クラウドセキュリティを支える技術と運用の最前線 / Cutting-edge Technologies and Operations Supporting Cloud Security

Transcript

1. 2nd September, 2025 ISC2.org/Events | #ISC2Events JAPAN クラウドセキュリティを支える 技術と運用の最前線 大島

   悠司

2. はじめに クラウドセキュリティの現状と課題 クラウドセキュリティの技術 実践的なクラウドセキュリティ戦略 まとめ

3. 自己紹介 3 大島 悠司 (Yuji Oshima) シニアセキュリティアーキテクト NRIセキュアテクノロジーズ株式会社 株式会社野村総合研究所 セキュリティアナリストやサービス開発運用などを経て、

   現在はクラウドセキュリティ製品の導入支援に従事 100以上の資格を取得し、情報発信やコミュニティ運営にも 力を入れている @yuj1osm

4. 会社情報 4 野村総合研究所（NRI）グループにおける情報セキュリティ専門の中核企業 （2025年4月1日現在）

5. サービス・製品提供体制 5 社会やニーズの変化、技術動向に応じたサービス・製品を4つのコア事業で提供

6. 講演の目的とゴール 6 目的 • クラウド環境における最新のセキュリティ課題と脅威動向を理解する • クラウドセキュリティを構成する主要技術の役割と活用方法を体系的に把握する • 実践的なクラウドセキュリティ戦略の構築に向けたヒントを得る ゴール

   • 自社のクラウド環境に適したセキュリティ対策の方向性を描けるようになる • 技術選定や運用体制の構築において、判断材料となる知識を得る • クラウド活用を安全に推進するための視点を持ち帰る

7. はじめに クラウドセキュリティの現状と課題 クラウドセキュリティの技術 実践的なクラウドセキュリティ戦略 まとめ

8. DX※1の加速とクラウドの必然性 ※1 デジタルトランスフォーメーション 8 • DXに取り組んでる企業の割合は 年々増加している • 日本企業は海外にも引けを取らない ほどDXに取り組んでいる

   • DXの実現には、クラウドを活用した データ処理・AI活用・アジャイル開発 が不可欠 （出典）DX動向2025 | IPA

9. 国内のクラウド利用動向 9 • クラウドを利用する企業は年々増加 • 80%以上の企業がクラウドを利用 • クラウドサービスを利用する理由 • 場所、機器を選ばずに利用できる

   • 資産、保守体制を社内に持つ必要がない • 安定運用、可用性が高くなる （出典）令和６年通信利用動向調査の結果 | 総務省

10. クラウドに対する脅威：CSA※1 Top Threats to Cloud Computing クラウドネイティブ機能の脅威は継続しており、利用者起因の脅威が増加 Top Threats to

    Cloud Computing – Pandemic Eleven (2022) 1 アイデンティティとアクセス管理 2 セキュアでないインターフェースやAPI※2 3 設定ミスと不十分な変更管理 4 不十分なクラウドセキュリティ戦略 5 セキュアでないソフトウェア開発 6 セキュアではないサードパーティーのリソース 7 システムの脆弱性 8 偶発的なクラウドデータ公開 9 サーバレスやコンテナの構成ミスやエクスプロイト 10 APT※3攻撃 11 クラウドストレージデータ流出 Top Threats to Cloud Computing (2024) 1 設定ミスと不十分な変更管理 2 アイデンティティとアクセス管理 3 セキュアでないインターフェースやAPI 4 不十分なクラウドセキュリティ戦略 5 セキュアでないサードパーティーのリソース 6 セキュアでないソフトウェア開発 7 偶発的なクラウドデータ公開 8 システムの脆弱性 9 限定的なクラウド可視性/可観測性 10 未認証のリソース共有 11 APT攻撃 ※1 クラウドセキュリティアライアンス (Cloud Security Alliance) ※2 アプリケーション・プログラミング・インターフェース（Application Programming Interface） ※3 持続的標的型攻撃 (Advanced Persistent Threat)

11. クラウドに対する脅威：ENISA※1 Befits, risks, and recommendations for Information Security ※1 欧州ネットワーク情報セキュリティ機関

    (European Network and Information Security Agency) 11 組織・技術・法律に関するリスクのうち、技術に関するリスクを抜粋 ⚫ リソースの枯渇 ⚫ リソース分離の失敗 ⚫ クラウドプロバイダー内部の悪意ある行為 ⚫ マネージメントインターフェースの侵害 ⚫ データ交換中の傍受 ⚫ データの漏洩 ⚫ 不完全なデータ削除 ⚫ 分散型サービス拒否攻撃（DDoS） ⚫ 経済的サービス妨害（EDoS） ⚫ 暗号化鍵の紛失 ⚫ 悪意のある探索 ⚫ サービスエンジンの侵害 ⚫ 顧客とクラウドでのセキュリティ対策の違 いからくる問題

12. 脅威の種類を分類して整理 12 • 様々な脅威があるため、影響範囲や対処すべき管轄が分からなくなる • 例えば以下のように分類をすると、影響範囲の把握や対処がしやすくなる • アイデンティティ・アクセス管理のリスク • ネットワークのリスク

    • データのリスク • 設定・運用管理のリスク

13. 分類例 アイデンティティ・アクセス管理 / ネットワークのリスク 13 • アイデンティティ・アクセス管理のリスク • アイデンティティとアクセス管理 •

    未認証のリソース共有 • マネージメントインターフェースの侵害 • ネットワークのリスク • APT攻撃 • 分散型サービス拒否攻撃（DDoS） • 経済的サービス妨害（EDoS）

14. 分類例 データ /設定・運用管理のリスク 14 • データのリスク • データの漏洩 • 不完全なデータ削除

    • 暗号化鍵の紛失 • 設定・運用管理のリスク • 設定ミスと不十分な変更管理 • 不十分なクラウドセキュリティ戦略 • セキュアでないインターフェイスやAPI • セキュアでないサードパーティリソース • システムの脆弱性 • 限定的なクラウド可視性／可観測性

15. 責任共有モデル：NIST SP 800-145 15 • いずれのサービスモデルもユーザの責任がゼロになることはない データ アプリ ミドル OS

    仮想化 ハードウェア データ アプリ ミドル OS 仮想化 ハードウェア データ アプリ ミドル OS 仮想化 ハードウェア IaaS PaaS SaaS 利用者の責任範囲 クラウド提供事業者の 責任範囲 • ユーザが対応すべきレイヤーを把握する

16. 新しい責任共有モデル：CSA The Evolution of Cloud Computing and the Updated Shared

    Responsibility ※1 Cloud Native Computing Framework 16 新たなクラウドサービスモデルが増え、レイヤーも細分化し、対策が困難に ※1 （出典）クラウドネイティブにおける新しい責任共有モデルとセキュリティの考え方 | CSA Japan

17. ワークロード全体で考えるセキュリティ対策 17 • ワークロードは複数のサービスが組み合わさってできている • ワークロード全体として、責任境界をきれいに線引きするのは困難 • ユーザが各サービスを理解したうえで、セキュリティ対策することが重要 AWS Cloud

    Virtual private cloud (VPC) データ (Amazon RDS) Webサイト (Amazon EC2) 静的コンテンツ (Amazon S3) Amazon CloudFront Users IaaS PaaS

18. はじめに クラウドセキュリティの現状と課題 クラウドセキュリティの技術 実践的なクラウドセキュリティ戦略 まとめ

19. セキュリティフレームワークの活用 19 • セキュリティフレームワークのメリット • セキュリティ対策の抜け漏れを防ぎ、効率よく運用管理体制を構築可能 • 第三者認証の取得に繋げやすく、信頼性獲得に貢献 • 代表的なセキュリティフレームワーク

    • NIST CSF： 米国国立標準技術研究所 (NIST) 発行の重要インフラ向けフレームワーク • CIS Controls： Center for Internet Security発行のセキュリティ対策ガイドライン • ISMS： JIS Q 27001 (ISO/IEC 27001) に基づいた情報セキュリティ管理対策 • PCI DSS： Payment Card Industry Security Standards Council 発行のカード向け対策基準

20. 代表的なセキュリティフレームワークの比較 20 CISはサイバー攻撃に特化し、具体的な技術面での対策と設定に強みがある NIST CSF ISMS CIS Controls PCI DSS

    組織面に強い 技術面に強い サイバー攻撃対策に特化 情報セキュリティ全般 <対象> 重要インフラ向け <内容> ・サイバー攻撃対策が中心 ・広く活用されるよう、 要求事項は汎用的 <対象> 業界を問わない <内容> ・情報セキュリティ全般の 対策確認が中心 ・インシデント対応に係る 項目は不十分 <対象> 業界を問わない <内容> ・サイバー攻撃に関する技術 的な対策状況確認が中心 <対象> クレジットカード情報を 扱う業界 <内容> ・クレジットカード情報の保護 （出典）【解説】NIST サイバーセキュリティフレームワークの実践的な使い方｜NRIセキュア

21. CIS Benchmarks 21 幅広い製品を対象とする、設定・運用のガイドライン カテゴリ 製品・サービス（抜粋） Cloud Providers Alibaba Cloud,

    Amazon Web Services, Google Cloud Computing Platform, IBM Cloud Foundations, Microsoft 365, Microsoft Azure, Oracle Cloud Infrastructure Operating Systems Alibaba Cloud Linux, Amazon Linux, Apple macOS, Azure Linux, Google ChromeOS, Microsoft Windows Desktop, Microsoft Windows Server, Oracle Linux, Red Hat Enterprise Linux, SUSE Linux Enterprise Server Linux, Ubuntu Linux Server Software Apache HTTP Server, BIND, Docker, Kubernetes, MariaDB, Microsoft IIS, Microsoft SharePoint, Microsoft SQL Server, MongoDB, Oracle Database, PostgreSQL, VMware Mobile Devices Apple iOS, Google Android, Microsoft Intune Apple iOS, iPadOS, macOS Network Devices Check Point Firewall, Cisco, F5, Fortinet, Juniper, Palo Alto Networks Desktop Software Google Chrome, Microsoft Office, Mozilla Firefox, Safari Browser, Zoom DevSecOps Tools GitHub

22. CIS Benchmarks：Cloud Providers 22 クラウド事業者ごとに粒度は異なるが、おおよそ以下の分類 AWS Azure Goole Cloud OCI

    バージョン v5.0.0 v4.0.0 v4.0.0 v3.0.0 アイデンティティ / アクセス管理 21 37 17 17 ネットワーク 8 8 10 8 コンピュート 仮想マシン - 1 12 3 ストレージ 9 21 2 6 データベース - - 22 - サーバレス - - - - ロギング / モニタリング 9 / 16 25 16 18 セキュリティ / コンプライアンス - 10 / 15 - 2 合計 63 117 79 54

23. クラウドを守るセキュリティ技術 23 各技術の特徴、カバーするフレームワーク、世の中のトレンドを抑えておく 分類 技術 アイデンティティ / アクセス管理 CIEM、ITDR、PAM ネットワーク

    SWG、CASB、ZTNA、SSE、SD-WAN、SASE ワークロード CWP データ DSPM コード IaC Scan 設定 / 運用管理 CSPM、KSPM、CNAPP SaaS SSPM エクスポージャー ASM AI AI-SPM

24. アイデンティティ / アクセス管理 CIEM (Cloud Infrastructure Entitlement Management) 24 クラウドのIDと権限を管理し、最小権限アクセスの原則を維持

    • 機能 • 権限設定のリスク検出 • 推奨ポリシーの提示 • 継続的な権限設定の監視 • サービス例 • Microsoft Entra Permissions Management • Cloud Identity Insights for Sysdig Secure • CyberArk CIEM 管理

25. アイデンティティ / アクセス管理 ITDR (Identity Threat Detection and Response) 25

    クラウドのIDの異常なアクティビティを検知・対応 • 機能 • IDの脅威を検出 • 漏えい、摂取された認証情報を監視 • IDを即座に保護 • サービス例 • Microsoft Defender for Identity • CrowdStrike Falcon Identity Protection • Silverfort ITDR 漏えい有無 を監視 挙動 を監視 保護

26. アイデンティティ / アクセス管理 PAM (Privileged Access Management) 26 特権アクセスを管理し、内部不正のリスクを低減 •

    機能 • 特権アカウントの管理 • ジャストインタイムアクセスの実装 • アクティビティの記録 • サービス例 • Okta Privileged Access • CyberArk • SecureCube Access Check PAM 申請 承認 特権アクセス 監査

27. ネットワーク SWG (Secure Web Gateway) 27 ネットワークへのアクセスを安全に行うためのクラウド型プロキシ • 機能 •

    URLフィルタリング • アプリケーションの利用制御 • マルウェアの侵入を防御 • サービス例 • Zscaler Internet Access • Cisco Umbrella • i-FILTER SWG

28. ネットワーク CASB (Cloud Access Security Broke) 28 クラウドサービスへのアクセスを一元管理 • 機能

    • 利用できるクラウドサービスを制御 • クラウドサービスの利用状況を可視化 • マルウェアや情報窃取などの不審な挙動を検知 • サービス例 • Microsoft Defender for Cloud Apps • Proofpoint CASB • Netskope CASB Slack CASB Microsoft 365 Salesforce

29. ネットワーク ZTNA (Zero Trust Network Access) 29 ユーザ、デバイス、アプリケーションのすべてのアクセスを検証 • 機能

    • すべての通信を評価したアクセス制御 • 認証・認可機能の統合 • アクティビティの記録 • サービス例 • Zscaler Private Access • Palo Alto Networks Prisma Access • Cloudflare Access ZTNA クラウド データセンター リモート オフィス

30. ネットワーク SSE (Security Service Edge) 30 SWG、CASB、ZTNAなどを統合したセキュリティサービス ZTNA インターネット /

    クラウド データセンター リモート オフィス CASB SWG インターネット / クラウド データセンター リモート オフィス SSE 統合

31. ネットワーク SD-WAN (Software Defined-Wide Area Network) 31 広域ネットワークのトラフィックをソフトウェアによって管理 • 機能

    • リモートから簡単に設定変更 • Active-Active構成で複数のWAN回線を有効活用 • 拠点やアプリケーションごとのパフォーマンス管理 • サービス例 • Cisco SD-WAN • VMware SD-WAN • Fortinet Secure SD-WAN SD-WAN クラウド データセンター 本社 支店 支店 データセンター

32. ネットワーク SASE (Secure Access Service Edge) 32 SSEとSD-WANなどを統合した、セキュリティとネットワークのサービス 統合 インターネット

    / クラウド データセンター リモート オフィス SSE SD-WAN インターネット / クラウド データセンター リモート オフィス SD-WAN SASE

33. ワークロード CWP (Cloud Workload Protection) 33 クラウド環境の仮想マシン、コンテナ、サーバレスの監視と保護 • 機能 •

    稼働中のワークロードの脅威を検出 • 様々なコンプライアンス基準で評価 • ワークロードの脆弱性管理 • サービス例 • Prisma Cloud • CrowdStrike Falcon Cloud Workload Protection • Trend Vision One CWP 監視 設定修正

34. データ DSPM (Data Security Posture Management) 34 組織の機密データに対する潜在的な脅威を検出 • 機能

    • データの検出と分類 • 様々なコンプライアンス基準で評価 • データに対するリスクを評価 • サービス例 • Varonis • Cyera • BigID DSPM 自組織 監視 クレジットカード番号 マイナンバー 住所

35. コード IaC (Infrastructure as Code) Scan 35 IaCテンプレート内のセキュリティ問題を検出 • 機能

    • IaCテンプレートの構成エラーや脆弱性を検出 • カスタムポリシーに基づいた検出 • DevOpsへの組み込み • サービス例 • Snyk IaC • GitLab IaC Scanning • CrowdStrike Falcon Cloud Security IaC Scanning IaC Scan 監視 リポジトリ クレデンシャル

36. 設定 / 運用管理 CSPM (Cloud Security Posture Management) 36 コンプライアンス基準に基づき、クラウドサービスの設定を継続的に評価

    • 機能 • クラウドの設定不備を検出 • 様々なコンプライアンス基準で評価 • マルチクラウド環境を一元管理 • サービス例 • Prisma Cloud • Orca Security • Wiz CSPM 監視 設定修正

37. 設定 / 運用管理 KSPM (Kubernetes Security Posture Management) 37 Kubernetes環境のセキュリティを管理し、脅威から保護

    • 機能 • Kubernetesの設定不備を検出 • 様々なコンプライアンス基準で評価 • クラスタ内の脆弱性管理 • サービス例 • Sysdig Secure • Aqua Security • Check Point CloudGuard for Cloud Native Security KSPM 監視 設定修正 コンテナ コンテナ コンテナ Pod コンテナ コンテナ Pod Node コンテナ コンテナ コンテナ Pod Node クラスタ

38. 設定 / 運用管理 CNAPP (Cloud Native Application Protection Platform) 38

    CSPM、CWP、CIEM、KSPM、IaCなどを統合したセキュリティサービス CIEM KSPM IaC Scan CWP CSPM 監視 CNAPP

39. SaaS SSPM (SaaS Security Posture Management) 39 SaaSアプリケーションのセキュリティ設定を監視 • 機能

    • SaaSアプリケーションの設定不備を検出 • 様々なコンプライアンス基準で評価 • 継続的な権限設定の監視 • サービス例 • AppOmni • Falcon Shield • Valence SSPM 監視 設定修正 Microsoft 365 Google Workspace Salesforce

40. エクスポージャー ASM (Attack Surface Management) 40 サイバー攻撃の対象となりうるIT資産を調査 • 機能 •

    外部公開されているIT資産を検出 • 攻撃面の脆弱性収集 • IT資産のリスク管理 • サービス例 • Tenable Attack Surface Management • Mandiant Attack Surface Management • CyCognito ASM 自組織 調査 脆弱性 公開 公開

41. AI AI-SPM (AI Security Posture Management) 41 クラウド環境のAIサービスや大規模言語モデル (LLM) を監視

    • 機能 • AIサービスの設定不備を検出 • 様々なコンプライアンス基準で評価 • AIパイプライン間での機密データの流れを監視 • サービス例 • Prisma Cloud • Sysdig Secure • Wiz CSPM 監視 設定修正

42. はじめに クラウドセキュリティの現状と課題 クラウドセキュリティの技術 実践的なクラウドセキュリティ戦略 まとめ

43. クラウドセキュリティ製品選定のポイント 43 • 市場ではどのようなポジションか • どんな脅威に対して有効か • 目的を果たすために必要な機能が十分にあるか • 組織のセキュリティ戦略や業界特有の規制に対応しているか

    • 導入することで業務の効率化や削減ができるか • 自社の既存製品や運用との親和性があるか • ベンダーや販売代理店のサポート体制は良いか

44. 製品選定のユースケース 44 • 要件 • 社内の機密情報を把握、さらに全データを検索したい（最優先） • IDやコンテナに対する脅威も検知したい • 検討サービス

    • CNAPPだと要件を満たせそうだが・・ • 注意点 • CNAPPのDSPM機能は、アラートの優先度付けのためにしか使われないものがある • 統合製品の含まれる機能が、世間一般で謳われている機能と同等とは限らない CIEM KSPM IaC Scan CWP CSPM CNAPP

45. 運用体制の構築 45 • 運用設計 • 既存の運用に対して製品を導入した後のギャップ分析 • 製品を導入した後の監視・対応・改善までを見据えた設計 • 運用フローの設計

    • アラート対応のルール化と定期的なレビュー • 社内関係者（SOCやCSIRTなど）との役割分担と連携 • 人材育成 • 社内でのスキルセット確保と教育体制の整備 • 製品アップデートや世の中のトレンドへの追従

46. クラウドやセキュリティ資格の取得 46 • クラウドやセキュリティ資格を取得するメリット • クラウドやセキュリティの技術を体系的に習得 • デザインパターンやベストプラクティスを習得 • パートナーシップの要件への貢献

    • クラウドセキュリティ資格の例 • CCSP (Certified Cloud Security Professional) • AWS Certified Security – Specialty • Microsoft Certified: Azure Security Engineer Associate • Google Cloud Professional Cloud Security Engineer 資格 1 AWS Certified Security – Specialty 2 Google Cloud Professional Cloud Architect 3 Nutanix Certified Professional 4 CCSP 5 CCNP Security 6 CISSP 7 CCIE Enterprise Infrastructure 8 CRISC 9 AWS Certified Developer – Associate 10 CIPP （出典）20 Necessary IT Certifications + Salaries I Skillsoft

47. クラウドやセキュリティのコミュニティ 47 • クラウドやセキュリティのコミュニティへ参加するメリット • 勉強会や交流を通して、新しい知見や多様な価値観を習得 • 登壇することで様々なフィードバックが得られる • クラウドやセキュリティコミュニティの例

    • JAWS-UG (AWS User Group - Japan) • JAZUG (Japan Azure User Group) • Jagu’e’r (Japan Google Cloud Usergroup for Enterprise)

48. クラウドやセキュリティのカンファレンス 48 • クラウドやセキュリティのカンファレンスへ参加するメリット • 新サービス発表やトレンド技術を習得でき、現地の熱量を感じれる • Expoでは、様々なクラウドセキュリティ製品の情報を得られる • クラウドやセキュリティカンファレンスの例

    • AWS re:Invent / re:Inforce • Microsoft Ignite / Build • Google Cloud Next / Google I/O • RSA Conference • Black Hat USA / DEF CON

49. マルチクラウドセキュリティの教科書 49 マルチクラウドの教科書シリーズ第3弾 ! AWS、Azure、Google Cloud、OCIだけでなく、 サードパーティベンダーやクラウドセキュリティの 技術トレンドなど、544ページに渡り幅広くバー！ 【9/16】に全国書店にて発売！ 各サイトにて予約受付中！

50. はじめに クラウドセキュリティの現状と課題 クラウドセキュリティの技術 実践的なクラウドセキュリティ戦略 まとめ

51. まとめ 51 • クラウド環境における最新のセキュリティ課題と脅威動向を理解する • CSAやENISAを題材に、ネイティブ機能や利用者起因の脅威を紹介 • 脅威を大枠でカテゴライズすると、影響範囲の把握や対処がしやすくなる • クラウドセキュリティを構成する主要技術の役割と活用方法を体系的に把握する

    • CISをはじめとする、フレームワークを活用して対策する • クラウドセキュリティ技術が達成できることやトレンドを抑える • 実践的なクラウドセキュリティ戦略の構築に向けたヒントを得る • 製品選定においては、目的の達成可否や有効性を吟味する • 製品導入後の運用設計から人材育成の戦略まで検討する

52. Thank You! 大島 悠司 (Yuji Oshima)