小売業界におけるパブリッククラウドの情報セキュリティに関する議論

⚠️パブ​​リッククラウドのセキュリティインシデント⚠️

過去 6 か月間に、小売業界ではパブリック クラウドのセキュリティ インシデントがいくつか発生しましたが、いずれも何らかの理由によるデータ漏洩が原因でした。不適切な保護対策が原因のものもあれば、アプリケーションの脆弱性によりハッキングされたもの、社内スタッフの不注意が原因のものもありました。

その後、セキュリティ意識の不足、パブリック クラウド セキュリティ アーキテクチャのベスト プラクティスに従って構成されていないこと、クラウド セキュリティへの投資が不十分であることという 3 つの主な理由があることがわかりました。

📍安全意識の欠如

政府や金融業界は厳しく規制されており、セキュリティ基準を満たさないアプリケーションシステムはオンライン化できません。そのため、これらの業界では、リーダーから技術者に至るまで、情報セキュリティに対する意識が高まっています。

小売業界はビジネス志向であることが多く、セキュリティ インシデントが発生して損失が発生した後に初めて、セキュリティの重要性が認識され、状況の改善が開始されることがよくあります。

📍パブリッククラウドのセキュリティアーキテクチャの最適な時間構成に従っていない

私はいくつかの小売企業と接触しましたが、パブリック クラウド環境の基本的なセキュリティ構成が非常に不規則であることがわかりました。 VPC を分割し、クラウド スーパー アカウントのパスワードをすべての技術スタッフで共有しました。セカンダリ認証が有効になっていないため、すべてのセキュリティ グループが開かれました。

実際、パブリック クラウド セキュリティ アーキテクチャのベスト プラクティスに従って構成できれば、多額の費用をかけずに基本的な保護を実現できます。

📍セキュリティ対策への投資不足

多くの小売業界のリーダーはセキュリティにお金をかけることに消極的ですが、これは誤解です。一部のリーダーは、セキュリティへの投資は費用対効果が低く、目に見えず、実体がないと考えており、適切なことにお金を使うべき場合には、単に投資をしません。多くの場合、彼らは起こったことを補うために急いでお金を使うだけです。安全は底なし沼であり、いくらお金をかけても無駄であり、実行してもしなくても同じであると考えるリーダーもいます。

セキュリティ投資については2つの事実があります。 1つ目は、セキュリティ投資は木樽の原則に従うということです。最先端の技術に資金を投入できれば、弱い部分を埋めることでリスクを大幅に軽減できます。 2 つ目は、安全投資は 80/20 の原則に従い、一定の範囲内で投資の費用対効果が非常に高くなる可能性があるということです。

上記の状況に対応する解決策としては、専任の人員を配置し、クラウド セキュリティ アーキテクチャを最適化し、投資を適切に増加させることが挙げられます。

☁️特別担当者

専任の担当者がいるということは、安全性が真剣に考慮されていることを意味します。中小企業の中には、専任の担当者がいるからといって、必ずしもその担当者がフルタイムで責任を負わなければならないというわけではありません。作業時間の一部を担う担当者を 1 人指定できます。責任者がいれば、安全を体系的に考慮し、安全対策を実施して継続的に安全性を最適化することができます。

さらに近年、同国は情報セキュリティをますます重視するようになっている。小売業界では大量のユーザー情報を保有していることが多いため、監督においてはコンプライアンスを考慮する必要があります。レベル保護を議題に上げ、レベル保護仕様に従ってセキュリティ構築を行う必要があります。

☁️クラウド セキュリティ アーキテクチャの最適化

クラウド セキュリティ製品は数多くあり、比較的高価であることから、セキュリティ製品の選び方がわからず、あまり使いたくないという人も多いようです。 New Titanium Cloud Serviceの実践経験によると、小売業の企業の場合、以下の基本的なセキュリティ構成を行うことで良好な結果が得られます。

01アカウント

• 最小権限の原則は、権限要件の範囲に応じてサブアカウントを分割します。
• すべてのアカウントで2段階認証を有効にする
• 使用する必要がある場合は、サブアカウントを作成して最小限の権限を割り当て、構成センターにアクセスキーを保存し、他の資格情報を使用して呼び出す必要があるアクセスキーを取得します。

02VPC

• 本番環境と R&D テスト環境は異なる VPC に分割されます。 VPC は、ビジネス規模に応じて、さらに PRO、UAT、TEST などに分類されます。
• 外部業務が多い場合は、DMZ VPC に分割し、すべての外部業務を DMZ VPC 内に展開することができます。ビジネス規模が大きくない場合は、DMZ VPCとPRO VPCを1つにまとめることができます。
• VPC 間の通信はホワイトリストの原則に従い、デフォルトでは許可されません。

03 パブリックネットワークへの露出範囲を縮小し、パブリックネットワークに露出している場所の保護を確実にする

• 常に外部に開かれているのは IP アドレスではなく、特定のポートのみです。
• ポートは外部ビジネス用にのみ開く必要があります。 OAなどの社内業務の場合はVPN経由でアクセスするようにしてください。企業に多数の従業員がいて、彼らが全国に散らばっている場合、VPN を通じて彼らを制御するのは困難です。また、複雑なパスワードの定期的な変更や必要なセキュリティ保護対策などの対策を実施することも必要です。技術部門が使用するシステムには VPN 経由でアクセスする必要があり、パブリック ネットワークに公開してはなりません。
• 外部パブリック IP は SLB にバインドされており、可能な限りクラウド ホストにバインドしないでください。複数の保護のために、クラウド ファイアウォール、WAF、DDoS 対策などのクラウド セキュリティ製品を SLB の前に導入する必要があります。
• クラウド ホストには要塞ホストを介してアクセスされ、きめ細かい権限分割が実行されます。

04. 予算が限られている場合は、無料または低価格のクラウドセキュリティ製品を使い始める

• 通常、パブリック クラウドのクラウド セキュリティ センターには DDoS の無料バージョンが用意されており、これを有効にすることをお勧めします。一時的なニーズがある場合は、短期バージョンまたはボリュームベースのバージョンを購入できます。
• ログ監査サービスは、多くの場合、ストレージ容量に応じて課金されます。ルールが適切に設定されていれば、出費を抑えることができるので、有効にしておくことをお勧めします。

☁️投資を適切に増やす

一般的に、IT 予算の 5 ～ 10% を情報セキュリティに費やすのが適切です。

ニューチタニウムクラウドサービスの経験によれば、さまざまな規模の小売企業に対して、次のようなセキュリティ投資プランを採用できます。

• 小規模な小売企業の場合、ホストの数は 20 未満です。悪意のある攻撃が検出されない場合、WAF などのセキュリティ製品を使用するコストは負担できないことがよくあります。一方でクラウド セキュリティ アーキテクチャに応じて最適化し、他方でセキュリティの最終防衛線を構築するためにホスト セキュリティ製品の購入を検討することをお勧めします。すべての攻撃は最終的にホストをターゲットとします。ホスト セキュリティ製品は、システムやアプリケーションの脆弱性やリアルタイム攻撃をリアルタイムで検出できます。
• 中規模小売企業の場合、ホスト規模は20〜100であり、WAF、クラウドファイアウォール、クラウドセキュリティセンターなどのクラウド製品を検討する必要があります。これらは実際にはレベル 3 のセキュリティ保護の要件を満たし、より優れたセキュリティ保護を提供できる製品です。
• 大規模な小売企業の場合、上記に基づいて、セキュリティをさらに強化するために、より複雑なクラウド製品を検討することができます。

最後に、セキュリティには継続的な運用が必要であることを強調することが重要です。製品を購入して設定を完了したら終わりではありません。良好な結果を得るには、常にアラームをチェックし、脆弱性を修正し、ビジネス状況に基づいて構成を最適化する必要があります。