データ・エグレスとはイングレスとエグレス

Kevin Bogusch | オラクル・シニア競合情報アナリスト | 2024年1月22日

データ・エグレスの一見シンプルな定義は「ネットワークから出ていくデータ」です。もちろん、データ・エグレスの監視と制御は単純な問題ではありません。また、最新のeコマースの世界では、クラウドでホストされるITインフラストラクチャ、サイバー攻撃の脅威の増大に伴い、ITプロフェッショナルと経営者はともに、データ・エグレスとそれに関連するコストやセキュリティ・リスクについて詳細に理解していることが必要です。

たとえば、クラウドのITインフラストラクチャを使用している企業にとって、コストは懸念事項になります。これは、通常、クラウド・ベンダーがデータ・エグレスに課金し、その料金が高額になる可能性があるからです。一方、データ・エグレスに関するセキュリティ上の重要な懸念事項としては、価値のある情報や機密情報が誤ってネットワーク外に送信されることや、組織を困らせたり、身代金目的でデータを保持したりすることを狙った脅威アクターによって意図的にそれらの情報が盗まれることが挙げられます。

インターネットやモバイル・アプリに依存する場合、データ・エグレスは避けることができず、そのリスクはビジネスの運営に付き物です。財務上およびセキュリティ上の脅威を制限するために、これらのデータフローの監視は不可欠です。

データ・エグレスとは

データ・エグレスは、メール、Webサイトでのインタラクション、ファイル転送などを通じて、ネットワークからクラウド・ストレージ・コンテナまたはその他のソースに流れる情報を指します。これは、現在の組織間または組織と顧客の間で通信を行う一般的な方法です。企業がクラウド・インフラストラクチャに移行し、Software as a Service(SaaS)アプリケーションを採用すると、データ・エグレスとデータ・イングレスを介してこれらのサービスを消費することになります。実際、組織が、軍事グレードのエアギャップ・ネットワークを運用して、その境界外との接続を完全に遮断する場合を除き、情報の出入りは絶えず発生します。

1990年代初頭にパブリック・インターネットとクラウド・コンピューティングが登場する前、一般に企業ネットワークは、閉じられていたか、組織が意識的に選択したネットワークにのみリンクされていました。このようなリンクは、電気通信事業者から購入した専用のプライベート・ネットワーク回線を介して構築されていました。当時、データ・エグレスによって生じるリスクは、セキュリティに完全に結びついており、機密情報が漏洩したり、盗まれたりする可能性がありました。

現在では、ほとんどの企業ネットワークがインターネットに接続されているため、これらのセキュリティ・リスクは飛躍的に高まっています。さらに、クラウド・サービス・プロバイダーが、場合によっては常識に反する意外な方法で、データ・エグレスに課金するため、新しいコスト・リスクが生じています。

エグレス・プロセスに関連するデータフロー、セキュリティ・コントロール、および手順をビジュアルに表現するための7つのステップ
これらの7つのステップに従って、エグレス・プロセスに関連するデータフロー、セキュリティ・コントロール、および手順をビジュアルに表現します。

データ・エグレスとデータ・イングレス

従来の概念では、データ・エグレスは、企業ネットワークから出ていくデータに密接に関係していますが、データ・イングレスは一般に、一方的にネットワークに入ってくる迷惑なデータとして理解されます。内部リクエストに応答して情報が外部からネットワークに送信される場合、通常、その情報はブロックされずにファイアウォールを通過します。組織を保護するために、ファイアウォールは通常、特定のルールが確立されていない限り、迷惑なデータの侵入を阻止します。

クラウド・コンピューティングの経済性により、このシンプルなモデルは複雑になります。クラウド・サービス・プロバイダーは、データ・エグレスに対してギガバイト単位の料金を請求しますが、通常、データ・イングレスには課金しません。さらに、クラウド・サービスでは、データ・エグレスに関する新しい概念が導入され、従来の企業ネットワーク境界よりも多くのタイプのネットワーク境界が作られています。たとえば、Amazon Web Services(AWS)では、多くの場合、同じ仮想ネットワーク上のトラフィックは、可用性ゾーン間を移動するときに測定されて課金されます。可用性ゾーンとは、同じ地理的地域に複数のクラウド・データセンターがあり、たとえば、データセンターによって異なるネットワーク事業者や電力事業者を利用しているため、同時に障害が発生する可能性が非常に低いものを指します。クラウド・プロバイダーは、複数の可用性ゾーンにリソースを分散することで、ハードウェア障害、自然災害、ネットワーク障害がサービスに与える影響を最小限に抑えることができます。しかし、可用性ゾーンは最終的にはプラスに働きますが、特に企業が最初にクラウドに移行するときに、関連するエグレス料金が予想外の大きなコスト負担になる可能性があります。

監視とセキュリティについては、データ・イングレスとデータ・エグレスの両方をプロファイリングすることが重要です。通常、不明なイングレス・トラフィックはファイアウォールによってブロックされますが、トラフィックをプロファイリングすると、セキュリティ・チームにとって有用な脅威情報を提供できます。ファイアウォールの特性と普及状況により、イングレスを監視するのが一般的です。しかし、データ・エグレスを注意深く監視している組織は一部にすぎません。既知のターゲットへのエグレス・トラフィックに対してファイアウォールと制限を設定することで、攻撃の影響を限定し、マルウェアから保護できます。

主なポイント

  • データ・エグレスは、クラウドのお客様にとってはコスト・リスクとなり、すべての組織にとってはセキュリティ・リスクとなります。
  • 機密データの漏洩は、財務上および組織上の重大なリスクを招く可能性があります。
  • データ・エグレスを慎重に監視することで、悪意のある攻撃を早期に検出しながら、クラウド支出を管理し最適化できます。
  • ファイアウォールを適切に構成することで、インバウンド・トラフィックおよびアウトバウンド・トラフィックを既知の信頼できる場所のみに制限できます。
  • データ損失防止(DLP)ツールを使用すると、機密データを特定して分類し、追加の制御を適用することで、不正なデータ・エグレスを防ぐことができます。

データ・エグレスの説明

データ・エグレスは、継続的に発生するため、セキュリティとコストの面で慎重に管理する必要があります。たとえば、企業が顧客向けWebサイトで製品カタログを提供する場合、そのデータはカタログが管理されている内部ネットワークを出て、インターネットを経由し、顧客がサイトを表示しているブラウザに到達する必要があります。企業が子会社やパートナーとデータを共有する場合でも、インターネット経由で顧客とやりとりする場合でも、常にある程度の量のデータが企業ネットワークから外部に出ていきます。

ITインフラストラクチャの一部またはすべてをクラウドに移行した企業では、データの移動によって、プロバイダーやアプリケーションの設計に応じたクラウド・データ・エグレス・コストが発生する場合があります。

データ・エグレスは、費用に関するリスクだけでなく、機密データを不正な受信者または意図しない受信者に公開するリスクも招きます。組織は、内部関係者によるデータ流出などの内部攻撃に警戒しながら、外部の脅威アクターによる悪意のあるアクティビティを監視する必要があります。このような攻撃から組織を保護するには、強固なネットワーク設計、継続的な監視、および適切に構成されたクラウド・アプリケーション・アーキテクチャを含む、包括的なアプローチが必要です。通常、組織はファイアウォールを使用してデータ・エグレスを制限し、送信トラフィックを監視して、異常や悪意のあるアクティビティがないかを確認します。ITセキュリティ・グループが、大量のデータ転送を制限したり、特定のアウトバウンド転送先をブロックしたりする対策を実施する場合もあります。

効果的な監視を行うには、通常のトラフィック・パターンと、攻撃やデータ流出インシデントにおけるトラフィック・パターンの違いを詳細に理解する必要があります。また、これはIT組織にとって大きな課題となる可能性もあります。データ・エグレス・トラフィックを監視する最も一般的な方法は、クラウド・ネットワークまたはオンプレミス・ネットワークのエッジにあるネットワーク・デバイスから取得したログ・ファイルを確認および分析することです。ただし、これらのデバイスから得られる大量のトラフィックを扱うことは、管理者にとって困難なタスクとなります。多くの企業は、脅威をより適切に理解するために、セキュリティ情報およびイベント管理(SIEM)ツールを使用しています。SIEMツールには通常、既知の脅威パターンに関するインテリジェンス、規制コンプライアンス、新しい脅威に適応するための自動更新が含まれています。SIEMシステムの導入はシンプルなプロセスではありませんが、これを導入することで、データ・エグレス・パターンに対する組織の理解が向上し、セキュリティ・チームが攻撃をはるかに早く特定できるようになります。

たとえば、データ・エグレスの急増は、脅威アクターが大量のデータを外部ホストまたは外部サービスにエクスポートするデータ流出攻撃を示す可能性があります。また、潜伏しているマルウェアはコマンド・アンド・コントロール・ネットワークからのさらなる指示を求めるため、データ・エグレス・パターンの注意深い監視と制御は、企業ネットワーク内に既に存在するマルウェアの特定に役立ちます。最新のランサムウェア攻撃の多くは、データを暗号化する前に、大量のデータを密かに流出させて、組織から資金をゆすり取ろうとします。DLPなどのツール、パケット・スニファなどのネットワーク・トラフィック分析システム、および異常なパターンを検出するユーザー行動分析は、IT部門が流出を検出するのに役立ちます。IT部門がアウトバウンド・トラフィックを監視し、悪意があると考えられるトラフィックをブロックするエグレス・フィルタリングも、これらのリスクを軽減するのに役立ちます。

組織はデータ流出を防ぐために、ファイアウォールだけでなく、DLPソフトウェアも使用しています。これらのツールでは、機密ラベルを使用したデータのカタログ化とタグ付け、暗号化、および監査などの手法を採用することで、機密データがネットワーク外に移動するのを防ぎます。

クラウド・データ・エグレスに関する脅威

大量のデータ・エグレスの発生は、クラウド・コストの増加につながるだけでなく、脅威アクターによるデータ流出攻撃や、サブネット通信を介して企業ネットワーク内を移動するマルウェアなど、いくつかのタイプの脅威を示している可能性があります。

  • 際限のないデータ・エグレス料金: クラウド・ベンダーがデータ・エグレスにギガバイト単位で課金する可能性があります。料金は、クラウド・サービスのタイプと、元のネットワークまたはネットワーク・セグメントからターゲットの場所までの距離によって異なります。過剰なデータ・エグレス料金は、いくつかの異なる原因で発生する可能性があります。最も一般的な原因としては、アプリケーションの構成を誤り、地理的に離れたリージョンに大量のネットワーク・トラフィックを伴うリソースを配置することや、パブリックとプライベートのハイブリッド・システムで、クラウド・サービスがオンプレミス・コンピュータに大量のデータを絶えず送信することが考えられます。
  • クラウド・ストレージ・サービスのエグレス料金: クラウド・ストレージ・サービスは、通常、画像やドキュメントなどのWebサイト・アセットをホストするために使用され、料金が驚くほど急激に増加する可能性があります。これらのサービスでは、2つの階層のエグレス料金が適用されます。1つはストレージ・アカウントの読み取りと書き込みに対する料金で、もう1つは、これらの読み取り操作がリージョンを横断したり、インターネットに移動したりする場合の料金です。
  • アプリケーションのパフォーマンスの低下: リージョン間でクラウド・ネットワーク・トラフィックを送信するように構成されたアプリケーションでは、エンドツーエンドのレイテンシが大きくなります。これによって、セキュリティや予算の問題は表面的には発生しませんが、ユーザー・エクスペリエンスが最適ではなくなり、最終的に収益に影響が出る可能性があります。
  • 内部関係者によるデータ流出攻撃: ネットワークから大量の企業データをエクスポートしようとする内部関係者は、すべて調査する必要があります。会社に不満を持っている営業担当が自社のデータベースから顧客リストを個人のスプレッドシートにエクスポートする行為が典型的な例です。
  • 外部の脅威アクターによるデータ流出攻撃: 外部の脅威アクターが頻繁に使用する戦術は、最小限の機能を持ったマルウェアをネットワークに侵入させ、早期に発見される可能性を最小限に抑えることです。侵入したマルウェアは外部のコマンド・アンド・コントロール・サイトに接続してソフトウェアをダウンロードし、攻撃を拡大したり、企業データを流出させたりする可能性があります。
  • 暗号化されていないデータの転送: 機密情報を暗号化なしで転送すると、悪意のあるアクターによってその情報が傍受され、悪用される可能性があります。これは、組織にとって重大な財務上の損害や評判の失墜につながる可能性があります。
  • データ・レジデンシーとコンプライアンスに関する懸念: 組織が活動する国や業界、およびデータの機密性によっては、他の地域へのデータ・エグレスが法的リスクやコンプライアンス上のリスクにつながる可能性があります。一部の国では、特定のタイプのデータを特定の地理的境界内に留めることが法的に義務付けられているため、このようなリスクには、データ・レジデンシーの問題が含まれる場合があります。

クラウド・データ・エグレス管理のセキュリティに関する7つのベストプラクティス

組織は、クラウド・サービスを再編成してアウトバウンド・トラフィックを制限するなど、さまざまな方法でデータ・エグレスに関するセキュリティ・リスクを軽減できます。多くの組織では、データ・エグレス・セキュリティ・リスクをより適切に制御および管理するために、次の7つのベストプラクティスが使用されています。

  1. ファイアウォールを使用したアウトバウンド・トラフィックの制御: ほとんどの組織はファイアウォールを使用してインバウンド・トラフィックを制限しています。最も機密性の高いデータを扱うサーバー・ネットワークの場合でも、ファイアウォールを使用してアウトバウンド・トラフィックを厳格に制御しているのは、一部の組織だけです。ネットワーク管理者はアウトバウンド・トラフィックも厳格に制御する必要があるため、監視とセキュリティ制御の両方を強化する必要があります。
  2. データ・エグレス・ポリシーの作成: 特に機密データが格納されているネットワークの場合、ユーザー・アクセスを事前承認済みのサービスに限定するポリシーを設定すると、データ流出攻撃の可能性を制限できます。
  3. SIEMを使用したネットワーク・トラフィックの監視: ネットワーク管理者が、大規模なネットワークにあるすべての管理対象デバイスから生じるすべてのトラフィックを確認することはできません。管理者が定めたルールと、機械学習およびAIテクノロジーに基づいて自動化することにより、SIEMツールは、より早い段階で攻撃を特定し、さらに高いレベルの保護を実現するのに役立ちます。
  4. DLPを使用した機密データ・アセットの分類、ラベル付け、および保護: SIEMと同様に、DLPは機械学習を使用して、データの検査、コンテキストの理解、設定されたデータ・エグレス・ポリシーとの照合、およびそれらのポリシーに違反する可能性のあるデータ転送のブロックを行います。
  5. 機密データへのアクセスの制御: 最も機密性の高いデータ・アセットの場所がDLPを介して特定およびカタログ化されると、ネットワーク管理者はそれらのデータセットに関するアクセス制御をさらに改善することができます。
  6. 機密データの暗号化: 暗号化は、データ流出攻撃に対する最後の防御策となります。転送中および保存中の情報が暗号化されている場合、データが流出しも、適切な暗号化鍵なしでは、そのデータを読み取れません。
  7. インシデント対応計画の導入: 攻撃またはデータ侵害が発生した場合、明確に定義された対応計画があれば、組織の対応時間を短縮し、全体的な効果を高めることができます。ディザスタ・リカバリ計画と同様に、エグゼクティブがインシデント対応計画を承認し、すべての人が自分の役割を理解できるように、定期的に卓上演習を実施して検証する必要があります。

これらのベストプラクティスは独立した単発のソリューションではなく、互いに依存していることに注意してください。たとえば、DLPのデータ分類要素と作成したエグレス・ポリシーの内容は、ファイアウォールの構成とアクセス制御の設定の両方に反映されます。

クラウド・データ・エグレスの料金を削減する方法

データ・エグレスの料金は、組織のクラウド移行プロセスの早い段階において非常に大きなコストにつながる可能性があるため、クラウド・データ・エグレス・コストを毎日監視して、予算内に収まっていることを確認し、予算を超過した場合には原因を調査することが重要です。すべてのパブリック・クラウド・プロバイダーは支出に関連するアラートをサポートしているため、データ・エグレス・コストは仮想マシンのCPU使用率と同様に監視できます。ただし、監視は、クラウド・データ・エグレス・コストを削減する最初のステップにすぎません。クラウド・アプリケーションのエグレス・コストを削減するヒントをいくつか以下に示します。

  • クラウド・リソースを同じリージョン内に保持: これは常識のように思えるかもしれませんが、特定のサービスを一部のクラウド・リージョンでは使用でき、他のリージョンでは使用できない場合は、コストのかかるクロスリージョン・デプロイが必要になる可能性があります。
  • キャッシュによるコストの削減: アプリケーションに近いインメモリ・キャッシュにデータを格納することで、データベースやストレージ・サービスへのアクセスを排除できます。
  • 専用線の購入: 専用ネットワークによる直接接続を使用すると、クラウド・プロバイダーに応じて、データ転送価格が低額になる場合や、データ・エグレスについては無制限で毎月定額になる場合があります。
  • コンテンツ配信ネットワーク(CDN)の使用: 同様に、アプリケーションでCDNを使用して、画像、ドキュメント、ビデオなどのWebアセットをユーザーの近くにキャッシュできます。CDNを使用すると、データ・エグレス・コストを削減するだけでなく、通常、ユーザーのブラウジング・エクスペリエンスが向上します。
  • ネットワーク・トラフィックの圧縮(可能な場合): リージョンまたは可用性ゾーン間でネットワーク・トラフィックが発生するたびにデータ圧縮を使用することも、コストの削減につながります。たとえば、ディザスタ・リカバリをサポートするためにビジー・データベースを別のリージョンにレプリケーションする場合、そのデータを圧縮および解凍するCPUコストは、潜在的なデータ・エグレス・コストよりもはるかに低くなる可能性があります。
  • 重複除外の導入: 特にバックアップ・プロセスでは、圧縮とともに重複除外を使用すると、転送されるデータの量をさらに削減できるため、コストを削減できます。
  • アプリケーションの再設計: 既存のアプリケーションを修正してクラウドネイティブにすると、データの使用効率が向上し、エグレス・コストを削減できます。

これらの変更を導入するには、1回限りの多額の投資が必要になる場合がありますが、最終的には、定期的なクラウド請求額を削減できるため、初期コストから素晴らしい成果が得られ、クラウド・コストをより適切に管理できます。データ・エグレス料金が組織のクラウド・コストの大部分を占める場合は、他のエンジニアリング・プロジェクトよりもこれらの変更を優先すると、最終的な成果につながる可能性があります。

オラクルによるデータ・エグレス・コストの削減

データ・エグレスには、クラウド・プロバイダーによって異なる金額が課金されます。単一のクラウド・プロバイダーであっても、サービスによってデータ・エグレス価格モデルが異なる可能性があります。Oracle Cloud Infrastructure(OCI)を構築する際、データ・エグレスの複雑さと全体的なコストを削減することが、オラクルの最大の考慮事項でした。これらの原則に最初から従うことで、オラクルは、複数のクラウド・サービスでのグローバルな価格設定と、Amazon Web Services(AWS)やGoogle Cloudなどの他のプロバイダーよりもはるかに低いデータ・エグレス・コストを提供できるようになりました。

OCIの低いデータ・エグレス料金により、企業は、クラウド・リージョン間で社内または顧客向けに大量のデータを移動できます。たとえば、北米とヨーロッパのOCIのお客様は、パブリック・インターネット上の場所への100テラバイト(TB)のアウトバウンド・データに対して783ドルを支払いますが、AWSやGoogle Cloudのユーザーの場合は約8,000ドルを支払う必要があります。OCI FastConnectの10ギガビット/秒の専用回線を購入したお客様は、月額918ドルの定額料金を支払い、データ・エグレスについては無制限になります。その回線の使用率を50%と仮定すると(1,620 TBを転送)、AWS Direct Connect専用回線での同等の費用は、34,020ドルになります。

OCIのデータ・エグレスの価格設定は、大量の帯域幅を必要とするクラウド・サービスを構築する組織にとって、大きな差別化要因になります。これらの料金が有利に働く大規模なアプリには、ライブ・ビデオ・ストリーミング、ビデオ会議、ゲームなどがあります。

Oracle Cloudのお客様として組織のデータ・エグレス・コストやその他のクラウド・コストを評価するには、OCIコスト試算ツールを使用してください。

制限のないデータ・エグレスは、セキュリティと財務の両面で組織にリスクをもたらす可能性があります。非クラウドネイティブ・アプリケーションや適切に設計されていないアプリケーションをクラウドに導入すると、データ・エグレス・コストがチェックされず、セキュリティが不十分になり、組織がデータ流出攻撃やランサムウェア攻撃のリスクにさらされる可能性があります。

そのため、企業ネットワークからのアウトバウンド・トラフィックについて制限、防御の強化、および監視を行うことが重要です。つまり、組織はデータをどこに移動できるかを制御し、異常なパターンがないか警戒する必要があります。ネットワーク・セキュリティ組織のベストプラクティスには、優れたインシデント対応計画の導入と、SIEMおよびDLPテクノロジーの採用などがあります。さらに、要件に適したクラウド・プロバイダーを選択し、データ・エグレス・コストを考慮したアプリケーションを設計または再設計することが、組織のクラウドROIの向上に大きく寄与する可能性があります。

AIは、CIOがデータを分析してクラウド支出を最適化したり、アーキテクトにコードの調整を提案してエグレスを最小限に抑えたりするのに役立ちます。人工知能のパワーを今すぐ活用して、人材、セキュリティ、その他の課題に対処する方法をご確認ください。

データ・エグレスに関するFAQ

データ・エグレス・コストとは何ですか。

クラウド・プロバイダーは、コンピュートおよびストレージ・リソースについて課金するだけでなく、データ・エグレスを測定して請求します。これらのコストはクラウド・プロバイダーによって異なる場合がありますが、通常、クラウド・リージョン間や可用性ゾーン間を移動するデータ、またはインターネットやオンプレミス・ネットワークに移動するデータがギガバイト単位で課金されます。データ・エグレス料金は、ターゲットの場所やクラウド・プロバイダーによっても異なる場合があります。データの圧縮、コンテンツ配信ネットワークの活用、データのコロケーションによるリージョン間のトラフィックの制限を行うことで、これらのコストを削減できます。

クラウド・コンピューティングのエグレスとは何ですか。

エグレスは、あるネットワークから別のネットワークに移動するデータとして定義されますが、クラウド・コンピューティングの場合、この用語はやや複雑になります。仮想マシンとネットワークでは、クラウド・リージョン間または可用性ゾーン間の標準的なネットワーク・トラフィックがデータ・エグレスとみなされます。また、クラウドからオンプレミス・ネットワークまたはインターネットに戻されるデータも、データ・エグレスとして測定されます。