6. セキュリティ機能のマネージドサービス化
2026/04/22 公開
クラウド環境ではファイアウォール・WAF・IDS/IPS等のセキュリティ機能がマネージドサービスとして標準で提供されており、専用機器を導入することなく同等のセキュリティ対策を実現できる。さらにCSPが継続的にセキュリティサービスをアップデートするため、オンプレミス環境では対応が遅れがちだった新たな脅威にも迅速に対応できるようになった。
ただし、クラウド環境ではサービスの種類が多く構成が複雑になりやすいため、設定不備に起因するセキュリティリスクが高まりやすいという特性がある。そのため、従来の予防的統制(権限管理やファイアウォール等)のみに依存せず、発見的統制(CSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)や操作ログの監視)および訂正的統制(設定の是正等)を組み合わせたバランスのよいセキュリティ対策が重要となる。
図6-1 クラウド環境におけるセキュリティ対策の全体像と責任範囲
6.1 オンプレミスセキュリティ対策のクラウド移行
以下に、オンプレミス環境で一般的に実施されているセキュリティ対策ごとの移行方針を示す。
表6-1 セキュリティ対策別クラウド移行方針
| セキュリティ対策検討ポイント | クラウド移行時の対応 | 説明 |
|---|---|---|
| ファイアウォール | 設定のみで対応可能 | クラウドが提供するネットワークファイアウォールサービスで代替可能。専用機器の導入は不要。インバウンド・アウトバウンドのトラフィック制御をサービス設定で実現できる。 |
| WAF(Webアプリケーションファイアウォール) | 設定のみで対応可能 | クラウドが提供するWAFサービスで代替可能。専用機器の導入は不要。マネージドルールを活用することで、一般的なWebアプリケーションへの攻撃を容易に防御できる。 |
| IDS/IPS(侵入検知・防止) | 追加作業あり | IDS(侵入検知)はクラウドが提供する脅威検知サービスで実現可能。IPS(侵入防止)はネットワークファイアウォールサービスへのルール設定が必要であり、ネットワーク設計への組み込みが必要となる。専用機器の導入は不要。 |
| ウイルス対策・マルウェア対策 | 追加作業あり | 仮想マシンについては、OS標準機能(Windows Defender等)またはサードパーティ製のエンドポイントセキュリティ製品を導入する。エージェント導入が必要な場合がある。マネージドサービスではCSPの責任範囲となるため対応不要。 |
| 脆弱性管理(パッチ適用) | 設計変更が必要 | 仮想マシンのOSパッチ適用はクラウドが提供するパッチ管理サービスで管理できるため、個別のパッチ適用作業から自動化された管理方式への設計変更を推奨する。なお、マネージドサービスではCSPがパッチ適用を管理するため、パッチ適用タイミングやバージョンを利用システム側で任意に選択できない場合がある点に留意する。 |
| 暗号化・鍵管理 | 設定のみで対応可能 | クラウドが提供する鍵管理サービスを利用することで、データの暗号化と鍵管理を一元的に実現できる。専用の暗号化機器の導入は不要。 |
| クラウドセキュリティ態勢管理機能(CSPM) | 設定のみで対応可能 | CSPMはクラウド環境の設定不備を継続的にチェックし、セキュリティリスクを未然に防ぐ機能である。各CSPが標準機能として提供しており、クラウドのセキュリティ管理の負荷軽減や設定漏れによるリスクの未然防止に活用できる。 【ガバメントクラウド固有】 ガバメントクラウドでは、「必須適用テンプレート」を適用することでCSPMの機能が自動的に有効化される。 |
| ネットワーク分離(DMZ等) | 設計変更が必要 | オンプレミスの物理的なネットワーク分離から、クラウドの仮想ネットワーク(VPC等)を利用したネットワーク分離に設計変更が必要。サブネット設計・セキュリティグループ設定により同等の分離を実現できる。 なお、クラウド環境では中長期的にはネットワーク境界による防御に依存せず、IDベースの認証・認可を中心としたゼロトラストセキュリティの考え方を取り入れることが望ましい。R1の段階では従来のネットワーク分離をクラウド上で再現することを優先しつつ、R2のタイミングでゼロトラストへの移行を見据えた設計を検討することを推奨する。 |
6.2 クラウド環境で新たに必要なセキュリティ対策
クラウド環境への移行にあたっては、オンプレミス環境にはなかった以下のセキュリティ対策を新たに検討する必要がある。
表6-2 クラウド環境で新たに必要なセキュリティ対策
| セキュリティ対策 | 説明 |
|---|---|
| クラウド操作ログの監視(脅威検知) | クラウドではリソース操作がAPIを通じて実行されるため、設定変更や権限変更等の操作ログを監視し、不審な操作の兆候を検知する仕組みを整備する。 【ガバメントクラウド固有】 ガバメントクラウドでは「必須適用テンプレート」を適用することで管理操作ログの収集や脅威の検知が自動的に設定される。 |
| 権限管理(最小権限の原則) | クラウドではCSP提供の管理コンソールやAPIを通じてリソースを操作するため、CSPサービスの認証後の権限設計が重要となる。必要最小限の権限のみを付与する最小権限の原則に基づき、権限設計・運用を行う。 【ガバメントクラウド固有】 ガバメントクラウドではGCAS-SSOにより管理コンソールやAPI実行時の認証方式の設計・実装は不要である。ただし、認証後にどのリソースへのアクセスを許可するかという権限設計は利用システム側で行う必要があるため、最小権限の原則に基づいた権限設計を実施すること。 |
| 訂正的統制(設定の自動修復) | 本章冒頭で示した3つの統制のうち、予防的統制(ファイアウォール・権限管理等)と発見的統制(CSPM・操作ログの監視等)は、6.1節および本表の各項目で対応している。 訂正的統制については、設定不備や不審な操作を検知した際の是正について、手動修正に加え、クラウドのサービス連携を活用した自動修復を見据えた設計とすることが望ましい。 |
| 外部CSPMサービスの活用検討 | 6.1節で示したCSPM機能に加え、外部のセキュリティ専門会社が提供するSaaSベースのCSPMサービスも存在する。CSP標準のCSPM機能では対応できない要件(マルチクラウド環境の一元管理・より高度な脅威検知等)がある場合に限り導入を検討する。ただし、対象システムのセキュリティ要件に対して過剰な導入となりやすいため、システムの要件・リスクレベルを踏まえて慎重に判断することを推奨する。 |
6.3 参考資料
6.3.1 リファレンスアーキテクチャ
具体的なサービス選定や構成検討の際は、各CSPのリファレンスアーキテクチャを参照されたい。
どのように構成するかの実現例を具体的に示しており、アーキテクチャ検討の参考として活用できる。
- AWSの非機能ブロック実現例 - 2.11 セキュリティ(AWS)
- Google Cloudの非機能ブロック実現例 - 2.11 セキュリティ(Google Cloud)
- Azureの非機能ブロック実現例 - 2.11 セキュリティ(Azure)
- OCIの非機能ブロック実現例 - 2.11 セキュリティ(OCI)