クラウドで機密データを保護するための 3 つのベスト プラクティス

BetterCloud による最近の調査によると、企業は共同作業、通信、開発、契約の管理、署名の承認、その他機密データの処理と保存を行うビジネス機能のサポートに平均 80 個のサードパーティ クラウド アプリケーションを使用しています。このようなタイプのアプリケーションは SaaS と呼ばれます。

[[388681]]

企業もPaaSやIaaS上でアプリケーションやビジネスを拡大しています。 2020 年には、企業の 76% が AWS クラウド プラットフォームでアプリケーションを実行し、63% が Microsoft Azure クラウド プラットフォームでアプリケーションを実行しました。

キャピタル・ワンの元最高情報セキュリティ責任者（CISO）で技術コンサルタントのマイケル・ジョンソン氏は、これらのパブリッククラウドサービスは必要かつ生産的であり、従来のデータセンターよりも安全な環境を提供できると述べています。ただし、クラウド プラットフォームで処理および保存される機密データには固有のリスクも伴います。そのほとんどは、これらのサービスの設定と管理における顧客のエラーによって発生します。

ジョンソン氏は、8000万件の個人情報が流出した同社の2019年のデータ侵害を例に挙げた。この事件では、サイバー攻撃者が適切に構成されていないサードパーティのクラウド コンピューティング環境を悪用しました。ジョンソン氏と彼のチームはそのギャップを埋め、強力な対応計画、企業の取締役会や経営陣との透明性、法執行機関との連携により、データが悪用される前に法執行機関がサイバー攻撃者を迅速に捕まえるのを支援しました。

機密データをクラウドに置くことのリスクに対処するための対応計画を用意しておくことは、あらゆるクラウド セキュリティ戦略の一部である必要があります。パブリック クラウドの使用に関するデータ保護ポリシーの策定を開始するには、攻撃者がサードパーティのクラウド サービスからデータを盗む方法を理解することが重要です。

クラウドでデータがどのように攻撃されるか

Cloud Security Alliance (CSA) が発表した 2020 年の年次脅威レポートによると、サードパーティのクラウド サービスでのデータ侵害は、主に構成ミスと不適切な変更管理 (過剰な権限、デフォルトの資格情報、AWS S3 バケットの不適切な構成、無効なクラウド セキュリティ管理など) が原因で発生します。つまり、クラウド セキュリティ戦略やアーキテクチャの欠如がデータ侵害のもう 1 つの一般的な原因であり、次に不適切な ID およびキー管理、安全でない API、構造上の障害、クラウド アクティビティとセキュリティ制御の可視性の制限が続くとレポートは述べています。

「企業従業員のリモートワークが増えるにつれ、2021年にはSaaSが当社にとって重要な焦点となりました」と、クラウド セキュリティ アライアンス (CSA) の CEO であるジム リービス氏は述べています。 「パブリック クラウドの導入は驚異的な成長を遂げていますが、その急ぎのあまり、多くの企業はエッジ ネットワークのセキュリティ保護を忘れています。たとえば、複数のクラウド サービスで認証情報を再利用するユーザーが増えているため、クレデンシャル スタッフィング攻撃が増加しています。」

セキュリティサービスプロバイダーのマカフィーの調査によると、2020年5月までに、Cisco WebExの使用量は600％増加し、Zoomは350％増加、Microsoft Teamsは300％増加、Slackは200％増加しました。リーヴィス氏は、リモートワークに対する企業の初期サポート中に、データ侵害につながる可能性のあるいくつかの失敗があったと指摘しました。IT チームはクラウド内のストレージ バケットを保護しておらず、安全な開発者プラクティスを実装しておらず、ID とアクセスの手順を調整していませんでした。中には、サイバー攻撃者がリポジトリで発見した、ハードコードされたアプリケーション資格情報もありました。 「これは非常に基本的なことだ」と彼は付け加えた。

これら 3 つのベスト プラクティスに従うことで、クラウドでデータを保存または処理する際のリスクが大幅に軽減されます。

1. クラウドサービスの使用状況を把握する

最高情報セキュリティ責任者のイアン・ポインター氏は、クラウド内のデータに対する脅威に対抗する最善の方法は、クラウド アプリケーションの使用を制御し、パブリック クラウド サービスに関わる新しい取り組みの計画段階でリスク評価を実行することだとアドバイスしています。

最高情報セキュリティ責任者 (CISO) の間では、ユーザーのクラウド インスタンスが必ずしも承認されているわけではなく、公開されたデータが効果的に監視されることはほとんどないという意見が一致しています。 「だからこそ、CISO は経営陣の一員になる必要があるのです」とポインター氏は語った。 「彼らは、何が起こっているかを理解し、ビジネス ユニットのリーダーが新しいプロジェクトや製品を共有し、サポートを得るために検討しているクラウド製品を評価してもらうような協力的な環境を構築する必要があります。」

同氏は、以前勤めていた会社の経理部門に、サードパーティのクラウドアプリケーションやプラットフォームのどの経費請求に承認が必要かを伝えていたという。承認されたサービス以外で購入した事業部門または個人ユーザーからの払い戻しリクエストは、事前の承認なしに拒否されます。

これは、クラウド アプリケーションのホワイトリストを強制するための、不自然ではありますが効果的な方法です。クラウド アプリケーションの許可リストと拒否リストも、強力な技術的制御であり、通常は企業が管理するエンドポイントに導入されるか、ゼロ トラスト テクノロジ (ブラウザー分離など) を通じて導入され、ユーザー、企業、クラウド アプリケーション間のリモート セッションを制御します。

2. クラウドネイティブセキュリティ

ジョンソン氏は、企業が標準化している成熟したクラウド サービスとアプリケーションでクラウド ネイティブのセキュリティ製品を使用するべきだと述べました。たとえば、使用中のアプリケーションの設定コンプライアンスを評価する AWS Inspector や、悪意のあるアクティビティや不正な動作を検出できる Amazon GuardDuty などがあります。同氏は、企業はクラウドプロバイダーの評判についてデューデリジェンスを実施し、一般的にデータ保護と可視性制御でより高いスコアを獲得している大手クラウドプロバイダーのサービスを利用するよう努める必要があると述べた。

ネイティブ セキュリティはサービス モデルによって異なります。 IaaS および PaaS ベンダーは、購入者がインフラストラクチャまたはプラットフォーム内でアップグレードするアプリケーション向けのセキュリティおよび構成ツールを提供します。これらはローカルまたはサードパーティを通じて提供されます。 SaaS アプリケーション (DocuSign、Slack、Box など) の場合、セキュリティはほとんどネイティブです。たとえば、Microsoft 356 は、Active Directory の Exchange、SharePoint、Azure インスタンス (およびその他のセキュリティ製品) に対して高度な監査を提供します。

Box Enterprise Cloud のアプリケーションを通じて、サードパーティのクラウド コンピューティング プロバイダーが機密データをどのように処理するかを理解できます。 Box クラウド プラットフォームは、ワークフロー、デジタル契約、HR、Zoom ミーティング、履歴データ ストレージ、HR オンボーディング、その他の HR 機能をサポートする複数のアプリケーションを管理します。ユーザーは Box Shuttle を通じて Box クラウド プラットフォームを他のクラウド サービスに接続できます。

Boxのクラウドプラットフォーム上に構築されるアプリケーションが増えるにつれて、ユーザー向けの組み込みセキュリティおよびコンプライアンスツールセットが重要になるだろうと、Boxのセキュリティ、プライバシー、コンプライアンス担当製品担当副社長であるアロック・オジャ氏は述べた。 Ojha 氏は、Content Cloud は Box ユーザーがさまざまなワークフローにわたって一貫したセキュリティと可視性を実現し、アプリケーションで処理されているファイルやデータ、そのデータにアクセスしているユーザーやその目的を確認できる場所であると述べました。

もう 1 つのネイティブ ツールである Box Shield は、機密データを検索して分類し、機密データに適切な制御を適用し、内部者やマルウェアの脅威のリスクを軽減し、データに関連する規制要件を理解し、規制当局の監査証跡を確保するように構成できます。また、彼は、アイデンティティとアクセス管理 (IAM)、特に再利用可能なパスワードではなく外部ユーザーとパートナー向けの多要素認証の使用に改めて重点を置くことを推奨しています。

3. データ層でデータを保護する

データ保護サービスプロバイダーの Titaniam の創設者兼 CEO である Arti Raman 氏は、データ漏洩を防ぐために ID およびアクセス制御に過度に依存することに対して警告し、パブリッククラウドに保存されているデータにも直接焦点を当てる必要があると述べた。ただし、エンドポイントから企業、クラウドに至るまでデータを保護するのは困難であり、ライフサイクル全体にわたってデータを保護するためには、これらの境界を越えるだけの柔軟性が必要です。

「データのインデックス作成、検索、集約、クエリ、その他の操作が行われる際、機能性を制限することなく適応型保護形式でデータを利用できるようにすることで、暗号化とデータ保護を維持すべきだと私たちは考えています」と彼女は述べた。 「これには、従来の暗号化技術だけでなく、コンプライアンス基準を満たすために従来の暗号化をベースにした新しい検索可能な技術も含まれます。」

Box の Ojha 氏は、データの有効期限ポリシーも重要だと付け加えた。企業はデータ セキュリティに関する規制要件に準拠し、理想的には、サードパーティのクラウド プラットフォームまたはインフラストラクチャで実行する必要がなくなったデータを自動的に削除する必要があります。