This is the Trace Id: 8bf68b377710c173c98cad5cf83ba3ce
メイン コンテンツへスキップ Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel すべての製品を表示 AI 搭載のサイバーセキュリティ クラウド セキュリティ データ セキュリティとガバナンス ID とネットワーク アクセス プライバシーとリスク管理 AI 対応のセキュリティ 中小規模企業 統合セキュリティ オペレーション ゼロ トラスト 価格 サービス パートナー Microsoft Security が選ばれる理由 サイバーセキュリティ意識向上 お客様導入事例 セキュリティ 101 製品試用版 業界での評価 Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Microsoft Security のブログ Microsoft Security のイベント Microsoft Tech Community ドキュメント 技術コンテンツ ライブラリ トレーニングと認定 Compliance Program for Microsoft Cloud Microsoft トラスト センター Service Trust Portal Microsoft セキュア フューチャー イニシアティブ ビジネス ソリューション ハブ 営業に問い合わせる 無料試用を開始する Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mixed Reality Microsoft HoloLens Microsoft Viva 量子コンピューティング 教育機関 自動車 金融サービス 行政機関 医療 製造業 小売業 パートナーを探す パートナーになる パートナー ネットワーク Microsoft Marketplace Marketplace Rewards ソフトウェア会社 ブログ Microsoft Advertising デベロッパー センター ドキュメント イベント ライセンス Microsoft Learn Microsoft Research サイトマップの表示
デスクの前に座り、ノート PC を使っている人物。

クラウドネイティブ セキュリティとは?

クラウドネイティブ セキュリティがアプリケーション ライフサイクル全体でアプリケーション、データ、インフラストラクチャを保護する方法について、ベスト プラクティスと基本原則の例を使用して説明します。
クラウドネイティブ セキュリティは、クラウド環境向けに設計されたアプリケーションやインフラストラクチャにセキュリティ制御とリスクベースの保護を組み込み、コードの作成からデプロイとランタイムまでのワークロードをセキュリティで保護します。このアプローチは、動的なマルチクラウド環境で動作する分散システム、マイクロサービス、コンテナー化されたアプリケーションのセキュリティを組織が管理するのに役立ちます。
  • クラウドネイティブ セキュリティは、アプリケーション ライフサイクルのすべての段階にセキュリティを統合します。

  • これは、コンテナー化されたマイクロサービス ベースのアーキテクチャによってもたらされる固有のセキュリティ上の課題に対処します。

  • コア プラクティスには、ゼロ トラスト、自動化、シフトレフト セキュリティ、サイバー脅威の継続的な監視が含まれます。

クラウドネイティブ セキュリティの概要

アプリケーションがオンプレミスのみで実行されていた時代、セキュリティは物理サーバーとその周囲のハードウェア ファイアウォールで成り立っていました。今日のクラウドネイティブ アプリケーションの保護は、より複雑です。クラウドネイティブ アプリケーションのセキュリティでは、オンプレミスサーバーと複数のクラウドにまたがるワークロードを保護する必要があります。需要の変化に応じて数百のインスタンスから数百万インスタンスまでスケーリングできる必要があります。

クラウドネイティブ戦略を採用している組織は、多くの場合、マイクロサービス、コンテナー、および Kubernetes などのオーケストレーション プラットフォームを活用しています。これらのテクノロジにより、機敏性とスケーラビリティが実現されますが、追加のリスクも発生します。クラウドネイティブ セキュリティは、コードからランタイムまでの埋め込み保護と制御によってこれらのリスクに対処し、クラウドおよび AI アプリケーションがリアルタイムで変化するのに合わせて、継続的でアダプティブな保護を確保します。

クラウドと AI のアプリケーション、データ、インフラストラクチャをライフサイクル全体にわたって保護するには、セキュリティ対策によってコードの開発、構成、デプロイ、リアルタイムの検出と応答を統合されたアプローチに結び付ける必要があります。また、ワークロードがマルチクラウド環境で確実に保護されるように、機密データ、データベース、AI モデルにも対処する必要があります。

AI 駆動の分析情報、ランタイム監視、ID ベースの制御を組み合わせたコンテキスト対応のセキュリティを追加することで、動的なシステムにおいてコンプライアンスを維持し、リスクを軽減するのに役立ちます。クラウドネイティブのアプリケーション保護プラットフォーム (CNAPP) は、クラウドと AI アプリケーションのライフサイクル全体のセキュリティを統合し、複雑さ、可視性のギャップ、環境間の攻撃者の動きに対処するために作成されました。

クラウドネイティブ セキュリティの主な原則

クラウドネイティブのベスト セキュリティ プラクティスに従うと、組織はリスクを軽減しながら革新的な機敏性を維持できます。基本的なクラウドネイティブ セキュリティの原則には、次のようなものがあります:

シフトレフトのセキュリティ。このプラクティスは、開発プロセスの早い段階でセキュリティを統合し、デプロイ前に脆弱性を減らし、運用環境にリスクが到達するのを防ぎます。これにより、ビルド フェーズとテスト フェーズ中にコードの脆弱性がスキャンされ、運用環境に持ち込まれる欠陥が最小限に抑えられます。シフトレフトのセキュリティには、安全なコーディング プラクティス、自動テスト、開発者教育も含まれます。

ゼロ トラスト アーキテクチャこの方法では、すべてのアクセス要求が検証され、暗黙的な信頼が付与されることはありません。この原則は、ユーザー、デバイス、ワークロードに適用され、アクセスが継続的に検証されるようにします。厳密なアクセス制御を適用すると、環境内での横移動のリスクが軽減されます。

自動化とDevSecOps適切なツールを使用すると、継続的インテグレーションとデリバリー (CI/CD) パイプラインのセキュリティ プロセスを自動化でき、人的エラーを減らし、修復を加速できます。開発、セキュリティ、運用 (DevSecOps) フレームワークは、開発、セキュリティ、運用チーム間のコラボレーションを促進し、デリバリーを遅らせることなくワークフローにセキュリティを組み込みます。

ID およびアクセス管理 (IAM)クラウドにおいて、ID は主要なリスク面です。IAM では、アクセスが強力な ID ガバナンスによって制御され、最小限の特権の原則に基づいてアクセス許可が付与されます。さらに、IAM のベスト プラクティスには、多要素認証、ロールベースのアクセス制御、ID アクティビティの継続的な監視が含まれます。

ランタイム保護。継続的監視は、アプリケーションの実行中に脅威を検出して軽減します。これには、異常検出、行動分析、ランタイム強制ポリシーが含まれます。ランタイムの検出と応答により、脆弱性が存在していても、迅速に検出され、影響度によって優先順位が付けられ、攻撃者が悪用する前に封じ込められます。

クローズド ループ修復。自動フィードバック ループを使用すると、脆弱性に迅速に対処できます。この原則は、継続的な改善と回復性をサポートします。クローズド ループ修復は CI/CD パイプラインと統合され、ソースで問題を修正し、検出から解決までの時間を短縮します。

クラウドネイティブ セキュリティの主要なコンポーネント

クラウドネイティブ セキュリティには、アプリケーションとインフラストラクチャを保護するために連携するいくつかの重要な要素があります:

コンテナーと Kubernetes のセキュリティ。コンテナーはアプリケーションとその依存関係をパッケージ化し、アプリケーションの可搬性とスケーラビリティを実現します。Kubernetes はこれらのコンテナーを調整し、デプロイとスケーリングを管理します。コンテナーと Kubernetes のセキュリティには、イメージのスキャン、ランタイム監視、コントロール プレーンのセキュリティ保護が含まれます。正しく構成されていない Kubernetes クラスターは一般的な攻撃ベクトルであり、構成管理が重要になります。

API のセキュリティ。マイクロサービスは API を介して通信するため、不正アクセスを防ぐためにセキュリティで保護する必要があります。API セキュリティには、認証、承認、レート制限が含まれます。API ゲートウェイは、一元的な制御と監視を提供し、データ露出のリスクを軽減します。

CNAPP。CNAPP ソリューションは、クラウド セキュリティ態勢管理 (CSPM) を含む複数のセキュリティ機能を統合します。これらの統合プラットフォームにより、アプリケーションのライフサイクル全体でエンドツーエンドの可視性が提供され、リスクベースの優先順位付け、一貫したポリシーの適用、脅威の検出と応答の高速化が可能になります。

コンプライアンスとガバナンス。組織は一般データ保護規則 (GDPR)、医療保険の携行性と責任に関する法律 (HIPAA)、Payment Card Industry Data Security Standard (PCI-DSS) などの規制コンプライアンス標準に準拠する必要があります。コンプライアンス チェックとレポートを自動化することで、標準との整合を維持し、法的制裁のリスクを軽減できます。

AI ワークロード。AI モデルとデータ パイプラインは、独自のクラウド セキュリティの課題をもたらします。トレーニング データの保護、モデルの改ざんの防止、倫理的 AI プラクティスの確保は不可欠です。セキュリティ対策は、AI システムの機密性と整合性の両方に対処する必要があります。

クラウド データ セキュリティデータは攻撃者の主要なターゲットです。暗号化、マスキング、およびアクセス制御は、機密情報を保護します。データベース セキュリティには、承認されていないクエリの監視と適切な構成の確保が含まれます。

ID のアクセス許可。過剰な特権は、侵害のリスクを高めます。ID ガバナンス ツールは、最小限の特権の原則を適用し、異常を監視するのに役立ちます。特権エスカレーション攻撃はクラウド環境で一般的であり、ID セキュリティは最優先事項です。

マルチクラウド態勢の一貫性。マルチクラウド セキュリティは、それぞれが独自のセキュリティ ツールと構成を備えた複数のクラウド プロバイダーを使用する組織にとって懸念事項となります。環境全体で一貫したポリシーを維持することで、複雑さとリスクが軽減されます。

クラウドネイティブ コンテナー セキュリティこれには、コンテナー レジストリのセキュリティ保護、ランタイム コントロールの実装、コンテナー イメージの脆弱性の監視が含まれます。

クラウド ワークロード保護 (CWPP)。CWPP ソリューションは、仮想マシン、コンテナー、サーバーレス機能など、環境全体のワークロードの可視性と脅威検出を提供します。

もう 1 つの重要な概念は、クラウドネイティブ セキュリティの "4 つの C" です。各 "C" は、多層防御アプローチを確保するためにセキュリティで保護する必要があるレイヤーの 1 つを表します:
 
  1. Code (コード)- オープンソースの依存関係を含む、アプリケーションのコードとコードとしてのインフラストラクチャ (IaC)。
  2. Container (コンテナー)— コンテナー イメージとランタイム。
  3. Cluster (クラスター)— Kubernetes などのオーケストレーション プラットフォーム。
  4. Cloud (クラウド)— ネットワーク、仮想マシン、ストレージ、ID、構成などの基になるクラウド インフラストラクチャ。

一般的なクラウドネイティブセキュリティの課題

最新のクラウド インフラストラクチャは、一時的なものであるため、コスト効率が高くスケーラブルです。つまり、意図的に一時的です。基になるリソースは、必要に応じて作成および破棄されます。残念ながら、その弾力性により、従来のセキュリティ ツールを使用してクラウド インフラストラクチャをセキュリティで保護することは困難です。そのインフラストラクチャが複数のクラウドに存在し、それぞれに独自の構成とツールがある場合、攻撃者が悪用して環境間を横方向に移動できる可視性のギャップが生じる可能性があります。

構成ミスも、クラウドネイティブ セキュリティに関する一般的な問題です。たとえば、ストレージ バケット、オープン ポート、およびアクセス制御に関連する不適切な設定によって、サービスがインターネットに露出する可能性があります。サード パーティ製ライブラリとコンテナー イメージのオープンソースの依存関係と弱点にも脆弱性が生じます。

攻撃者は、これらの脆弱性を悪用するための戦略を継続的に進化させ続けています。コンテナーのエスケープや特権エスカレーションなどの手法はますます高度になり、それらに対処するには、同様に高度な自動化、監視、ガバナンスが必要です。

ベスト プラクティス チェックリスト

組織の戦略を策定する際に考慮すべき多くの要因について説明しました。クラウド セキュリティ態勢を強化するために必要なツールを選択する際に留意すべきいくつかの点を次に示します:
 
  • ゼロ トラストをマイクロセグメント化と共に実装して、横移動を制限し、攻撃の影響を軽減します。
  • 転送中および保存中のデータを暗号化して、機密情報の機密性と整合性を確保します。
  • CI/CD パイプラインの脆弱性スキャンを自動化して、開発プロセスでできるだけ早く問題を検出します。
  • 定期的なコンプライアンス監査と態勢評価を実施して、規制上の制裁が発生するリスクを軽減します。
  • 継続的な監視と脅威検出を動的なリスクの優先順位付けと組み合わせることで、セキュリティ チームは、侵害につながる可能性が最も高い攻撃パスに最優先で対処できます。
CNAPP を採用する場合は、次の機能が提供されていることを確認してください:
 
  • パフォーマンスに影響を与えることなく、幅広い可視性を実現するためのエージェントレス カバレッジ
  • コストのかかる侵害につながる可能性のある重大なリスクに集中するための攻撃パスの優先順位付け
  • 過剰な特権による露出を最小限に抑えるためのID アクセス許可の削減
  • 統合された脅威検出のための拡張検出および応答 (XDR) ソリューションとの統合
  • 脆弱性の迅速な解決を実現するためのライフサイクルベースの修復

Microsoft を使用してクラウドで保護を維持する

アプリケーションのライフサイクル全体をセキュリティで保護するには、分離されたツールやポイントの修正以上のものが必要です。Microsoft Security は、GitHub、Azure DevOps、Microsoft Copilot など、多くの開発者が既に使用しているツールと統合された、統合された AI 搭載のクラウドネイティブ アプリケーション保護プラットフォームを提供します。日常のワークフローにセキュリティを組み込むことで、組織は問題を迅速に特定して修復しながら、マルチクラウド環境全体でゼロ トラスト、DevSecOps、コンプライアンス要件をサポートできます。

Microsoft CNAPP を使用すると、セキュリティ チームはアプリケーション、データ、ID、インフラストラクチャの詳細な可視性を得ることができます。これは、毎日何兆もの脅威シグナルと、数十年にわたる脅威インテリジェンスの専門知識に基づく分析情報に支えられています。Microsoft Defender for Cloud と Defender XDR の統合により、セキュリティ チームはクラウド、ID、エンドポイント環境にまたがる複雑なクロスドメイン攻撃を調査して応答できます。その結果、リスクの優先順位付けが高速化され、セキュリティ ノイズが軽減され、クラウドと AI ワークロードの保護が強化されるため、組織は安全にスケーリングできます。
リソース

その他のクラウド セキュリティ リソースを見る

この情報は、クラウド セキュリティ戦略の改善に役立ちます。

よく寄せられる質問

  • クラウド ネイティブとは、マイクロサービス、コンテナー、動的オーケストレーションを使用してクラウド環境で実行するように設計されたアプリケーションやサービスを指します。
  • クラウドファーストはクラウド導入に優先順位を付ける戦略であり、クラウドネイティブはクラウド環境専用に構築されたアプリケーションを指します。
  • リソースが分散しているため、クラウドでは軽減すべきセキュリティ リスクが多数あります。これらのリスクには、構成ミス、サプライ チェーンの脆弱性、ID の悪用、ランタイムの脅威が含まれます。
  • 4 つの C は、Code (コード)、Container (コンテナー)、Cluster (クラスター)、Cloud (クラウド) です。これら 4 つのレイヤーをそれぞれセキュリティで保護することで、多層防御戦略が構成されます。
  • CNAPP などのクラウドネイティブ セキュリティ プラットフォームは、開発、デプロイ、ランタイムなど、アプリケーションのライフサイクル全体で統合されたセキュリティを提供します。

Microsoft Security をフォロー

日本語 (日本) コンシューマーの正常性のプライバシー Microsoft に問い合わせ プライバシー 特定商取引法に基づく表示 Cookie の管理 使用条件 商標 広告について