Kevin Bogusch | オラクル・シニア競合情報アナリスト | 2024年1月22日
データ・エグレスの一見シンプルな定義は「ネットワークから出ていくデータ」です。もちろん、データ・エグレスの監視と制御は単純な問題ではありません。また、最新のeコマースの世界では、クラウドでホストされるITインフラストラクチャ、サイバー攻撃の脅威の増大に伴い、ITプロフェッショナルと経営者はともに、データ・エグレスとそれに関連するコストやセキュリティ・リスクについて詳細に理解していることが必要です。
たとえば、クラウドのITインフラストラクチャを使用している企業にとって、コストは懸念事項になります。これは、通常、クラウド・ベンダーがデータ・エグレスに課金し、その料金が高額になる可能性があるからです。一方、データ・エグレスに関するセキュリティ上の重要な懸念事項としては、価値のある情報や機密情報が誤ってネットワーク外に送信されることや、組織を困らせたり、身代金目的でデータを保持したりすることを狙った脅威アクターによって意図的にそれらの情報が盗まれることが挙げられます。
インターネットやモバイル・アプリに依存する場合、データ・エグレスは避けることができず、そのリスクはビジネスの運営に付き物です。財務上およびセキュリティ上の脅威を制限するために、これらのデータフローの監視は不可欠です。
データ・エグレスは、メール、Webサイトでのインタラクション、ファイル転送などを通じて、ネットワークからクラウド・ストレージ・コンテナまたはその他のソースに流れる情報を指します。これは、現在の組織間または組織と顧客の間で通信を行う一般的な方法です。企業がクラウド・インフラストラクチャに移行し、Software as a Service(SaaS)アプリケーションを採用すると、データ・エグレスとデータ・イングレスを介してこれらのサービスを消費することになります。実際、組織が、軍事グレードのエアギャップ・ネットワークを運用して、その境界外との接続を完全に遮断する場合を除き、情報の出入りは絶えず発生します。
1990年代初頭にパブリック・インターネットとクラウド・コンピューティングが登場する前、一般に企業ネットワークは、閉じられていたか、組織が意識的に選択したネットワークにのみリンクされていました。このようなリンクは、電気通信事業者から購入した専用のプライベート・ネットワーク回線を介して構築されていました。当時、データ・エグレスによって生じるリスクは、セキュリティに完全に結びついており、機密情報が漏洩したり、盗まれたりする可能性がありました。
現在では、ほとんどの企業ネットワークがインターネットに接続されているため、これらのセキュリティ・リスクは飛躍的に高まっています。さらに、クラウド・サービス・プロバイダーが、場合によっては常識に反する意外な方法で、データ・エグレスに課金するため、新しいコスト・リスクが生じています。
データ・エグレスとデータ・イングレス
従来の概念では、データ・エグレスは、企業ネットワークから出ていくデータに密接に関係していますが、データ・イングレスは一般に、一方的にネットワークに入ってくる迷惑なデータとして理解されます。内部リクエストに応答して情報が外部からネットワークに送信される場合、通常、その情報はブロックされずにファイアウォールを通過します。組織を保護するために、ファイアウォールは通常、特定のルールが確立されていない限り、迷惑なデータの侵入を阻止します。
クラウド・コンピューティングの経済性により、このシンプルなモデルは複雑になります。クラウド・サービス・プロバイダーは、データ・エグレスに対してギガバイト単位の料金を請求しますが、通常、データ・イングレスには課金しません。さらに、クラウド・サービスでは、データ・エグレスに関する新しい概念が導入され、従来の企業ネットワーク境界よりも多くのタイプのネットワーク境界が作られています。たとえば、Amazon Web Services(AWS)では、多くの場合、同じ仮想ネットワーク上のトラフィックは、可用性ゾーン間を移動するときに測定されて課金されます。可用性ゾーンとは、同じ地理的地域に複数のクラウド・データセンターがあり、たとえば、データセンターによって異なるネットワーク事業者や電力事業者を利用しているため、同時に障害が発生する可能性が非常に低いものを指します。クラウド・プロバイダーは、複数の可用性ゾーンにリソースを分散することで、ハードウェア障害、自然災害、ネットワーク障害がサービスに与える影響を最小限に抑えることができます。しかし、可用性ゾーンは最終的にはプラスに働きますが、特に企業が最初にクラウドに移行するときに、関連するエグレス料金が予想外の大きなコスト負担になる可能性があります。
監視とセキュリティについては、データ・イングレスとデータ・エグレスの両方をプロファイリングすることが重要です。通常、不明なイングレス・トラフィックはファイアウォールによってブロックされますが、トラフィックをプロファイリングすると、セキュリティ・チームにとって有用な脅威情報を提供できます。ファイアウォールの特性と普及状況により、イングレスを監視するのが一般的です。しかし、データ・エグレスを注意深く監視している組織は一部にすぎません。既知のターゲットへのエグレス・トラフィックに対してファイアウォールと制限を設定することで、攻撃の影響を限定し、マルウェアから保護できます。
主なポイント
データ・エグレスは、継続的に発生するため、セキュリティとコストの面で慎重に管理する必要があります。たとえば、企業が顧客向けWebサイトで製品カタログを提供する場合、そのデータはカタログが管理されている内部ネットワークを出て、インターネットを経由し、顧客がサイトを表示しているブラウザに到達する必要があります。企業が子会社やパートナーとデータを共有する場合でも、インターネット経由で顧客とやりとりする場合でも、常にある程度の量のデータが企業ネットワークから外部に出ていきます。
ITインフラストラクチャの一部またはすべてをクラウドに移行した企業では、データの移動によって、プロバイダーやアプリケーションの設計に応じたクラウド・データ・エグレス・コストが発生する場合があります。
データ・エグレスは、費用に関するリスクだけでなく、機密データを不正な受信者または意図しない受信者に公開するリスクも招きます。組織は、内部関係者によるデータ流出などの内部攻撃に警戒しながら、外部の脅威アクターによる悪意のあるアクティビティを監視する必要があります。このような攻撃から組織を保護するには、強固なネットワーク設計、継続的な監視、および適切に構成されたクラウド・アプリケーション・アーキテクチャを含む、包括的なアプローチが必要です。通常、組織はファイアウォールを使用してデータ・エグレスを制限し、送信トラフィックを監視して、異常や悪意のあるアクティビティがないかを確認します。ITセキュリティ・グループが、大量のデータ転送を制限したり、特定のアウトバウンド転送先をブロックしたりする対策を実施する場合もあります。
効果的な監視を行うには、通常のトラフィック・パターンと、攻撃やデータ流出インシデントにおけるトラフィック・パターンの違いを詳細に理解する必要があります。また、これはIT組織にとって大きな課題となる可能性もあります。データ・エグレス・トラフィックを監視する最も一般的な方法は、クラウド・ネットワークまたはオンプレミス・ネットワークのエッジにあるネットワーク・デバイスから取得したログ・ファイルを確認および分析することです。ただし、これらのデバイスから得られる大量のトラフィックを扱うことは、管理者にとって困難なタスクとなります。多くの企業は、脅威をより適切に理解するために、セキュリティ情報およびイベント管理(SIEM)ツールを使用しています。SIEMツールには通常、既知の脅威パターンに関するインテリジェンス、規制コンプライアンス、新しい脅威に適応するための自動更新が含まれています。SIEMシステムの導入はシンプルなプロセスではありませんが、これを導入することで、データ・エグレス・パターンに対する組織の理解が向上し、セキュリティ・チームが攻撃をはるかに早く特定できるようになります。
たとえば、データ・エグレスの急増は、脅威アクターが大量のデータを外部ホストまたは外部サービスにエクスポートするデータ流出攻撃を示す可能性があります。また、潜伏しているマルウェアはコマンド・アンド・コントロール・ネットワークからのさらなる指示を求めるため、データ・エグレス・パターンの注意深い監視と制御は、企業ネットワーク内に既に存在するマルウェアの特定に役立ちます。最新のランサムウェア攻撃の多くは、データを暗号化する前に、大量のデータを密かに流出させて、組織から資金をゆすり取ろうとします。DLPなどのツール、パケット・スニファなどのネットワーク・トラフィック分析システム、および異常なパターンを検出するユーザー行動分析は、IT部門が流出を検出するのに役立ちます。IT部門がアウトバウンド・トラフィックを監視し、悪意があると考えられるトラフィックをブロックするエグレス・フィルタリングも、これらのリスクを軽減するのに役立ちます。
組織はデータ流出を防ぐために、ファイアウォールだけでなく、DLPソフトウェアも使用しています。これらのツールでは、機密ラベルを使用したデータのカタログ化とタグ付け、暗号化、および監査などの手法を採用することで、機密データがネットワーク外に移動するのを防ぎます。
大量のデータ・エグレスの発生は、クラウド・コストの増加につながるだけでなく、脅威アクターによるデータ流出攻撃や、サブネット通信を介して企業ネットワーク内を移動するマルウェアなど、いくつかのタイプの脅威を示している可能性があります。
組織は、クラウド・サービスを再編成してアウトバウンド・トラフィックを制限するなど、さまざまな方法でデータ・エグレスに関するセキュリティ・リスクを軽減できます。多くの組織では、データ・エグレス・セキュリティ・リスクをより適切に制御および管理するために、次の7つのベストプラクティスが使用されています。
これらのベストプラクティスは独立した単発のソリューションではなく、互いに依存していることに注意してください。たとえば、DLPのデータ分類要素と作成したエグレス・ポリシーの内容は、ファイアウォールの構成とアクセス制御の設定の両方に反映されます。
データ・エグレスの料金は、組織のクラウド移行プロセスの早い段階において非常に大きなコストにつながる可能性があるため、クラウド・データ・エグレス・コストを毎日監視して、予算内に収まっていることを確認し、予算を超過した場合には原因を調査することが重要です。すべてのパブリック・クラウド・プロバイダーは支出に関連するアラートをサポートしているため、データ・エグレス・コストは仮想マシンのCPU使用率と同様に監視できます。ただし、監視は、クラウド・データ・エグレス・コストを削減する最初のステップにすぎません。クラウド・アプリケーションのエグレス・コストを削減するヒントをいくつか以下に示します。
これらの変更を導入するには、1回限りの多額の投資が必要になる場合がありますが、最終的には、定期的なクラウド請求額を削減できるため、初期コストから素晴らしい成果が得られ、クラウド・コストをより適切に管理できます。データ・エグレス料金が組織のクラウド・コストの大部分を占める場合は、他のエンジニアリング・プロジェクトよりもこれらの変更を優先すると、最終的な成果につながる可能性があります。
データ・エグレスには、クラウド・プロバイダーによって異なる金額が課金されます。単一のクラウド・プロバイダーであっても、サービスによってデータ・エグレス価格モデルが異なる可能性があります。Oracle Cloud Infrastructure(OCI)を構築する際、データ・エグレスの複雑さと全体的なコストを削減することが、オラクルの最大の考慮事項でした。これらの原則に最初から従うことで、オラクルは、複数のクラウド・サービスでのグローバルな価格設定と、Amazon Web Services(AWS)やGoogle Cloudなどの他のプロバイダーよりもはるかに低いデータ・エグレス・コストを提供できるようになりました。
OCIの低いデータ・エグレス料金により、企業は、クラウド・リージョン間で社内または顧客向けに大量のデータを移動できます。たとえば、北米とヨーロッパのOCIのお客様は、パブリック・インターネット上の場所への100テラバイト(TB)のアウトバウンド・データに対して783ドルを支払いますが、AWSやGoogle Cloudのユーザーの場合は約8,000ドルを支払う必要があります。OCI FastConnectの10ギガビット/秒の専用回線を購入したお客様は、月額918ドルの定額料金を支払い、データ・エグレスについては無制限になります。その回線の使用率を50%と仮定すると(1,620 TBを転送)、AWS Direct Connect専用回線での同等の費用は、34,020ドルになります。
OCIのデータ・エグレスの価格設定は、大量の帯域幅を必要とするクラウド・サービスを構築する組織にとって、大きな差別化要因になります。これらの料金が有利に働く大規模なアプリには、ライブ・ビデオ・ストリーミング、ビデオ会議、ゲームなどがあります。
Oracle Cloudのお客様として組織のデータ・エグレス・コストやその他のクラウド・コストを評価するには、OCIコスト試算ツールを使用してください。
制限のないデータ・エグレスは、セキュリティと財務の両面で組織にリスクをもたらす可能性があります。非クラウドネイティブ・アプリケーションや適切に設計されていないアプリケーションをクラウドに導入すると、データ・エグレス・コストがチェックされず、セキュリティが不十分になり、組織がデータ流出攻撃やランサムウェア攻撃のリスクにさらされる可能性があります。
そのため、企業ネットワークからのアウトバウンド・トラフィックについて制限、防御の強化、および監視を行うことが重要です。つまり、組織はデータをどこに移動できるかを制御し、異常なパターンがないか警戒する必要があります。ネットワーク・セキュリティ組織のベストプラクティスには、優れたインシデント対応計画の導入と、SIEMおよびDLPテクノロジーの採用などがあります。さらに、要件に適したクラウド・プロバイダーを選択し、データ・エグレス・コストを考慮したアプリケーションを設計または再設計することが、組織のクラウドROIの向上に大きく寄与する可能性があります。
AIは、CIOがデータを分析してクラウド支出を最適化したり、アーキテクトにコードの調整を提案してエグレスを最小限に抑えたりするのに役立ちます。人工知能のパワーを今すぐ活用して、人材、セキュリティ、その他の課題に対処する方法をご確認ください。
データ・エグレス・コストとは何ですか。
クラウド・プロバイダーは、コンピュートおよびストレージ・リソースについて課金するだけでなく、データ・エグレスを測定して請求します。これらのコストはクラウド・プロバイダーによって異なる場合がありますが、通常、クラウド・リージョン間や可用性ゾーン間を移動するデータ、またはインターネットやオンプレミス・ネットワークに移動するデータがギガバイト単位で課金されます。データ・エグレス料金は、ターゲットの場所やクラウド・プロバイダーによっても異なる場合があります。データの圧縮、コンテンツ配信ネットワークの活用、データのコロケーションによるリージョン間のトラフィックの制限を行うことで、これらのコストを削減できます。
クラウド・コンピューティングのエグレスとは何ですか。
エグレスは、あるネットワークから別のネットワークに移動するデータとして定義されますが、クラウド・コンピューティングの場合、この用語はやや複雑になります。仮想マシンとネットワークでは、クラウド・リージョン間または可用性ゾーン間の標準的なネットワーク・トラフィックがデータ・エグレスとみなされます。また、クラウドからオンプレミス・ネットワークまたはインターネットに戻されるデータも、データ・エグレスとして測定されます。
ご購入をお考えですか?
営業担当者に問い合わせる営業担当者とチャットアカウント/サブスクリプション、プロモーションの問題
チャットを開始テクニカルサポート、またはその他のサポートリクエスト
サポート・オプションを表示