【脱・セキュリティアレルギー】クラウドセキュリティの最新技術

はじめに

クラウドセキュリティは、現代のIT環境において欠かせない重要な要素です。
しかし、その重要性を理解しつつも、セキュリティに特化していないエンジニアにとっては、専門用語や複雑な概念が壁となり、敬遠されがちです😰
一方で、クラウド環境の設計や運用に携わるすべてのエンジニアが、一定のセキュリティ知識を持つことが求められる時代となりました👽

本記事では、最新のクラウドセキュリティ動向を取り上げていこうと思います。

セキュリティエンジニアだけでなく、非セキュリティエンジニアでも理解できるように意味を噛み砕いた(つもりの)記事になっています。
セキュリティに対するハードルを下げ、多くのエンジニアが正しい知識を持ち、クラウドセキュリティを適切に活用できるようになることを目指して、書いてみたので、いろんな方に読んでもらえたらと思います。

重要ワード解説

ここでは、クラウドセキュリティのトレンドを理解する上で重要なキーワードを簡潔に説明します。
非セキュリティエンジニアでもイメージしやすいように、技術的な背景やメリットをわかりやすく解説します。

TL;DR: 用語の簡潔説明🤔

まずは、ざっくりと理解するためにそれぞれ一言で表してみました。

• SASE(Secure Access Service Edge)
  クラウド上で、ネットワークとセキュリティを一元化する仕組み。
  リモートワークや複雑なIT環境に適応するための新しい形です。
• SSE(Security Service Edge)
  SASEからネットワーク機能を除き、セキュリティに特化したクラウドサービス。
  データ保護やアクセス制御を重点的にカバーしています。
• ゼロトラスト
  内部・外部問わず「誰も信頼しない」を前提に、すべてのアクセスを検証してセキュリティを強化する考え方。
• CSMA(Cybersecurity Mesh Architecture)
  複数のセキュリティツールをつなぎ合わせたモジュール型セキュリティアーキテクチャ。
  分散型の考えに重きを置くことで、柔軟な防御を可能にします。
• CASB(Cloud Access Security Broker)
  クラウドサービスと企業の間でデータを守るセキュリティ仲介役。
  データ漏洩や不正アクセスを防いでくれます。

以降は、もう少しそれぞれの言葉について詳しく触れていきます。
もし、しんどそうに感じたら、[先の内容](# 2025年のクラウドセキュリティ)に進んでもらっても良いかと思います。

SASE(Secure Access Service Edge)とは？🤔

SASEは、ネットワークとセキュリティを統合してクラウド上で提供するアプローチです。
これまで別々に運用されていたネットワークインフラとセキュリティを一元化し、企業が直面する複雑なIT環境に対応するために設計されています。

SASEの重要性が増している背景には、以下のようなことが挙げられます。

• クラウドサービスの普及
• リモートワークの増加
• 多拠点展開が進む現代の企業環境

従来は、データセンターを経由して全てのトラフィックを管理するのが一般的でした。
しかしそうではなく、SASEはクラウド上でこれを処理することで、効率的かつ安全な接続を実現します。

SASEの主な構成要素

1. SD-WAN(Software-Defined Wide Area Network)
   • クラウドへの接続を最適化し、高速かつ信頼性の高いネットワークを提供してくれます。
2. ゼロトラストネットワークアクセス(ZTNA)
   • 「信頼しない」を前提に、ユーザーやデバイスごとにアクセスを認証・許可します。
3. セキュリティ機能の統合
   • ファイアウォール、侵入防止システム(IPS)、データ損失防止(DLP)などのセキュリティ機能が統合されています。

SASEのメリット

• 拠点やリモートワーカーの増加にも柔軟に対応できるというスケーラビリティの高さ
• 複数のセキュリティソリューションを一元化することで、管理コストを低減可能
• ユーザーが直接クラウドにアクセスできるため、遅延を最小限に抑えることで、高パフォーマンスを実現

リモートワークを行う社員が多い企業を例にします。
その企業で、SASEを導入することで、安全かつスムーズにクラウドアプリケーション(例：Microsoft 365やGoogle Workspace)にアクセスできるようになります。
これにより、従来のVPNに伴う遅延や複雑な運用の回避が可能になるといった感じです🙌

SSE(Security Service Edge)とは？🤔

SSEは、SASEの中でも特に「セキュリティ」機能にフォーカスしたものになります。
つまり、ネットワークサービスを含まず、セキュリティ部分に特化してクラウドで提供する機能のことを指します。
クラウドアプリやデータ保護に集中することで、迅速で強力なセキュリティを実現します。

【SASEとの違い】
SASEはネットワーク機能とセキュリティ機能の両方を包含します
SSEはセキュリティ機能のみに特化しています。
ネットワーク部分を自社で管理している企業や、ネットワーク要件が比較的単純なケースでは、SSEだけを導入する選択肢もあるようです。

SSEの主な機能としては、以下のようなものが挙げられます。

1. SWG(Secure Web Gateway)
   • 不適切なウェブサイトやマルウェア感染を防ぐためのゲートウェイ機能
2. CASB(Cloud Access Security Broker)
   • クラウドサービス利用時のデータ保護とアクセス制御を提供
3. ZTNA(Zero Trust Network Access)
   • 必要最小限のリソースにのみアクセスを許可し、セキュリティを強化
4. データ損失防止(DLP)
   • 企業データが無断で外部に漏洩するリスクを軽減

SSEが注目される理由はいくつかあります。
まず、SaaSアプリケーションの普及といったクラウドメインの時代に適応するためです。✌️

従来型のネットワークセキュリティでは十分でない場面が増えており、SSEの強力なセキュリティが求められるようになっています。
また、それに伴い、クラウドストレージや共有アプリケーションの利用も増えています。
そういった状況でクラウドにアップロードしたデータが流出するリスクを未然に防止することが求められているのです。
さらに、昨今1人のエンジニアが着目する領域が広がる傾向にあります。
そういった状況下だからこそ、ネットワーク運用を別のチームに任せ、セキュリティ管理に集中できるという点もSSEが注目されるようになっている理由になります。

SSEの実用例

ある企業がSaaSアプリ(Dropbox、Salesforceなど)を利用している場合を想定します。
SSEのCASB機能(データ保護とアクセス制御)を導入することで、外部からの不正アクセスを防ぎ、機密データの漏洩を防止することが可能です。
また、リモートワーク環境でSSEを活用することで、ユーザーが社内ネットワークを経由せずに安全にクラウドアプリを利用できる仕組みを構築できます。

ゼロトラストとは？🤔

ゼロトラスト(Zero Trust)は、「誰も信頼しない」という考えを基盤としたセキュリティモデルです。
従来のセキュリティモデルでは、企業の「内部ネットワーク(のみ)は信頼できる」と見なし、外部からの攻撃を防ぐことに重点を置いていました。
しかし、ゼロトラストでは、内部・外部問わず、すべてのアクセス要求に対して厳格な認証と検証を行います。

ゼロトラストの背景には、リモートワークやクラウドサービスの普及、サイバー攻撃の高度化があります。内部の正規ユーザーやデバイスであっても、絶対的な信頼を置かず、常に認証と権限管理を行うことで、セキュリティを強化します。

ゼロトラストは、以下の3つの基本的な概念を持っています。

1. ユーザー認証とデバイス認証
   • ネットワーク内外のユーザーやデバイスがアクセスする際、常に認証と承認が求められます。
2. 最小権限の原則
   • 各ユーザーやデバイスには必要最小限のアクセス権限のみを付与し、リスクを最小化します。
3. 動的なアクセス制御
   • 時間、場所、デバイス、ユーザーの行動などを元に、アクセス制御がリアルタイムで行われます。

ゼロトラストアーキテクチャのメリット

ゼロトラストアーキテクチャの導入により、企業のセキュリティ体制は大きく強化されます。
以下のようなメリットがあります。

1. 内部脅威の軽減
   ゼロトラストでは、ネットワーク内部のアクセスも監視されるため、社内のユーザーやデバイスからの悪意ある行動や誤った操作によるリスクを減少させます。
   内部からの攻撃(従業員による情報漏洩やデータ改ざん、など)にも強い防御を提供します。
2. リモートワークへの対応
   リモートワークやハイブリッドワークが増える中で、社員が企業の内部ネットワークにアクセスする際に、ゼロトラストの認証プロセスが重要な役割を果たします。従来のVPN接続に頼らず、安全なアクセスが可能です。
3. 柔軟なアクセス管理
   ゼロトラストでは、アクセスの権限を動的に調整するため、ユーザーやデバイスの状態に合わせて適切なアクセス権を付与できます。
   これにより、利用状況に応じた柔軟で効率的なアクセス制御が可能になります。
4. 規模拡張性
   ゼロトラストは、ネットワークが拡大しても柔軟に対応でき、企業の成長に伴ってセキュリティの枠組みを強化できます。
   複数のオフィスやリモートワーカー、クラウドサービスを利用する企業にとってもスケーラブルなソリューションを提供します。
5. コンプライアンス対応
   ゼロトラストは、細かいアクセス制御とログ記録により、データ保護法や規制への対応をサポートします。
   これにより、セキュリティとコンプライアンスを一貫して維持できます。

ゼロトラスト導入の例

例えば、社員が外部から社内アプリケーションにアクセスするシーンを考えてみましょう。
その際、今までなら単にIDとパスワードを入力するようになっていたと思います。
一方、ゼロトラストを導入した場合、IDとパスワード入力はしなくなることが多くなります。
代わりに、複数の要素(多要素認証、デバイスの安全性など)を使ってアクセスが承認されます。
このように、ユーザーの認証だけでなく、デバイスの状態やネットワークの場所も考慮してアクセスが制御されるため、より高度なセキュリティが実現します。

CSMA(Cybersecurity Mesh Architecture)とは？🤔

CSMA(サイバーセキュリティメッシュアーキテクチャ)は、企業のセキュリティインフラをモジュール型で構築する新しいアーキテクチャです。
この概念は、セキュリティシステムが複数のツールやサービスを組み合わせて、柔軟かつ分散的に機能することを指します。
これではちんぷんかんぷんですね笑

簡単に言うと、「複数のセキュリティツールをバラバラではなく、つなぎ合わせて全体を守る仕組み」と考えるとわかりやすいです。

従来のセキュリティでは、すべてを一つの「集中管理システム」に依存していました。
しかし、クラウドの利用拡大やリモートワークの普及により、企業のネットワークは分散化しています。
このような状況では、セキュリティも「分散型」で、必要に応じて柔軟に動ける構造が求められるようになりました。
CSMAは、こうした課題を解決するための考え方です。

CSMAの特徴や利点

1. モジュール型で柔軟な構成が可能
   各セキュリティツール(例：ファイアウォール、暗号化ツール、脅威検出システムなど)が独立して機能させることができます。
   例えば、ある企業が突然新しいクラウドサービスを導入する場合、そのサービス専用のセキュリティツールを簡単に組み込むことが可能です。
2. ツール同士が連携して情報を共有
   一つのツールで検出した脅威情報が、他のツールにも自動的に共有されます。
   これにより、全体のセキュリティが常に最新の状態に保たれます。
   例えば、侵入防止システムが不審なIPアドレスを検出した場合、その情報が自動的に他のツール(例：クラウド管理システム)にも共有され、迅速なブロックが可能です。
3. リアルタイムでの脅威検出と対応
   複数のツールが協力して、常に最新の情報を元に脅威を監視します。
   攻撃が検知された場合は、即座に全体で対応を開始します。
   例えば、ある社員が使用しているノートPCがマルウェア感染の疑いがある場合、その情報がCSMAにより即時に共有され、クラウドアプリへのアクセスが一時的に停止されます。
   その際、同時にIT管理者に通知が送られることで、迅速な対応が可能になります。
4. ネットワーク全体をカバー
   企業が分散したネットワーク環境を持つ場合でも、CSMAが一貫したセキュリティポリシーを提供します。
   どの拠点やクラウドでも同じレベルの保護を受けることができます。
   例えば、リモートで働く社員が世界中どこからアクセスしても、同じセキュリティ基準が適用され、安心して業務を行うことができます。

CSMAの具体的な活用例

1. リモートワーク下での適用

リモートで働く従業員が世界中のどこにいても、企業が提供するクラウドアプリケーションを利用します。
CSMAでは、次のような流れで保護を実現します。

1. リモートで働く従業員が認証を行う。
2. 認証情報がセキュリティツールAで検証され、不審なアクセスかどうか判断します。
3. ツールAが異常なしと判断した情報を、セキュリティツールB(データ保護)にも共有し、安全なデータアクセスを許可します。

簡単ですが、セキュリティが分散型で構成され、セキュリティツール間で情報を共有する流れでした。
CSMAを導入することで、上記のような柔軟で効率的な対応が可能になります。

2. 攻撃検知からの迅速な対応

企業のネットワークに異常なデータ転送が検知されたとします。
CSMAは、次のように、セキュリティを分散型で管理しつつ、各ツールの連携により迅速で効率的な対応を実現します。

1. ファイアウォールが異常な転送をブロックし、情報をCSMA内で共有します。
2. 同時に、不審なIPアドレスを侵入防止システム(IPS)に登録させ、今後のアクセスをブロックします。
3. ITチームが即座に通知を受け、詳細な調査を開始します。

このように攻撃検知から迅速な対応が可能になります。
結果として、企業の全体のセキュリティ体制を強化につながり、複雑な環境においてもさらに高い防御力を提供してくれます。

CASB(Cloud Access Security Broker)とは？🤔

CASB(クラウドアクセスセキュリティブローカー)は、簡単に言うと「企業がクラウドサービスを安全に利用するためのセキュリティ仲介役」です。
クラウドサービスと企業のネットワークの間に立ち、データ保護やアクセス制御を行う仕組みです。

例えば、企業が従業員にGoogle DriveやSalesforceなどのクラウドサービスを提供する際、全ての操作が安全に行われているかをCASBが監視します。
これにより、データの漏洩や不正アクセスを未然に防ぐことができます。

CASBの主な機能

1. データ保護
   クラウド上で機密データが流出したり、不正にアクセスされるのを防ぐ機能です。
   データがクラウドに保存される前に暗号化やマスキング(個人情報を隠す処理)を行います。
   例えば、顧客情報が含まれるスプレッドシートをGoogle Driveにアップロードしようとした際、CASBがその内容を自動的に暗号化し、悪意ある第三者が見ても内容を理解できないようにします。
2. アクセス制御
   誰が、どのデバイスから、どのようにクラウドサービスを利用しているかを監視し、不正アクセスを防ぎます。
   日本国内からアクセスしていた従業員が突然海外からログインを試みた場合、CASBが異常と判断しアクセスをブロック。また、セキュリティポリシーに基づき、個人所有のデバイスからのアクセスを制限することも可能です。
3. コンプライアンス監視
   企業のセキュリティポリシーや業界規制に準拠してクラウドサービスが利用されているかを確認します。
   例えば、金融業界で使用されるクラウドサービスが、規制に違反するデータ保存方法を使用している場合、CASBが自動で警告を発し、問題が解決されるまでデータの保存を禁止します。

CASBの具体的な活用例

1. データ漏洩の防止

企業がGoogle Workspaceを利用している場合を想定します。
CASBは、メール添付ファイルやドライブ共有リンクを自動でスキャンしてくれます。
その際、機密情報が外部に送信されそうになった場合に警告を発してくれます。
例えば、「社内機密」とラベル付けされた資料を送信しようとすると、CASBが送信をブロックします。

2. シャドーITの管理

従業員が許可されていないクラウドサービス(個人のDropboxアカウントなど)を使用して業務データを保存しているケースを考えます。
許可されていないサービスを利用しているため、これはブロックされる必要がありますね。
CASBは、その行為を検出して管理者に通知します。
これにより、会社のデータを安全に管理することが可能になります。

CASBの重要性

現在、クラウドサービスの利用は急速に増加しており、企業が利用しているクラウドサービスの数は数百を超える企業も存在します。
その中で、セキュリティの一貫性を保つことは非常に難しい課題です。
CASBは、こうした複雑な環境において、セキュリティと利便性のバランスを保ちながら、企業を支える重要な役割を果たします。

非セキュリティエンジニアの方でも、「CASBが社内クラウドの安全を見守る目」という役割のものであることを理解しておけば、セキュリティ意識を高めるきっかけになるのではないかと考えています。

👾👾2025年のクラウドセキュリティ👾👾

さて、少し話が逸れる部分があるかもしれませんが、「今注目されているトレンド」という観点で、クラウドセキュリティについて調べてみました。

昨今、クラウドセキュリティの重要性はこれまで以上に高まっています。
2025年に向けて、企業は増大するデータ資産を保護し、AI活用に伴う新たなリスクに対応する必要があります。

今回は、Tenable Network Security JapanとGoogle Cloudのレポートについて簡単に紹介していきます。

💡Tenable Network Security Japan💡

こちらの記事において、Tenable Network Security Japanは、2025年に向けたクラウドセキュリティの重要なトレンドを以下の4点にまとめています。

1. AIの普及がセキュリティ監視を進化させる

要点

• AIを活用する企業が増加し、AIが扱うデータの量と複雑さが急増する
  • その結果、AIに特化したセキュリティ対策が必要になる
• AIの安全な利用を確保するため、企業は新しいポリシーや監視体制を構築する必要がある

例えば、AIが顧客データを分析するシステムでは、データが外部に漏れないよう特別なセキュリティ設定が必要になりそうですね。

2. データの分散が攻撃のリスクを高める

要点

• マルチクラウド環境の普及により、データが多くの場所に分散され、管理が複雑化する
  • 攻撃者はこの隙を突いてデータ侵害を狙う

複数のクラウドを利用していた場合、一箇所の弱点を攻撃されると、そこから会社全体のセキュリティが崩れる可能性などが考えられそうです。

3. AIを活用した攻撃に注意が必要

要点

• 攻撃者がAIを使った自動化された高度な攻撃を行うようになり、従来の防御手法では対応が難しくなる

AIが生成するフィッシングメールやディープフェイクを使った詐欺が増加すると、既存のセキュリティシステムでは防げないケースが出てくることが考えられます。

4. データを守りつつAIを安全に導入する重要性

要点

• データは企業の活動を支える基盤であり、AIがこれをさらに推進する
  • ただ、AI導入が新たなリスクを生む可能性があるため、安全な運用が欠かせない

AIを利用したデータ分析では、セキュリティリスクを防ぎつつ、迅速で正確なデータ活用を可能にする仕組みが必要になりそうです。

所感

これらの予測は、AIやクラウドを活用する企業が直面する新たなセキュリティの課題になるように感じます。
特にエンジニアにとっては、以下の点が重要になってくると思いました。

• AIが普及する中で、データとセキュリティが密接に関わることを理解する。
• クラウドに分散したデータの管理が企業全体の課題になる。
• 攻撃者の手口が進化しているため、新しいセキュリティ技術の導入が必要。

これからのクラウドセキュリティでは、AIやクラウドの成長とセキュリティの進化をバランス良く取り入れることが求められそうです。

💡Google Cloud 【Cybersecurity Forecast 2025 レポート】💡

こちらでGoogle Cloudが公開しているCybersecurity Forecast 2025 レポートを読むことが可能です。
興味のある方はぜひ見てもらえたらと思います。

さて、本レポートでは、2025年に向けたサイバーセキュリティの主要な脅威とトレンドがまとめられています。
以下に、主なポイントを整理しました。

1. AIの悪用による高度な攻撃の増加

攻撃者はAIを活用し、より巧妙なフィッシング(偽のメールで情報を盗む手口)やソーシャルエンジニアリング(人間の心理を突く手口)を行うようになります。
例えば、AI生成のディープフェイクを使って、信頼できる人物になりすまし、機密情報を引き出す手口が増えると予測されています。
Tenable Network Security Japanの記事でも同様なことが示されていましたね。

2. ランサムウェアの脅威の深刻化

ランサムウェアとは、コンピュータ内のデータを暗号化し、元に戻すための身代金を要求するマルウェアです。
2025年に向けて、この手口は依然として多くの組織や個人にとって大きな脅威であり続けるとされています。

3. 脆弱性悪用の加速

ソフトウェアやシステムの欠陥(脆弱性)が発見されてから、それを攻撃者が悪用するまでの時間が短縮されています。
いわゆるゼロデイ攻撃の時間がさらに短縮されることが懸念されています。
組織は迅速な対応を求められるようになり、やはりセキュリティ知識の重要性が高まっているように感じました。

4. 身元情報の漏洩リスクの増大

クラウドとオンプレミスを併用したハイブリッド環境では、ユーザーの身元情報の漏洩が重大なリスクとなります。
これにより、不正アクセスや情報漏洩の危険性が高まります。

5. AIを活用した情報操作の増加

AIを使って大量の偽情報を作成し、世論や市場を操作しようとする動きが増えると予測されています。
これにより、情報の信頼性を見極めることがより重要になります。

所感

Cybersecurity Forecast 2025の要点を見ると、セキュリティの課題が技術の進化とともに高度化していることが強く感じられます。
特にAIを活用した攻撃や情報操作の増加は、Tenable Network Security Japanのレポートにも示されていました。
AIにより、攻撃者が技術的な優位性を持つことを示しており、これまでのセキュリティ対策では太刀打ちできない可能性が高そうです。

一方で、これらの脅威に対応するためには、単に防御を強化するだけでなく、AIを活用したセキュリティ対策の進化や、迅速な脆弱性対応の仕組みを構築する必要があるように感じました。
特に、ID管理やデータ保護に対する強化は、分散化が進むクラウド環境での最優先に取り組んだ方が良さそうです。

また、これらの予測は技術者だけでなく、経営層や現場の非セキュリティエンジニアも含めた全社的な理解と協力が不可欠であることを示しています。
デジタルイノベーションを推進しながらも、安全性を確保するというバランスとセキュリティ(リスク)に対する正しい理解が、今後ますます重要になるでしょう。

💎私が気になっているトレンドセキュリティ技術 【Cisco Hypershield】💎

最後に締めくくりとして私が気になっているセキュリティ技術について触れていきます。

Cisco Hypershieldとは

Cisco Hypershieldは、シスコが開発した最新のセキュリティ技術で、企業のデータセンターやクラウド環境を保護するためのものです。
これは、従来の物理的なファイアウォールとは異なり、ネットワーク全体にセキュリティ機能を分散させる革新的なアーキテクチャを採用しています。
この技術は、AI(人工知能)を活用し、ネットワーク全体にわたる高度なセキュリティを提供しているとのこと。

主な特徴

• AIによる自動化
  • AIを活用して、ネットワーク上の異常をリアルタイムで検知し、自動的に対応する。
    • これにより、手動での対応が難しい複雑な脅威にも迅速に対処可能。
• 広範な保護範囲
  • 従来のセキュリティ対策は領域が限定的だったが、Hypershieldはネットワーク全体、さらにクラウド環境やオンプレミスにも対応し、包括的な保護が可能。
• 自律的なセキュリティ管理
  • AIを活用した管理機能により、セキュリティポリシーのライフサイクルやインフラのアップグレードを自動化。
    • これにより、運用負荷を軽減し、効率的なセキュリティ管理が可能になる。

このように、Cisco Hypershieldは最新のAI技術を取り入れ、企業のIT環境を包括的に守る革新的なセキュリティソリューションです🥳🥳

最後に

クラウドセキュリティは、現代のIT環境においてますます重要になっています。
リモートワークの普及やクラウドサービスの活用が進む中で、セキュリティ対策をしっかりと講じることが企業にとって必要不可欠です。
今回紹介したSASE、SSE、ゼロトラスト、CSMA、CASBなどの技術やアーキテクチャは、それぞれ異なる側面から企業のセキュリティを強化するための有力な手段です。

これらの技術を効果的に活用することで、より安全で柔軟なクラウド環境を構築することができます。
しかし、導入には適切な知識と理解が必要です。
自社に合ったセキュリティ対策を選び、定期的に見直すことが、セキュリティの向上に繋がります。

最後に、クラウドセキュリティの進化は日々続いており、今後も新たな技術や方法が登場することと思います。
これからも積極的に最新情報を追い、セキュリティ強化を図ることが大切です。
エンジニアとして、クラウドセキュリティの基本をしっかり理解し、実践に活かしていきましょう！💪