企業が直面するハイブリッドクラウドのセキュリティ上の 5 つの課題

クラウド サービスの利用は過去 2 年間で大幅に増加しており、この傾向は衰える兆しがありません。調査会社ガートナーの2021年4月のレポートでは、パブリッククラウドサービスへの世界的な支出が1年以内に23%増加すると予測されています。

コンテナ化、仮想化、エッジ コンピューティングなどの新興テクノロジーが主流になりつつあり、クラウド支出を促進していますが、サービスとしてのソフトウェア (SaaS) は依然として最大のセグメントとなっています。

企業は、1 種類のクラウド サービスを導入するのではなく、複数のクラウド サービスを組み合わせてビジネス目標を達成することを選んでいます。ハイブリッド クラウド モデルは、企業にこれまでにない柔軟性を提供します。必要に応じて容量を拡大または縮小し、任意の数のクラウド サービス間でデータとワークロードを移動できます。ハイブリッド クラウドにはサイバーセキュリティのリスクもあり、対処しないと大きな損失につながる可能性があります。

ここでは、ハイブリッド クラウド モデルでセキュリティ チームが直面する 5 つの最大の課題と、その対処方法について説明します。

1. 複雑さが増し、可視性が低下する

企業がより多くのパブリック クラウド サービスを導入し、プライベート クラウド機能を追加するにつれて、管理とセキュリティの観点から IT 環境はより複雑になります。サービスの使用状況を監視するための措置を講じないと、その環境で何が起こっているのか把握できなくなります。

ハイブリッド環境では当然ながら複雑さが増し、パブリック クラウド上のストレージ バケットの構成ミスなどの人為的ミスによって引き起こされたデータ侵害に関する注目度の高いメディア報道が数多く行われています。

クラウド コンピューティング環境の安全性を確保するために標準、認証、ベスト プラクティスを定義する組織である Cloud Security Alliance (CSA) によると、構成ミスや不適切な変更管理、クラウドの使用状況の可視性の低さが、クラウド コンピューティングに対する最大の脅威の 1 つです。

クラウド サービスのメリットを得るには、多くの場合、企業のセキュリティへの取り組み方を変える必要があります。ハイブリッド クラウド環境を選択すると、組織に選択肢と柔軟性がもたらされますが、IT チームがセキュリティ プラクティスを再評価し、それを適応させる方法を検討する必要があることも意味します。 「見えないものは保護できない」という言葉は、ハイブリッド クラウド アーキテクチャでは特に当てはまります。

ハイブリッドなパブリック クラウドとプライベート クラウドまたはインフラストラクチャにより、企業の複雑さとリスクが増大するため、分散システムを保護するには可視性と制御の向上が不可欠です。

2. 知識とスキルのギャップ

企業におけるサイバーセキュリティスキルの深刻な不足は、一般的な現象となっています。多くの企業は、職務を遂行できる従業員を見つけるのに苦労していますが、クラウドも理解しているセキュリティ専門家を特定して雇用することは、課題をまったく新しいレベルに引き上げます。このクラウド セキュリティに関する知識のギャップは企業を危険にさらす可能性があるため、企業はできるだけ早くこのギャップを埋める方法を見つける必要があります。

これを実現する 1 つの方法は、社内および社外のトレーニングを提供することです。これには、事業部門、サイバーセキュリティのリーダーシップとチーム、トレーニング、HR が連携して、複雑なハイブリッド クラウド環境をサポートするための継続的なスキル向上を可能にするカリキュラムとマルチモーダル トレーニング パスを開発する必要があります。

注目すべきは、ほとんどの非技術系組織と非クラウド サービス プロバイダーが同じクラウド人材プールをめぐって競争していることです。したがって、採用は企業が選択肢として検討するべき課題ではありません。この点では、既存の従業員のスキルを向上させるためのトレーニング プログラムを開発することが役立ちます。

強力なガバナンスは、ハイブリッド クラウド環境におけるもう 1 つの重要な要素です。責任マトリックスと運用モデルを明確に定義することで、懸念を軽減し、効果的なガバナンスを実現できます。監視メトリックにより、さまざまなセキュリティ チームと実装された制御の有効性が可視化されます。

CISO やその他のセキュリティ リーダーは、人材とスキルを効率的に活用しているかどうかを検討する必要があります。ハイブリッド クラウド環境では、セキュリティ チームは 2 つ (またはそれ以上) のクラウド サービスのセキュリティ機能を理解する必要がある場合があります。

3. セキュリティ責任の移譲

境界セキュリティ、インフラストラクチャ、仮想化に関する制御を実装する責任がパブリック クラウド エコシステムのクラウド プロバイダーに徐々に移行するにつれて、共有セキュリティ責任の変化するモデルを理解することが重要になります。

一部の企業は、プライベート クラウドのセキュリティ制御とテクノロジー スタックをパブリック クラウドに拡張しようとしますが、うまくいかない場合もあります。ハイブリッド クラウド エコシステムにおいて責任の割り当てマトリックスと運用モデルが明確に定義されていないと、脅威が軽減されず、対処できない機能が発生する余地が残り、企業の拡大とビジネス目標の達成が妨げられます。

クラウド サービスの使用に伴う責任共有モデルを理解してそれに従うことは重要ですが、すべての企業がそれを実行しているわけではありません。パブリック クラウド企業が使用する責任共有モデルは、多くの企業が依然として注力する必要がある優先事項です。

4. ネットワーク保護の不一致

プライベート クラウドをサポートする既存のベンダー ツールがパブリック クラウドには適さない可能性があるため、サイバー セキュリティは企業が引き続き課題に直面している重要な分野です。

企業はコンテナを活用してハイブリッド クラウド全体でシームレスな移行と管理を実現していますが、サービス メッシュや API セキュリティなどのニュアンスを理解していないと、コンテナが侵害され、さらに悪用される可能性があります。

パブリック クラウド ベースのセキュリティ ツールのベンダーのほとんどはプライベート クラウド環境をサポートしていますが、オンプレミスまたはプライベート クラウド用に構築された従来のベンダー ツールは、パブリック クラウド向けに拡張できなかったり、完全な機能を提供できなかったりする場合があります。ベンダー分析は重要であり、すべての要件とユースケースが特定された後に実行する必要があります。

5. 分散型ログ記録および監視機能

ログ ソースがオンプレミス システム、パブリック クラウド システム、ベンダー ツール、クラウド ネイティブ サービスに分散されているハイブリッド クラウド環境では、ログ テレメトリを識別し、監視メトリックを確立することが重要です。企業には、運用レベルと機能レベルの測定のための KPI と、経営報告のための KRI が必要です。

ただし、ログ記録と監視の機能が成熟するには 1 ～ 2 年かかり、定義されたメトリックを達成するには、ログを処理して複数のソース間で相関付けるための多くの手順とツールが必要になります。最終的な目標は、企業管理者のニーズを満たし、クラウド サービスの残存リスクと影響を理解できるようにするカスタム レポート ダッシュボードを開発することです。同時に、運用チームは環境全体にわたる高度で持続的な脅威を包括的に把握できるようになります。