ストーリー
田
田中VPoE
FinOps体制が設計できた。次はセキュリティだ。マルチクラウド環境のセキュリティは単一クラウドの何倍も複雑になる
あなた
各クラウドでセキュリティの仕組みが違うからですか?
あ
田
田中VPoE
それもあるが、一番の問題は「攻撃面(Attack Surface)の拡大」だ。クラウドが増えれば設定ミスの可能性も増え、クラウド間の通信経路も増える。どこかに穴があれば、そこから全体が侵害される可能性がある
あなた
共通のセキュリティベースラインを定義して、全クラウドに適用する必要がありそうですね
あ
田
田中VPoE
まさにそうだ。クラウドごとの実装は異なるが、セキュリティポリシーは統一する。この「ポリシー統一、実装個別」がマルチクラウドセキュリティの基本だ
共有責任モデルの理解
クラウドごとの責任分界
| レイヤー | AWS | GCP | Azure | 顧客責任 |
|---|---|---|---|---|
| 物理インフラ | AWS | Microsoft | なし | |
| ネットワーク基盤 | AWS | Microsoft | なし | |
| ハイパーバイザー | AWS | Microsoft | なし | |
| OS(IaaS) | 共有 | 共有 | 共有 | パッチ適用 |
| ランタイム(PaaS) | プロバイダー | プロバイダー | プロバイダー | 設定管理 |
| アプリケーション | 顧客 | 顧客 | 顧客 | 全責任 |
| データ | 顧客 | 顧客 | 顧客 | 全責任 |
| ID/アクセス管理 | 顧客 | 顧客 | 顧客 | 全責任 |
マルチクラウドでは3つの共有責任モデルを理解し、各クラウドで「自分が責任を持つ範囲」を正確に把握する必要がある。
セキュリティベースライン
10の基本要件
| No. | 要件 | 説明 | 適用範囲 |
|---|---|---|---|
| 1 | 最小権限の原則 | 必要最小限の権限のみ付与 | 全クラウド |
| 2 | MFAの強制 | すべての人間のアクセスにMFAを要求 | 全クラウド |
| 3 | 暗号化の標準化 | 保存データと通信データの暗号化 | 全クラウド |
| 4 | ログの集約 | すべての操作ログを集中管理 | 全クラウド |
| 5 | ネットワーク分離 | VPC/VNetの適切な分離設計 | 全クラウド |
| 6 | 脆弱性管理 | 定期的なスキャンとパッチ適用 | 全クラウド |
| 7 | シークレット管理 | 秘密情報の安全な管理 | 全クラウド |
| 8 | インシデント対応 | 統一されたインシデント対応プロセス | 全クラウド |
| 9 | コンプライアンス監査 | 定期的なセキュリティ評価 | 全クラウド |
| 10 | セキュリティ教育 | 全従業員のセキュリティ意識向上 | 全社 |
暗号化戦略
暗号化の範囲
| 対象 | 要件 | AWS | GCP | Azure |
|---|---|---|---|---|
| 保存データ | AES-256以上 | KMS + SSE | Cloud KMS + CMEK | Key Vault + SSE |
| 通信データ | TLS 1.2以上 | ACM + ALB | Managed SSL | App Gateway |
| シークレット | ローテーション可能 | Secrets Manager | Secret Manager | Key Vault |
| キー管理 | 統一ポリシー | KMS | Cloud KMS | Key Vault |
鍵管理のベストプラクティス
| プラクティス | 説明 |
|---|---|
| BYOK(Bring Your Own Key) | 自社で生成した鍵をクラウドに持ち込む |
| 定期ローテーション | 90日ごとの鍵ローテーション |
| 鍵の分離 | 環境ごとに異なる暗号鍵を使用 |
| 監査ログ | すべての鍵操作を記録 |
| 災害復旧 | 鍵のバックアップと復旧手順の整備 |
セキュリティ監視の統合
SIEM統合アーキテクチャ
AWS CloudTrail ──────┐
AWS GuardDuty ───────┤
GCP Cloud Audit Logs ┼──→ 統合SIEM ──→ アラート/対応
GCP Security Center ┤ (Splunk/ ├── Slack通知
Azure Activity Log ──┤ Sentinel等) ├── PagerDuty
Azure Defender ──────┘ └── チケット自動作成統一アラートポリシー
| 重大度 | トリガー例 | 対応時間 |
|---|---|---|
| Critical | 不正アクセス成功、データ漏洩 | 15分以内 |
| High | 権限昇格の試行、異常なAPI呼び出し | 30分以内 |
| Medium | 設定変更、新規IAMユーザー作成 | 4時間以内 |
| Low | 情報収集活動、ポートスキャン | 次営業日 |
まとめ
| ポイント | 内容 |
|---|---|
| 共有責任モデル | 3つのクラウドの責任範囲を正確に理解する |
| ベースライン | 10の基本要件を全クラウドに統一的に適用 |
| 暗号化 | 保存データ・通信データ・シークレットの暗号化を標準化 |
| 監視統合 | SIEM統合で全クラウドのセキュリティイベントを一元管理 |
チェックリスト
- 共有責任モデルの違いを理解した
- 10のセキュリティベースライン要件を理解した
- マルチクラウドの暗号化戦略を理解した
- セキュリティ監視の統合アーキテクチャを理解した
次のステップへ
次は「ID連携とアクセス管理」を学びます。マルチクラウド環境でのID管理とアクセス制御の統合設計を身につけましょう。
推定読了時間: 30分