2025年のクラウドセキュリティベストプラクティス

Main Takeaways from Cloud Security Best Practices:
  • 最大の課題 クラウドセキュリティには、進化するサイバー脅威、人為的エラー、コンプライアンスの複雑さ、設定ミス、サードパーティ統合の保護などが含まれ、これらすべてに対処するための積極的な戦略が必要です。

  • 基本的な対策 リアルタイムの検出、自動化されたインシデント対応、厳格なIDおよびアクセス管理、定期的な監査など、API、コンテナ、ワークロードを保護します。

  • 責任共有モデル クラウドサービスプロバイダー(インフラストラクチャセキュリティなど)とユーザー(データ保護やアクセス制御など)の明確なセキュリティ義務を定義し、ギャップを避けるために明確な調整が必要です。

  • クラウドセキュリティの統合 Wizのような一元化されたプラットフォームへのツールは、可視性を高め、管理を簡素化し、複雑なリスクに対する防御を強化します。 マルチクラウド環境.

クラウドセキュリティ:復習

クラウドセキュリティは、クラウドコンピューティングセキュリティとも呼ばれ、幅広いポリシー、テクノロジー、アプリケーション、および制御を網羅しています。 データの保護、アプリケーション、サービス、およびクラウド コンピューティングの関連インフラストラクチャ。 これは、ネットワークセキュリティ、コンピュータセキュリティ、より一般的には情報セキュリティなど、IT関連のセキュリティ用語の傘下にあります。

クラウドプラットフォームへの依存度が高まる中、これらのシステムを保護することは最も重要です。 ソフトウェア開発ライフサイクル全体を通じてクラウドセキュリティを統合することで、機密データを保護し、企業や個人が日常的に依存しているサービスの整合性と可用性を確保します。

セキュリティの観点から見ると、クラウドアーキテクチャの主なコンポーネントは次のとおりです。

  • 計算する: これはクラウドのバックボーンであり、アプリケーションの実行に必要な処理能力を提供します。 需要に応じてサイズを調整できるため、コスト効率とピークパフォーマンスが保証されます。

  • 貯蔵: クラウドストレージソリューションは、いつでもどこでもアクセスできるクラウドにデータを保存する場所を提供します。 それ'このデータを不正アクセスや侵害から保護するために重要です。

  • ネットワーク: このコンポーネントは、ユーザー、データ、およびアプリケーション間の接続を確保します。 安全なネットワークにより、転送中のデータが改ざんされたり盗聴されたりすることはありません。

IDおよびアクセス管理(IAM): IAMシステムは、クラウドリソースへのアクセスを制限し、許可されたユーザーのみがそれらを利用できるようにします。 IAM のセキュリティ は、機密データとアプリケーションを保護する上で重要な要素です。

Cloud Security Best Practices in 2025 [Cheat Sheet]

Crafted for both novices and seasoned professionals, the cloud security cheat sheet exceeds traditional advice with actionable steps and code snippets.

クラウドセキュリティの難しさとは?

クラウドには強力なセキュリティ機能がありますが、ないわけではありません 課題 複雑。 多くの組織が直面する一般的なハードルには、次のようなものがあります。

  • 絶え間なく進化するサイバー脅威

  • 侵害やデータ損失につながる可能性のある人為的ミス

  • 責任共有モデルの誤解によるセキュリティギャップの解消

  • 達成するための厳しい要件と コンプライアンスの維持 地域または業界固有の規制に対応

  • クラウドサービスと統合されたサードパーティアプリケーションのセキュリティを確保

次のセクションでは、これらの課題に照らして安全なクラウド環境を確保するためのベスト プラクティスと推奨事項について説明します。

Expose cloud risks no other tool can

Learn how Wiz Cloud surfaces toxic combinations across misconfigurations, identities, vulnerabilities, and data—so you can take action fast.

Wiz がお客様の個人データをどのように取り扱うかについては、当社のプライバシーポリシーをご確認下さい: プライバシーポリシー.

クラウドセキュリティに関する22のベストプラクティス

次のプラクティスとアクション項目は、安全なクラウド環境の基盤を形成します。 これらの推奨事項に従うことで、組織はリスクプロファイルを大幅に軽減し、より安全なクラウドエクスペリエンスを確保できます。 次の 22 のベスト プラクティスから始めることをお勧めします。

  1. 責任共有モデルを理解する

  2. MFA を有効にする

  3. 最小特権の原則に従う

  4. 定期的な監査の実施

  5. データを暗号化する

  6. 定期的にデータをバックアップする

  7. API をセキュリティで保護する

  8. パッチ管理の最新情報を入手する

  9. ネットワークセキュリティの強化

  10. コンプライアンス要件の理解

  11. クラウドサービスプロバイダーのセキュリティ慣行を確認する

  12. コンテナとワークロードのセキュリティ保護

  13. クラウドのアクティビティを継続的に監視する

  14. 定期的な侵入テストの実施

  15. クラウド構成の定期的な更新とレビュー

  16. エージェントレスの脆弱性管理を活用

  17. データガバナンスポリシーの強化

  18. クラウドリソースへの公開を制限する

  19. コンプライアンス監視の自動化

  20. 定期的なインシデント対応訓練の実施

  21. ゼロトラストアーキテクチャの実装

  22. クラウドセキュリティソリューションを統合

1. 責任共有モデルを理解する

クラウドセキュリティは双方向であり、安全な環境を維持するためには、クラウドプロバイダーとユーザー間のコラボレーションが必要です。 プロバイダーはクラウドインフラストラクチャのセキュリティを処理しますが、ユーザーはクラウド環境内のデータ、アプリケーション、およびアクセス制御を保護する責任があります。 これらの役割を理解することは、強力な クラウドセキュリティ戦略.

An example of the shared responsibility model

推奨アクション:

  • プロバイダーの具体的な責任(多くの場合、ハードウェア、ネットワーキング、および基本インフラストラクチャの保護が含まれます)について説明します。 たとえば、AWSは物理サーバーと仮想化レイヤーを管理し、ユーザーはデータ保護とアプリケーションレベルのセキュリティを構成する必要があります。

  • 暗号化の実装、IDとアクセスの管理、安全なネットワーク設定の構成など、組織がその役割を果たしていることを確認します。

定期的に見直してください。 責任の共有 クラウドプロバイダーからのドキュメントを使用して、お客様のプラクティスをそのセキュリティ保証に合わせます。

2. 多要素認証 (MFA) を有効にする

MFA Overview in Azure Cloud (Source: Azure, click the image view the link)

MFAは、パスワード以外の2番目の保護レイヤーを追加し、資格情報が侵害された場合でも不正アクセスのリスクを軽減します。 管理者の役割などの重要なアカウントについては、WebAuthNやYubiKeysなどのフィッシング対象外の要素を選択して、フィッシングやその他のサイバー攻撃に対する防御を強化します。

推奨アクション:

  • すべてのクラウドアカウント(特に管理者アカウント)でMFAを有効にする

  • MFA の重要性をユーザーに通知し、その活用方法に関するガイダンスを提供する

  • MFA 設定を定期的に確認して更新し、新しい標準を最新の状態に保ちます

3. 最小特権の原則に従う

最小特権の原則 (PoLP) は、すべてのユーザーとプロセスが機能を実行するために必要な最小限のアクセスのみを持つことを要求するITセキュリティの概念です。 PoLPを遵守することで、侵害や内部脅威による潜在的な被害を最小限に抑えることができます。 不正なデータアクセスやシステム変更は、非常に困難になります。 

IAM ポリシーの例は、バケットへのリストアクセスを付与するためだけに次のように定義できます。 

{
   "バージョン": "2012-10-17",
   "陳述": {
       "シド": "ListObjectsInBucket (バケット内のリスト)",
       "影響": "許す",
       "アクション": "s3:リストバケット",
       "資源": "arn:aws:s3:::example-s3-bucket (英語)"
   }
}

推奨処置:

  • ユーザーの役割と権限を定期的に確認する

  • 職務に基づく役割の割り当て

  • マシン ID を定期的に確認する

  • 役割が変わったり、会社を辞めたりする個人のアクセス権を速やかに削除します。

  • 特定のペルソナ/ロールにアクセス権を付与するためのビジネスニーズを定期的に確認する

4. 定期的な監査の実施

クラウド環境が成長し、変化するにつれて、構成がセキュリティのベストプラクティスから逸脱する可能性があります。 定期的な監査は、これらの不一致を特定して修正するのに役立ちます。 監査により、セキュリティ基準への継続的なコンプライアンスが保証され、設定ミスによる侵害のリスクが軽減されます。

AWS Audit Manager - Audit Overview (Source: AWS Blog, click the image view the link)

推奨アクション:

  • 定期的なセキュリティ監査のスケジュール設定

  • 自動化ツールを使用して構成を継続的に監視

  • 監査結果に迅速に対処し、変更を文書化する

5. データを暗号化する

不正アクセスやデータの傍受を防ぐために、's データの暗号化に不可欠 それが'が格納され、'が転送されます。 暗号化により、データの機密性が保たれます。 そのため、侵害が発生した場合でも、復号化キーがないとデータを解読できないままになります。

Encryption for in-transit data in GCP (Source: GCP Docs, click the image view the link)

推奨アクション:

  • 強力な暗号化標準を使用して保存データを暗号化する

  • 転送中のデータがTLSなどのプロトコルを使用して暗号化されていることを確認する

  • 暗号化キーを頻繁に変更し、安全なストレージを確保

6. 定期的にデータをバックアップする

定期的にスケジュールされたバックアップにより、偶発的な削除、サイバー攻撃、またはその他のシステムの中断が原因でデータが失われた場合に、最小限の中断でデータを復元できます。 

定期的なバックアップにより、組織はデータ損失インシデントから迅速に回復し、ダウンタイムとデータ利用不能を最小限に抑えることができます。

Google Cloud Backup and DR Overview (Source: GCP Blog, click the image view the link)

推奨アクション:

  • すべての重要なデータの定期的なバックアップをスケジュールする

  • バックアップの復元プロセスを定期的にテストする

  • 冗長性のために地理的に離れた場所にバックアップを保存

7. API をセキュリティで保護する

APIはアプリケーションへのゲートウェイとして機能するため、サイバー攻撃の魅力的な標的になる可能性があります。 これらのAPIに適切な認証および承認メカニズムがあることを確認することが重要であり、悪意のあるアクターが'これらを悪用して不正アクセスを行ったり、サービスを中断させたりすることはありません。

Authorization Flow with Lambda in AWS (Source: AWS Blog, click the image view the link)

推奨アクション:

  • API の強力な認証および承認メカニズムを実装する

  • API セキュリティ構成を定期的に確認して更新する

  • APIアクセスログに不審なアクティビティがないか監視する

  • 使う OSS API セキュリティツール

8. パッチ管理を常に把握

ソフトウェアの脆弱性は、攻撃者にとって格好の標的です。 定期的なアップデートとパッチにより、認識された弱点が確実に対処されます。 これにより、潜在的な攻撃ベクトルが排除され、攻撃対象領域が縮小されます。

OS patch management dashboard in GCP (Source: GCP Docs, click the image view the link)

推奨アクション:

  • ソフトウェアとサービスの脆弱性フィードを購読します。

  • 定期的なパッチ適用スケジュールを実装します。

  • ステージング環境を使用してパッチを適用する前に、パッチをテストします。

9. ネットワークセキュリティの強化

ネットワークは、サイバー脅威を締め出すために構築された壁として機能します。 ですから、その壁に穴が空くと、リスクが生じます。 それらを見つけて差し込むのはあなた次第です。

ファイアウォール、仮想プライベートクラウド(VPC)、その他のツールを含む堅牢なネットワークセキュリティ体制により、悪意のあるトラフィックを寄せ付けず、正当なトラフィックのみがリソースにアクセスできるようにします。

VPC with public and private subnets in two availability zones in AWS (Source: AWS Docs, click the image view the link)

推奨アクション:

  • ファイアウォールを実装して悪意のあるトラフィックを除外する

  • Virtual Private Cloud (VPC) を使用してリソースを分離する

  • ネットワーク・セキュリティ・ルールを定期的に確認して更新する

10. コンプライアンス要件の理解

コンプライアンスフレームワークは単なるガイドラインではなく、機密データを保護し、法的義務を果たすための青写真です。 組織にどの規制が適用されるかを知ることで、次のことが保証されます'クラウド環境を保護しながら、顧客や規制当局との信頼を維持するための準備を整えます。

推奨アクション:

  • GDPRなどの個人データ保護に関する関連規制を特定する。 HIPAAの ヘルスケアの場合、または金融取引の場合はPCI DSS。

  • コンプライアンス要件をセキュリティ対策にマッピングします (情報保護のためのデータ暗号化やトレーサビリティのための監査ログなど)。

  • コンプライアンス体制を定期的に見直して、ギャップを特定し、問題になる前に対処します。

11. クラウドサービスプロバイダーのセキュリティ慣行を確認する

クラウドプロバイダーはセキュリティ境界の延長線上にあるため、その慣行がお客様の基準を満たしていることを確認することが重要です。 まず、SOC 2、ISO 27001、FedRAMP などの認証を確認します。 これらの認定は、プロバイダーが認められたセキュリティ標準に準拠していることを示します。 ホワイトペーパーや監査レポートなどのセキュリティドキュメントに詳しく入り、その実践を明確に把握してください。

推奨アクション:

  • プロバイダーの認証を評価して、業界のベストプラクティス(サービス組織のSOC 2、情報セキュリティのISO 27001など)と一致していることを確認します。

  • 監査レポートを確認して、次の洞察を得ます セキュリティ制御 および特定されたギャップ。

  • プロバイダーのプラクティスが、データ所在地や暗号化標準など、組織独自のセキュリティとコンプライアンスのニーズと一致していることを確認します。

12. コンテナとワークロードのセキュリティ保護

コンテナとワークロード は本質的に動的ですが、その柔軟性はリスクももたらします。 これらの環境を保護するには、脆弱性スキャンを使用して、デプロイ前にイメージとコードの弱点を特定します。 脆弱性が持ち込まれるリスクを最小限に抑えるために、常に安全で信頼できるベースイメージから始めてください。 デプロイしたら、ランタイム保護を実装して、疑わしい動作をリアルタイムで検出してブロックします。

推奨アクション:

  • コンテナイメージとワークロードに対して定期的な脆弱性スキャンを実行します。

  • 安全で検証済みのベースイメージを使用して、攻撃対象領域を減らします。

  • ランタイム保護を実装して、異常を監視し、アクティブな環境でのエクスプロイトを防止します。

  • コンテナのセキュリティをCI/CDパイプラインに統合して、開発中の問題を特定して修正します。

13. クラウドのアクティビティを継続的に監視する

クラウド環境は急速に進化しているため、潜在的な脅威に先手を打つためには、継続的な監視が不可欠です。 リアルタイムの監視は、異常なログインパターン、不正アクセスの試み、重要な設定の変更などの異常を検出するのに役立ちます。 プロアクティブな検出がなければ、これらのアクティビティは手遅れになるまで見過ごされる可能性があります。

Examples of cloud logs by category and CSP

推奨アクション:

  • 不正なデータアクセスや不規則なネットワークトラフィックなど、疑わしいアクティビティに対してリアルタイムのアラートを提供する監視ソリューションをデプロイします。

  • 一元的な可視性を備えたツールを使用して、複数のクラウドプロバイダーを監視し、ハイブリッドまたはマルチクラウドのセットアップでの監視を合理化します。

  • 監視データを定期的に確認して、アラートを微調整し、ノイズを減らして、最も重要な脅威に焦点を当てます。

14. 定期的な侵入テストの実施

ペネトレーションテストでは、悪意のあるアクターが行う前に脆弱性を特定できます。 これらのテストは、実際の攻撃シナリオをシミュレートし、クラウド環境、アプリケーション、または構成の弱点を明らかにします。 定期的なテストにより、進化する脅威に対する防御の回復力が維持され、セキュリティ体制を改善するための実用的な洞察が得られます。

推奨アクション:

  • 定期的な侵入テストをスケジュールして、クラウドインフラストラクチャとアプリケーションの脆弱性を明らかにします。

  • 外部の専門家を巻き込んで客観的なセキュリティ評価を実施するか、自動化ツールを使用して現実的な攻撃シナリオをシミュレートします。

  • テスト結果に基づいて修復作業に優先順位を付け、リスクの高い脆弱性に焦点を当てます。

15. クラウド構成の定期的な更新とレビュー

設定ミス は、クラウド侵害の最も一般的な原因の1つであり、多くの場合、機密データが公開されたり、不正アクセスが可能になったりします。 クラウド構成を定期的に見直すことで、これらの脆弱性が悪用される前に発見することができます。 構成を一貫して更新することで、組織のクラウドセキュリティポリシーと進化する脅威の状況との整合性を確保できます。

Detecting a publicly exposed Spring Boot Actuator misconfiguration

推奨アクション:

  • クラウド設定の定期的なレビューを実施して、オープンストレージバケットや過度に寛容なアクセス制御などの設定ミスを特定して修正します。

  • セキュリティベースラインを適用し、逸脱にリアルタイムでフラグを立てるツールを使用して、構成チェックを自動化します。

  • 新しいサービスや変更がクラウド環境に導入されたときに構成を更新するプロセスを確立します。

16. エージェントレスの脆弱性管理を活用

エージェントレス 脆弱性管理 ソフトウェアエージェントの必要性を排除することで、クラウド環境を保護するプロセスを簡素化します。 これらのツールは、クラウドプロバイダーのAPIに直接接続するため、パフォーマンスに影響を与えることなく、クラウドリソースのシームレスなスキャンと評価が可能になります。 これにより、運用上のオーバーヘッドが削減され、エージェントの管理ではなくリスクへの対処に集中できるようになります。

推奨アクション:

  • エージェントレスの脆弱性管理ツールをデプロイして、仮想マシン、コンテナ、サーバーレス機能などのクラウドネイティブ リソースをスキャンします。

  • これらのツールを使用して、クラウド環境全体の設定ミス、古いソフトウェア、潜在的な脆弱性などのリスクを特定します。

  • 結果を既存のワークフローに統合して、優先順位付けと修復を合理化します。

17. データガバナンスポリシーの強化

データガバナンスは、安全なクラウド運用のバックボーンであり、次のことを保証します。 機密データ 適切に管理、アクセス、および保護されます。 データ分類の明確なポリシーを定義すると、公開情報、機密情報、および機密性の高い情報を区別するのに役立ちます。 堅牢なアクセス制御と暗号化を組み合わせることで、これらの対策により、データの誤用や不正な漏洩を防ぐことができます。

推奨アクション:

  • データ分類標準を確立して文書化し、機密情報と非機密情報の一貫した取り扱いを確保します。

  • ロールベースのアクセス制御 (RBAC) を実装して、データ アクセスを自分のロールに必要なユーザーのみに制限します。

  • 保存データと転送中のデータに暗号化を適用して、不正アクセスから保護します。

  • ガバナンスポリシーを、GDPRやHIPAAなどの規制の枠組みや、組織固有のビジネスニーズに合わせます。

18. クラウドリソースへの公開を制限する

ストレージバケットやデータベースなどのクラウドリソースを公共のインターネットに公開すると、不正アクセスやデータ侵害のリスクが大幅に高まります。 機密性の高いリソースを特定し、そのアクセスを制限することは、これらのリスクを軽減するための重要なステップです。 パブリックアクセスを可能にする設定ミスは、クラウドセキュリティインシデントの背後にある一般的な原因であるため、プロアクティブです セキュリティ監視 不可欠です。

An example of a publicly exposed VM

推奨アクション:

  • ストレージバケット、データベース、VMなど、パブリックにアクセス可能なリソースを特定し、アクセスを許可されたユーザーまたはシステムのみに制限します。

  • プライベートエンドポイントなどのネットワークセキュリティ対策を使用して、クラウド環境内で露出を制限し、安全な通信プロトコルを強化します。

  • 信頼できるIPアドレスからのトラフィックのみを許可し、不要なパブリックアクセスをすべてブロックするようにファイアウォールルールを設定します。

19. コンプライアンス監視の自動化

動的なクラウド環境全体でコンプライアンスを手動で追跡するのは時間がかかり、エラーが発生しやすくなります。 コンプライアンス監視を自動化することで、組織は規制基準と内部ポリシーを順守し、常に手動で監視する必要はありません。 また、自動化は違反をリアルタイムで特定するのにも役立つため、クラウドのセキュリティの問題がコストのかかる問題に発展する前に対処できます。

推奨アクション:

  • 規制の枠組みに対するコンプライアンスチェックを自動化するツールを使用して、継続的な遵守を確保します。

  • コンプライアンス指標をリアルタイムで追跡し、逸脱が発生したときにフラグを立てるソリューションを活用します。

  • 監査や内部レビューのための詳細なレポートを作成することで、文書化プロセスを簡素化し、透明性を確保します。

20. 定期的なインシデント対応訓練の実施

インシデント対応 あなたのチームと同じくらい効果的です'の準備ができている。 定期的に訓練を実施することで、組織は潜在的な侵害や攻撃に迅速かつ効果的に対応できるようになります。 プロアクティブなテストでは、対応計画のギャップが浮き彫りになり、実際のインシデント発生時に全員が自分の役割を把握できるようになります。

推奨アクション:

  • 定期的なインシデント対応訓練をスケジュールして、現実的なセキュリティ侵害シナリオをシミュレートし、組織の準備状況をテストします。

  • IT、セキュリティ、法務、コミュニケーションなど、部門横断的なチームを巻き込み、インシデント発生時の対応を調整できるようにします。

  • 各ドリルの結果を確認して弱点を特定し、 インシデント対応計画 だから。

21. ゼロトラストアーキテクチャの実装

ゼロトラストアプローチでは、セキュリティの考え方を、ネットワーク内の信頼を前提とすることから、アクセスを許可する前にすべてのユーザーとデバイスを検証することにシフトします。 クラウド環境では、この "決して信頼せず、常に検証してください" 原則により、侵害時のインサイダー脅威や横移動のリスクを最小限に抑えます。 これは、最新の分散システムを保護するための重要な戦略です。

The zero-trust security model

推奨アクション:

  • 多要素認証(MFA)とユーザー行動の継続的な監視により、強力なID検証を実施します。

  • 最小特権アクセス制御を実装して、ユーザーとシステムが各自の役割に必要なリソースのみにアクセスできるようにします。

  • ネットワークセグメンテーションとマイクロセグメンテーションを使用して、潜在的な脅威の拡散を制限します。

22. クラウドセキュリティソリューションを統合

分断された複数のセキュリティツールを管理すると、非効率性、見落とされた脆弱性、リソースの浪費につながる可能性があります。 これらのツールを一元化されたプラットフォームに統合することで、運用が簡素化され、可視性が向上し、リスクを特定して対処する能力が向上します。 統合ソリューションにより、セキュリティチームは最も重要なこと、つまりクラウド環境の保護に集中できます。

推奨アクション:

  • サイロ化されたツールから、クラウドセキュリティポスチャ管理を一元的に把握できる統合プラットフォームへの移行(CSPMの).

  • 脆弱性管理、コンプライアンス監視、ID管理などの重要な機能を1つの合理化されたインターフェイスに組み合わせたソリューションを選択してください。

  • Wizを活用してクラウドセキュリティの取り組みを統合し、CSPM、KSPM、自動脆弱性検出などの機能を備えた包括的な保護を提供します。

Wizで基本を超える

Wizは、 クラウドセキュリティプラットフォーム これにより、組織はクラウド環境全体のリスクをプロアクティブに特定し、優先順位を付け、修復することができます。 Wizは、すべてのクラウドリソースとそれに関連するリスク(設定ミス、脆弱性、マルウェア、機密データ、IDなど)を1つの画面で表示します。

Wizは、上記で説明したクラウドセキュリティのベストプラクティスの多くを実装するために使用でき、次の分野のソリューションを提供することで、より高度なユースケースをカバーできます。

  • 可視性と制御:Wizは、すべてのクラウドリソースとそれに関連するリスクを包括的に把握し、潜在的なセキュリティ問題を特定して対処するために必要な可視性を組織に提供します。

  • 最小権限:Wizを使用すると、クラウドリソースへの最小特権アクセスを強制し、ユーザーが職務を遂行するために必要なアクセスのみを持つようにすることができます。

  • データセキュリティ:Wizは、オブジェクトストレージバケット、データベース、その他のクラウドサービスに保存されているデータなど、クラウド内の機密データを識別して保護するために使用できます。

  • 脅威の検出と対応:Wizを使用して、クラウド内の脅威を監視し、インシデントに迅速かつ効果的に対応できます。

Expose cloud risks no other tool can

Learn how Wiz Cloud surfaces toxic combinations across misconfigurations, identities, vulnerabilities, and data—so you can take action fast.

Wiz がお客様の個人データをどのように取り扱うかについては、当社のプライバシーポリシーをご確認下さい: プライバシーポリシー.

その他のセキュリティのベストプラクティス: