ハイブリッドクラウドのリスクが心配ですか?霧を晴らし、安全をコントロールするのに役立つ3つの秘密

調査によると、現在、ほぼすべての企業が複数のクラウドプロバイダーと多数のクラウドベースのソリューションを使用しています。つまり、企業の IT 部門はハイブリッド クラウド モデルを受け入れたということです。

アナリスト会社 IDC は、2022 年までに世界中の企業の 90% 以上が複数のパブリック クラウドを導入すると予測しています。 IT 管理ソリューション プロバイダーの Flexera が発表した 2020 年のクラウドの現状レポートによると、企業の 93% がハイブリッド クラウド戦略を導入しており、2 年前の 81% から増加しています。現在、回答者は平均 2.2 個のパブリック クラウドとプライベート クラウドを使用しています。

[[389103]]

しかし、従来の企業ではパブリック クラウドとプライベート クラウド、および SaaS アプリケーションの組み合わせが増えるにつれて、多くのセキュリティ上の問題も生じます。 Flexera の調査では、企業の約 83% がセキュリティを課題として挙げており、クラウド支出の管理 (82%) やガバナンス (79%) を上回っています。

「ハイブリッドクラウドがセキュリティチームにもたらす課題は増え続けています」とコンサルティング会社プロティビティの新興技術およびグローバルクラウドプラクティス責任者、ランディ・アームクネヒト氏は語る。 「リリースされるサービスの数、それらの新しい相互作用の方法、サービスとシステムの相互接続性、これらすべてが進化し、企業のセキュリティ モデルに新たなレベルの複雑さを加えています。」

ハイブリッド クラウド環境のセキュリティが最優先事項であることは驚くことではありません。最高情報セキュリティ責任者は、保護する必要のある範囲が企業の内部インフラストラクチャから、さまざまなメーカーに分散されたコンピューティング リソース ネットワークに変わったことを認識したためです。問題は、これらのベンダーが提供するサービスとセキュリティの取り組みのレベルがそれぞれ異なることです。この環境では、マルウェア攻撃、データ侵害、コンプライアンス違反、回復力の問題に対する脆弱性が高まります。 KPMGのテクノロジーリスク部門のパートナーであるサイ・ガディア氏は、ハイブリッドクラウドアーキテクチャの複雑さが攻撃ベクトルになりつつあると述べた。 「従来の人材、プロセス、テクノロジーにギャップがあれば、悪意のある人物はそれを悪用する機会を模索するだろう。」

複雑化の進行

テクノロジープロバイダーの Blissfully は、「2020 SaaS トレンドレポート」の中で、今日の従来のエンタープライズ IT インフラストラクチャとソリューション スタックには、パブリック クラウドとプライベート クラウドの展開だけでなく、多数の異なる SaaS 製品 (平均 288 個) も含まれていると指摘しました。

ビルディング ブロックごとにセキュリティ要件が異なり、組み込まれているセキュリティ機能のレベルとタイプも異なります。各クラウドプロバイダーは異なるツールを使用し、同じツールであっても用語が異なることがよくあります。さらに、これらのクラウド プロバイダーは、セキュリティに関して異なる責任を負います。これらすべてにより、CISO は、クラウド サービスのセキュリティ機能が適切かどうか、さらにセキュリティを強化する必要があるかどうか、どこにどのような追加のセキュリティ対策が必要かを文書化するために、すべてをまとめる必要があります。

「クラウド サービスは生活を楽にしてくれるとよく​​考えられているが、クラウド サービスはさまざまな方法でそれを実現し、多くのメリットをもたらす」と、451 リサーチの情報セキュリティ チャンネルを担当するシニア リサーチ アナリストのギャレット ベッカー氏は語る。 「しかし、セキュリティの観点から見ると、やらなければならないことが非常に多いため、複雑さも増します。」

Oracle と KPMG の 2020 年クラウド脅威レポートでは、回答者は複雑さを大きな課題として挙げています。回答者の 70% は、パブリック クラウド フットプリントを保護するには専門ツールが多すぎると考えており、78% はクラウド常駐アプリケーションとオンプレミス アプリケーション間で異なるセキュリティ ポリシーとプロセスが必要であると指摘しています。

これらの問題は、もう 1 つのよくあるセキュリティ問題である可視性の欠如を引き起こします。

[[389104]]

「さまざまなプロバイダーからさまざまな情報をすべて集めて、統一された管理の観点を得るのは困難です」と、Security Curve の創設パートナーであり、ハイブリッド クラウド環境向け ISACA (国際情報システム監査および管理協会) セキュリティ影響管理チームの主任開発者である Ed Moyle 氏は述べています。

Very Good Security の最高情報セキュリティ責任者である Kathy Wang 氏は、可視性の課題は複数のレベルから生じると述べています。たとえば、企業のセキュリティ チームは、企業のすべてのクラウド展開 (特にビジネス ユニットが直接購入した SaaS 製品) を詳細に把握しているわけではありません。たとえそうであったとしても、すべてのクラウド展開を監視して問題を検出するのは依然として困難です。さらに、インシデント管理ツールからのデータの収集と解釈は困難な場合があります。

戦略を立てる

ハイブリッド クラウド セキュリティ戦略の策定は、組織が使用するすべてのクラウドを特定し、クラウド関連のセキュリティに関する決定を導く強力なデータ ガバナンス プログラムが組織に導入されていることを確認し、適切なツールを適切な場所に導入して適切なレベルの制御を確保することから始まります。

ISACA は、レポート「ハイブリッド クラウド環境のセキュリティ影響の管理」の中で、「複数のプロバイダーが機能するには、組織がツール、プロセス、監視機能、運用上の考え方、その他のセキュリティ計画要素を調整する必要がある」と述べています。

Gadia 氏は、CISO は現在この方向に進んでいると考えています。同氏は、オラクルとKPMGの調査によると、企業にはセキュリティ アーキテクトよりもクラウド セキュリティ アーキテクトの方が多いことが示されていると指摘しました。それでも、多くのセキュリティ チームでは、安全なクラウド アーキテクチャを作成するために必要なあらゆるスキルを備えた人材の数をさらに増やす必要があります。

ハイブリッド クラウドのセキュリティを強化するための 3 つの重要な手順を紹介します。

アプリケーションとデータに焦点を当てる

ハイブリッド クラウド環境におけるアプリケーション セキュリティの重要性は過小評価できません。 「アプリケーションの強化とセキュリティ確保のために、強力で信頼性の高いアプローチに頼ることがこれまで以上に重要になっています」と、Micro Focus のセキュリティ リスクおよびガバナンス担当ディレクター、Ramsés Gallego 氏は述べています。 「これは、コードに脆弱性がないことを保証するだけでなく、アプリケーションが使用しているライブラリが最新であり、脆弱性がないことを保証することも意味します。」

ガレゴ氏は次のように付け加えた。「データ管理、データ最小化、そして最も重要なデータの匿名化と暗号化は、企業がハイブリッド クラウド アーキテクチャを構築するための柱となるものです。土木工学と同様に、基盤は強固でなければならず、一部の規制で要求されているように、適切なデータ マスキングとデータ隠蔽の戦略が整備されていなければなりません。」

適切なツールを使用する

さまざまなクラウド サービスに組み込まれているセキュリティ機能にはばらつきがあるため、ツールとテクノロジを適切に組み合わせることで、さまざまな企業のクラウド ソリューション ポートフォリオに対応できます。 CISO は、どのソリューションがどこで機能するかを明確にし、クラウド環境にまたがるソリューションを選択して、セキュリティ シナリオ用の単一の管理プラットフォームを作成する必要があります。

専門家は、企業とクラウド サービス プロバイダー間で認証、資格情報マッピング、デバイス プロファイル、暗号化、マルウェア検出などのセキュリティ対策を実施できるソフトウェアであるクラウド アクセス セキュリティ ブローカー (CASB) の導入を推奨しています。

さらに、専門家はクラウド セキュリティ ポスチャ管理 (CSPM) の使用を推奨しています。これは、セキュリティ要件に基づいてエンタープライズ クラウド環境を評価し、クラウド構成が関連する要件と規制を継続的に満たしていることを確認できる新しいテクノロジーです。

「CASBは重要だが、その焦点はSaaSにある」と非営利団体クラウド・セキュリティ・アライアンス（CSA）のERPセキュリティ作業部会の研究員、フアン・ペレス・エチェゴイエン氏は語る。 「一方、CSPM はより包括的であり、すべてのクラウド サービス モデル (IaaS、PaaS、SaaS) に重点を置いています。」

セキュリティ強化

セキュリティリーダーは、CISO がゼロトラストの姿勢を採用し、ゼロトラスト セキュリティ モデルをサポートするテクノロジを積極的に導入することも推奨しています。このモデルでは、接続が信頼できるものであることを証明できない限り、接続は信頼できないと想定されます。

「ゼロトラスト・セキュリティ・モデルでは、クラウド資産のセキュリティは、拡張ネットワーク内の信頼できるユーザーやデバイスに依存しません」とガディア氏は述べた。 「ゼロ トラストは、最小限の権限/アクセスのみに依存します。クラウド環境内のリソースにアクセスするには、すべてのユーザーとデバイスを認証する必要があります。」

この考え方は、検証されていないものはすべて信頼できないとみなされる可能性につながる可能性があるが、セキュリティチームが、許可されていないクラウド展開、シャドーIT、セキュリティ基準を満たさないクラウドプロバイダーから企業を保護するのに役立つ可能性があるとモイル氏は述べた。 「プロバイダーが適切なセキュリティを提供できないのではなく、環境が危険であると想定し、それに合わせて設計しているだけだ」とモイル氏は説明した。

最後に、専門家は、ハイブリッド クラウド環境のセキュリティを強化したい CISO に対して、まず関連するセキュリティ標準をサポートするプロセスが整備されていることを確認し、同時に、長年セキュリティを支配してきた従来の人、プロセス、テクノロジーのアプローチの変革と近代化を完了することを推奨しています。

これらの取り組みでは、ビジネス ニーズ、セキュリティ目標、コンプライアンス義務のバランスをとるために、企業内のすべての関連部門間の連携が必要です。

「クラウドでのリスク管理方法、組織内でのクラウド開発への取り組み方、テクノロジーによるリスク判断の方法について、より高度な戦略的な話し合いが必要です」と、451 Research の情報セキュリティ チームの主任研究アナリスト、フェルナンド モンテネグロ氏は述べています。彼は、多くの CISO とそのチームが、プロジェクト サイクルの早い段階で開発者や関係者と連携し、最初からセキュリティが考慮されるようにしていると述べました。