規制とクラウドの出会い: 未来への共通の責任

最近、TikTokに関する報道が多くなってきました。なぜなら、議会から学界、多国籍企業から中小企業、役員室から寝室まで、このチャンネルは思考、感情、データを乗っ取る可能性で注目を集めているからだ。クラウドコンピューティングの方が重要ではないでしょうか?クラウドは単一のリソースとして、より多くのデータを保存し、より大きな範囲と影響力を持つのではないでしょうか?同じくらい注目に値するのではないでしょうか? Archive360 の共同創設者兼 CTO である Tibi Popp 氏が、これらの質問と関連する質問について説明します。

もちろん、注目が集まるということは規制が強化されることを意味する可能性があり、テクノロジーに関しては、結果はまちまちとなる可能性がある。クラウド セキュリティの場合、さらなる法整備が必要であっても、誤った規制は問題となる可能性があります。では、正しいアプローチとは何でしょうか?

インターネットクラウドの問題

規制当局はすでに、大手クラウドプロバイダーが深刻な脅威を防止、軽減、さらには警告するために十分な対策を講じていないと考えています。 SolarWinds のような注目を集める侵害が絶えず発生していることを考えると、これに異論を唱えるのは難しい。これらの規制当局はまた、ベンダーがパッチやその他の修正を適用するためのリソースを持っていることも要求しています。クラウドに依存しているすべての企業が同じリソースを持っているわけではありません。

だからこそ、世界の終わりについてあれほど多くの議論が交わされているのです。クラウド 1 つに障害が発生すると、重要な医療や国家安全保障からビデオ ゲームまで、現代生活のあらゆる側面を支えるインフラストラクチャ全体がダウンしてしまう可能性があるのです。そのため、バイデン政権は、グーグル、マイクロソフト、アマゾン、オラクルといった大手企業に対し、民間部門と公共部門の幅広い組織が使用するサーバーの保護を強化するよう強制するという、おそらくこれまでで最も野心的な取り組みを開始した。

他の規制が保留中である一方で、政府は、クラウドプロバイダーと再販業者に各顧客の身元を確認するための厳格な措置を採用し実施することを要求する前政権の大統領令を復活させました。

成長と安全のバランス

明確な目標は、外国のハッカーが米国のサーバーのスペースを借りて、その有利な立場から大混乱を引き起こすのを防ぐことだ。犯罪行為が発生した場合、記録をより適切に保管することで、違反者を特定し、起訴することが容易になります。もちろん、より良い保障策を確立するために、政府は急速な成長を妨げないことも約束した。

おそらく、ここでの最大の問題は、クラウドの使用とクラウド セキュリティがまだ大きくかけ離れていることです。たとえば、多くのサプライヤーのビジネス モデルでは、保護を強化するために追加料金を請求する必要があります。さらに、政府にはこの機能を担当する指定された機関やリソースがありません。その結果、最も戦略的な対策であっても、特定の分野向けのものなど、政策、積極的な施行、技術的なアドバイスの進化する組み合わせに頼らざるを得なくなります。

基本を再考する

もう一度言いますが、政府がクラウド インフラストラクチャのセキュリティに重点を置いていることは、確かに称賛に値します。しかし、政府がすべての答えを提供してくれると期待するのは決して良い考えではありません。それで、何が欠けているのでしょうか?どうすればより現実的なアプローチを見つけられるでしょうか?

まずは基本を再考することから始められると信じています。たとえば、これらの善意の指令の多くは、本質的にはテクノロジーをそれ自体の目的と見​​なしており、その目標は基本的にサーバー ファームを保護することです。その間、本当に重要なのはデータです。

ハードウェアではなく日付に焦点を当てると、考え方が変わります。政府には、ドミノ効果（1 台のサーバーがクラッシュするとシステム障害が発生する）を懸念する理由があり、また、クラウド コンピューティング プロバイダーに対して環境のセキュリティを強化するよう圧力を強める理由もあります。これは重要ですが、非常に不十分でもあります。

個人的な観点から言えば、クラウド移行とは、自分のデータを他人のコンピューターに置くことを意味します。しかし、それは依然としてあなたのデータであり、あなたの責任です。クラウドには貴重品だけが保存されているわけではありません。クラウドには無限の量のデータが保存できるため、ハッカーにとっては小さなコンピューターよりも魅力的です。これらすべてを通じて、プロバイダーの顧客は、クラウド プロバイダーのセキュリティ プロトコルや他の顧客がどのように攻撃されているか、どのようなソフトウェア パッケージや IoT デバイスが使用されていて脆弱性が生じているかをほとんど把握できません。

クラウドで保護し、繁栄する

結論: ほとんどの組織にとって、クラウド コンピューティングは依然としてビジネス上完全に理にかなっています。特に政府機関にとって、これは（多くの機関が明らかに持っている）従来のインフラストラクチャから脱却し、大規模な投資をすることなく技術の進歩の恩恵を受けるのに最適な方法です。ただし、デジタル資産をクラウドに移行するすべての組織は、自社のデータを保護する責任を引き続き共有する必要があります。クラウド プロバイダーに義務を完全に委ねる (完全な依存を意味する) ことは、近視眼的で賢明ではありません。

もちろん、企業は自らのためにさらに多くのことを行っています。さらに、高度な分離レベルを備えた専用クラウド テナントを展開するオプションもあります。つまり、ネットワーク リソースの共有や秘密の共有はなく、顧客の特定の取り決めに合わせてセキュリティが強化されます。さらに深く掘り下げると、独自のテクノロジーによって高度な暗号化を保証し、特定のデータ要素をすぐに保持または処理する必要があるレコードに分類し、さらに PII やその他の機密情報を含むデータにタグを付けて分離することもできます。最低レベルであっても、これはデータ プライバシー ガイドラインやベスト プラクティスなどを採用した最高品質の保護です。

もう一度言いますが、クラウド セキュリティは政府にとって懸念事項であり、包括的な規制を提案する理由があります。あらゆる規模のクラウド プロバイダーは、顧客の資産を保護するためにさらに多くのことを行うことができますし、また行うべきです。しかし、引き受けるべき責任は多く、現在利用可能なテクノロジーとサービスにより、クラウドに移行する組織は自社のセキュリティをより細かく制御できるというメリットが得られます。