サイバーセキュリティの知識: クラウドセキュリティについてお話しましょう

概要

英国NCSCのクラウドセキュリティへのアプローチ

クラウドテクノロジーには曖昧な用語がいくつかあるため、一般的な用語をいくつか定義しておくとよいでしょう。「クラウド」、「クラウドサービス」、または「クラウドコンピューティング」という場合、次のことを意味します。

「共有インフラストラクチャ上でホストされ、インターネット経由でアクセスできる、オンデマンドで大規模にスケーラブルなサービス。一般的なサービスでは、データストレージ、データ処理、ログ記録などの事前構築された機能が提供されます。

これは、クラウドサービスの共通の特性を識別するための NIST のクラウドコンピューティングの定義に従います。

クラウドサービスは次の 2 つのカテゴリに分けられます。

ビジネス上の問題を解決する、事前に構築されたクラウドサービス。これらはサービスとしてのソフトウェアまたはSaaSと呼ばれることが多い
ビジネス上の問題を解決するためのサービスを構築するためのコンポーネントを提供するクラウドプラットフォーム。このバナーの下にあるサービスには、プラットフォーム・アズ・ア・サービス（PaaS）、インフラストラクチャ・アズ・サービス（IaaS）、サーバーレス・コンポーネントが含まれます。

「クラウドサービスの理解」セクションでは、さまざまな種類のクラウドに関する詳細情報と、その展開、セキュリティ、管理モデルに関する情報が提供されます。

クラウドのセキュリティ

パブリッククラウドサービスの規模により、多くの機能上の利点だけでなく、多くのセキュリティ上の利点ももたらされます。ただし、ほとんどのクラウドサービスは共有されているため、サービスを導入する際に直面するリスクを明確に理解することが難しい場合があります。

このガイドは次の点で役立ちます:

パブリッククラウドサービスのセキュリティの評価
目的の用途に適しているかどうかを判断する

これを行うには、まずサービスによって提供される分離対策を理解する必要があります。また、サービスの安全な運用のために、責任のバランス（およびプロバイダー間）を明確に理解する必要があります。

クラウドプラットフォームを使用してサービスを構築する場合は、この設定で暗号化が通常どのように処理されるかを十分に理解する必要があります。クラウド暗号化に関する当社のガイドでは、関連するすべての用語とテクノロジーを網羅しています。

ほとんどの概念は、ハイブリッドクラウド、マルチクラウド、および一部の大規模なプライベートクラウドの展開にも同様に適用されます。サービス展開モデルのセクションでは、あまり一般的ではないクラウド展開タイプに関する追加の考慮事項について説明します。

クラウドサービスを安全に使用するガイドには、クラウドプラットフォームを構築する前に実行する必要があるアクションや、 Software as a Service (SaaS) アプリケーションのセキュリティ保護が含まれています。

クラウドセキュリティへの取り組み

サイバーセキュリティは、プロジェクトの開始時から考慮するのが最適です。最後の瞬間にセキュリティを追加しようとすると、予測できない（そして高価な）結果が生じる可能性があります。

このガイドの推奨事項は、適切な開発プロセスに完全に統合されると、最良の結果が得られます。私たちが提案するアプローチは、次の 4 つのステップで構成されています。これらを順番に確認することで、目的の用途に適した安全なクラウドサービスを決定するのに役立ちます。

1. ビジネスニーズを理解する

まず、クラウドサービスの使用目的と、そこで保存および処理されるデータを理解する必要があります。サイバーセキュリティのリスクを特定して管理する際には、NCSC のリスク管理ガイダンスを参照することをお勧めします。

2. ニーズに合ったクラウドプロバイダーを選択する

当社のクラウドプロバイダー選択ガイドでは、次のいずれかの方法を使用して適切なクラウドプロバイダーを選択する方法について説明しています。

クラウドサービスの商用入札を行う場合は、入札にクラウドセキュリティ原則への対応を含めることを義務付けることをお勧めします。

サービスを選択する際には、「コストパフォーマンス」が常に考慮されます。一部のクラウドサービスでは、セキュリティ機能 (シングルサインオンや必須の多要素認証など) が異なるライセンスが価格設定されています。取得したライセンス見積に、セキュリティニーズを満たすサービスが含まれていることを確認する必要があります。

クラウドセキュリティの原則、または

クラウドセキュリティへの軽量アプローチ

3. クラウドサービスを安全に使用する

クラウドプロバイダーを選択したら、そのサービスまたはプラットフォームを使用する際のセキュリティ責任を理解する必要があります。すべてのクラウドサービスでは、ニーズを満たすために何らかの構成を適用する必要があります。クラウドサービスが「デフォルトで完全に安全」であるというのは珍しいことです。クラウドサービスを安全に使用するには、このガイドで実行する必要がある最も重要なアクションについて説明します。

クラウドプロバイダーを選択した後にサービスアーキテクチャを設計すると、サービスに組み込まれているネイティブセキュリティテクノロジーを最大限に活用できるようになります。

多くのパブリッククラウドサービスでは、セキュリティのベストプラクティスガイド、サンプルアーキテクチャ、構成ベースラインを公開しており、作業の開始に役立ちます。

4. リスクを継続的に監視し管理する

使用後は、サービスとその使用方法が引き続きビジネスおよびセキュリティのニーズを満たしているかどうかを定期的に確認してください。また、定期的に見直す必要があります。

<<: クラウドエコノミーの変革の可能性を解き放つ: 課題を克服し、価値を最大化する

>>: クラウド導入の増加によりビジネス価値が増大