クラウド コンピューティングは新しいものではありません。スケーラビリティ、アクセス性、信頼性などの明らかな利点があるため、ほとんどの企業がクラウド コンピューティングを採用しています。しかし、クラウド プラットフォーム プロバイダー (クラウド コンピューティングの使用に必要なインフラストラクチャ、サービス、リソースを提供する組織) は、必ずしも優れているわけではありません。これらのプラットフォームは、依然として、内部脅威、わかりにくいデータ保存規制、標的型マルウェア攻撃などのセキュリティ リスクにさらされる可能性があります。 クラウドコンピューティングのセキュリティリスククラウド プラットフォームへの移行は、悪意のある攻撃者が企業のクラウド防御を突破する方法を模索し続けることを意味します。ここでは、クラウド内のデータを保護する際に企業が直面する最大のセキュリティ リスクをいくつか紹介します。 1. マルウェア 多くの場合、組織はクラウド コンピューティングを実装すると、従来のマルウェア攻撃の影響を受けなくなると誤って想定します。残念ながら、必ずしもそうとは限りません。クラウド マルウェアの標的はクラウド プラットフォーム プロバイダーですが、エンド ユーザーも影響を受ける可能性があります。 たとえば、クラウド マルウェア攻撃の 1 つのタイプはハイパージャッキングです。ハイパージャッキングでは、サイバー犯罪者が仮想マシン (VM) ハイパーバイザーを破損したバージョンに置き換えます。ハイパーバイザーは、クラウド コンピューティングの構成要素の 1 つである仮想マシン (物理コンピューターのデジタル バージョン) の基盤であるため、この移行は有害です。スーパージャッキングは、個人情報や財務情報などの機密データの盗難につながる可能性があるため、エンドユーザーに影響を及ぼします。また、サイバー犯罪者がエンドユーザーのアカウントを悪用して、さらに多くのマルウェアを配布したり、フィッシング詐欺を実行したりすることも可能です。 2. ネットワーク運用の可視性が限られている 企業がクラウド プラットフォームと環境、オンプレミス サーバーを組み合わせて使用する場合、インフラストラクチャが複雑になり、ネットワーク内の可視性が制限される可能性があります。複雑なネットワークは運用の非効率性とネットワークのダウンタイムにつながり、過剰な支出につながる可能性がありますが、セキュリティ上の大きな懸念は、ネットワークの「ブラックスポット」が意図せず作成されることです。この用語は、監視ツールでは見逃されがちな、セキュリティ侵害の危険にさらされているクラウド ネットワークまたはインフラストラクチャ内の領域を指します。 ネットワーク管理に欠陥があると、潜在的なハッカー全員を歓迎するのと同じことになります。サイバー犯罪者は自動化ツールを使用してクラウド アプリケーション、サーバー、インフラストラクチャの脆弱性をスキャンし、セキュリティ侵害を引き起こす可能性があるからです。さらに悪いことに、サイバー空間の暗闇により、企業はリアルタイムで侵害を受けていることに気付かないことが多く、膨大なデータ損失と修復コストが発生します。 3. コンプライアンスの問題 遵守しなければならない規制は、所属する業界や提供するサービスによって異なります。クラウド コンピューティングに関する最も広範かつ関連性の高い 2 つの法律は、欧州連合一般データ保護規則 (GDPR) と 1996 年の医療保険の携行性と責任に関する法律 (HIPAA) です。 組織が最小権限の原則 (PoLP) を遵守していない場合、または複数のコンプライアンス規制に同時に従っている場合に、コンプライアンス関連の問題が発生する可能性があり、その結果、情報の保持方法が重複したり、あいまいになったりすることがあります。コンプライアンス法に違反すると、違反者には多額の罰金や訴訟費用が科せられる可能性があります。 4. データ損失 クラウド コンピューティングを使用する主な理由の 1 つはデータと資産を保護することですが、データの損失は許されません。 データ損失の大きな原因は、データのバックアップと回復が不十分であることです。多くのスタートアップ企業のオーナーや起業家はクラウドを過度に信頼しているため、データ復旧のための適切な計画やリソースを持っていません。定期的なバックアップと緊急時対応計画がなければ、物理的な損傷、サイバー攻撃、または内部からの脅威が発生した場合に、データが永久に失われる可能性があります。 5. データ漏洩 驚くべきことに、データ侵害の最大の原因は人為的ミスです。 Verizon の 2023 年データ侵害調査レポートによると、データ侵害の 74% に意図的または意図的でない人的要因が関与しています。 さらに、人によるデータ侵害の最大の原因は、資格情報の脆弱性または盗難です。 GoodFirms が IT 専門家とサイバーセキュリティ専門家を対象に実施した調査によると、回答者の 30% が認証情報の脆弱性によるデータ漏洩を経験しており、36% がパスワードを紙に書き留めており、53% が同僚、家族、友人とパスワードを共有していることがわかりました。これらすべての行為は違反の一因となります。 したがって、一部の IT プロフェッショナルが自社のサイバーセキュリティ プロトコルにさえ従わなかった場合、非 IT 従業員がデータ侵害の責任をすべて負うことはできません。 6. アカウントの乗っ取り これは特に目新しいことではありませんが、ユーザーがクラウド アカウントのパスワードを書き留めたり、他のユーザーと共有したりすると、クラウド アカウントが乗っ取られる可能性が高まります。この見落としにより、ハッカーは従業員の電子メールにアクセスし、そこからクラウド アカウント全体に簡単にアクセスできるようになりました。 アカウントの乗っ取りは、企業のフォルダーの 33% がすべての人に公開されており、ネットワークの可視性の弱点や不適切なパスワードの選択と相まって、さらに容易になるため、サイバー犯罪者にとって特に魅力的です。その結果、サイバー犯罪者は簡単にアカウントを乗っ取り、エントリーレベルの従業員のアカウントからでも貴重なデータを見つけることができるようになります。 7. 内部脅威 実際のところ、本当の脅威は内部からの脅威です。これらの人物は、現従業員または元従業員、無謀または過失で行動した従業員、または無知な従業員の信頼を得た脅威アクターである可能性があります。 Proofpoint の 2022 年版「内部者脅威のグローバルコストに関するレポート」によると、内部者脅威の 26% は内部犯罪者によって実行されており、インシデントの件数はわずか 2 年で驚異的な 44% 増加しています。この増加は、リモートワーカーの増加、BYOD(個人所有デバイスの持ち込み)ポリシー、またはパンデミックによって就職の見通しが影響を受けた元従業員の増加によるものである可能性があります。 したがって、クラウド コンピューティングは、偶発的なものもそうでないものも含め、さまざまな脅威のリスクにさらされていますが、すべてが終わったわけではなく、クラウド コンピューティングを可能な限り安全にするために企業が従うことができるベスト プラクティスがまだいくつかあります。 クラウドはどれくらい安全ですか?多くの場合、データをコンピューターに保存するなどの従来の方法よりも、クラウドにデータを保存する方が安全です。データはクラウドに保存されるため、企業データは単一のデバイスに限定されなくなり、ランサムウェアなどの攻撃が無効になります。さらに、クラウド データにはデジタル キー経由でのみアクセスでき、24 時間 365 日監視され、クラウド プラットフォーム プロバイダーによってエンドツーエンドで暗号化されます。 ただし、クラウド プラットフォームは破壊不可能なわけではありません。悪意のある行為者は、ソーシャル エンジニアリング スキームを使用してデータ暗号化の予防措置を回避し、ログイン資格情報を取得する可能性があります。従業員が人為的なミスを犯す可能性もあります。たとえば、使用していないときにクラウド アカウントからログアウトするのを忘れると、ハッカーがデバイスを通じてシステムに侵入する可能性があります。 企業データの 60% 以上がクラウドに保存されているため、これらのプラットフォームはサイバー犯罪者の大きな標的となっており、クラウド セキュリティは継続的な課題となっています。 クラウドコンピューティングのリスクを最小限に抑えるにはどうすればよいでしょうか?理想的には、サイバーセキュリティの専門家が、クラウド コンピューティングのあらゆるリスクに対応するワンストップ ソフトウェアを推奨できるはずです。しかし、この解決策は今のところ存在せず、今後も存在しない可能性が高いです。 では、クラウド コンピューティングのセキュリティ リスクを軽減するために、企業はどのような対策を講じることができるでしょうか?解決策をいくつか紹介します。
クラウド コンピューティングを車の運転に例えると、速度制限を守り、シートベルトを着用し、安全運転をすることで、事故のリスクを軽減できます。しかし、事故が起こる可能性をゼロにすることはできません。同じことがビジネスリーダーとクラウド コンピューティングにも当てはまります。クラウド コンピューティングの主なリスクを理解し、ビジネス、データ、従業員を保護し、セキュリティ インシデントのリスクを軽減するためのセキュリティ プロトコルとベスト プラクティスを確立する必要があります。これはあらゆる状況から身を守るものではありませんが、少なくとも無謀な運転にはならないでしょう。 |
<<: K8S トラブルシューティング ガイド: ネットワークの問題のトラブルシューティングのアイデア
>>: KubeSlice でハイブリッド/マルチクラスタ、マルチクラウド Kubernetes の導入を簡素化
新浪微博は、微博コミュニティの秩序を維持し、違反行為を処理するためのオープンで透明なメカニズムを確立...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますモバイルイ...
今の百度は批判も敗北も許されない。満足できないと、私たちウェブマスターの命をもてあそぶ。いつでもサイ...
月収10万元の起業の夢を実現するミニプログラム起業支援プランXiaomi の第 2 四半期の財務報告...
学生は学習状況を反映する評価が必要であり、教師は教育状況を反映する評価が必要であり、ビジネスパーソン...
Baidu が SEO に手動介入してから半月が経ちました。Baidu と Google の検索エン...
最近、QQ グループで Taobao SEO トレーニングを宣伝している人をよく見かけます。そこで ...
ポストトラフィック時代では、モバイルインターネットと消費者インターネットの配当は消え、コンテンツ電子...
ほとんどの人が簡単に必要な情報を見つけられるように、Host Cat はホームページに「インデックス...
少し前に、Weiboで「独立系ゲームのクラウドファンディングには、どの国内ウェブサイトの方が信頼でき...
Baidu Knows は現在 SEO の戦場となっています。A5 にも Baidu Knows を...
tmhhost は、国慶節 + 中秋節期間中、米国 (トリプル ネットワーク) CN2 GIA 20...
みなさんこんにちは。私はハルビンバーチャルリアリティデザインです。最近、キーワードのランキングを研究...
IT 業界は現在、これまで以上にクラウド コンピューティングを重視しています。クラウド コンピューテ...
Hostkvm の香港 VPS には 2 つのデータセンターがあり、1 つは葵湾、もう 1 つは大埔...