対策を立案します。

オンプレミス×プライベートクラウド

自社所有の物理サーバをデータセンターに設置して業務データを管理しつつ、プライベートクラウドを利用してデータ分析やバックアップを行う場合の事例です。

セキュリティ対策

このような環境においては、運用ポリシーの確立が必須です。自社のプライベートクラウドの基盤も含め物理サーバに対する定期的なセキュリティ評価と脆弱性スキャンを行い、セキュリティパッチの適用を徹底します。また、データ保護を目的とした暗号化も実装します。

さらにこの構成ではプライベートクラウドとオンプレミスの両方にバックアップと災害復旧計画の立案、コンプライアンスとガバナンス対策を立案します。

4. まとめ

本記事で紹介したセキュリティ対策は一部ではありますが、適切なセキュリティ対策を実装することで、ハイブリッドクラウドのリスクを最小限に抑えつつ、ビジネスの敏捷性と成長をサポートする堅固な基盤を築くことができるようになるでしょう。

Tag： ハイブリッドクラウド

• 

  ハイブリッドクラウドの導入事例とは？導入時のポイントと注意点も併せて解説

• 

  ハイブリッドクラウド環境を効果的に管理するためのツールとテクニックについて