責任共有モデル
クラウドセキュリティの大前提が責任共有モデルです。クラウドプロバイダー(CSP)が「クラウドのセキュリティ」を担い、利用者が「クラウド内のセキュリティ」を担います。
| サービスモデル | CSPの責任 | 利用者の責任 |
|---|---|---|
| IaaS | 物理インフラ、ハイパーバイザー | OS、ミドルウェア、アプリ、データ、アクセス制御 |
| PaaS | 上記 + OS、ランタイム | アプリ、データ、アクセス制御 |
| SaaS | 上記 + アプリ | データ、アクセス制御、設定 |
IAM(アイデンティティ管理)
クラウドセキュリティの最重要領域です。クラウドへのすべてのアクセスはIAMを通過するため、IAMの設計ミスは直接的な情報漏洩につながります。
共通のベストプラクティス
- 最小権限の原則:必要最小限の権限のみを付与
- MFAの全面適用:特に管理者アカウントは必須
- ルートアカウント/グローバル管理者の使用制限:日常業務では使用しない
- サービスアカウントの管理:定期的なキーローテーション
- 権限の定期棚卸し:未使用の権限を四半期で見直し
暗号化
保存時の暗号化(Encryption at Rest)
3大クラウドともストレージ・データベースのデフォルト暗号化が提供されています。多くのサービスでAES-256が自動適用されます。より高いセキュリティが必要な場合は顧客管理鍵(CMK)を使用します。
転送時の暗号化(Encryption in Transit)
すべての通信をTLS 1.2以上で暗号化します。3大クラウドともデフォルトでTLS暗号化が適用されますが、古いプロトコル(TLS 1.0/1.1)が無効化されていることを確認しましょう。
ネットワーク制御
- VPC/VNet設計:パブリックサブネットとプライベートサブネットの分離
- セキュリティグループ/NSG:最小限のポートのみ許可。0.0.0.0/0からのSSH/RDPは禁止
- プライベートエンドポイント:PaaS/SaaSサービスへの接続をインターネットを経由せずプライベート接続
- WAF:Webアプリケーションの前段にWAFを配置してOWASP Top 10の攻撃を防御
ログ管理と監視
| 目的 | AWS | Azure | Google Cloud |
|---|---|---|---|
| API操作ログ | CloudTrail | Activity Log | Cloud Audit Logs |
| リソース監視 | CloudWatch | Azure Monitor | Cloud Monitoring |
| 脅威検知 | GuardDuty | Defender for Cloud | Security Command Center |
| SIEM連携 | Security Lake | Microsoft Sentinel | Chronicle |
CSPM(クラウドセキュリティ態勢管理)
CSPM(Cloud Security Posture Management)は、クラウド環境の設定ミスやコンプライアンス違反を自動的に検出する仕組みです。
- AWS:Security Hub + Config
- Azure:Defender for Cloud(CSPM)
- Google Cloud:Security Command Center
「S3バケットがパブリック公開になっている」「ストレージアカウントの暗号化が無効」といった設定ミスを自動検出し、修正を推奨します。
3大クラウドのセキュリティ機能比較
| 領域 | AWS | Azure | Google Cloud |
|---|---|---|---|
| IAM | IAM + Organizations + SSO | Entra ID + PIM | Cloud IAM + Organization Policy |
| 鍵管理 | KMS + CloudHSM | Key Vault + Managed HSM | Cloud KMS + Cloud HSM |
| DDoS対策 | Shield (Standard/Advanced) | DDoS Protection | Cloud Armor |
| WAF | AWS WAF | Azure WAF | Cloud Armor WAF |
| コンプライアンス | Audit Manager | Compliance Manager | Assured Workloads |
BTNコンサルティングの支援
AWS、Azure、Google Cloudのセキュリティ設計・実装を支援します。IAM設計、ネットワーク設計、暗号化設定、ログ管理、CSPM導入まで一括で対応します。
まとめ
クラウドセキュリティの基本は、責任共有モデルの理解、IAMの最小権限設計、暗号化、ネットワーク制御、ログ管理の5領域です。AWS・Azure・Google Cloudのいずれも同等のセキュリティ機能を提供しており、自社のクラウド環境に応じた適切な設計と運用が重要です。