クラウド コンピューティング セキュリティのリーダーシップを発揮する方法

サイバーセキュリティとクラウド コンピューティング テクノロジーの分野の専門家が、クラウド コンピューティングのセキュリティ リーダーシップを効果的に発揮する方法について洞察と経験を共有します。

[[344526]]

クラウド セキュリティのリーダーシップを発揮する際に考慮すべきことは何ですか?

企業の意思決定者は、ビジネスのあらゆる分野でセキュリティを優先する必要がありますが、これはクラウド コンピューティングの場合も例外ではありません。

しかし、データストレージ戦略の推進要因としてセキュリティが頻繁に挙げられる一方で、ストレージデバイスメーカーのシーゲイトによる最近の調査によると、中規模から大規模の企業で働く業界専門家の3分の2がセキュリティが不十分であると述べています。

これを念頭に置いて、企業の意思決定者はどのようにしてクラウド セキュリティのリーダーシップを効果的に発揮できるでしょうか?

完全な可視性を確保する

まず、ビジネス リーダーは、スタッフが目標からパフォーマンスまで、すべてのクラウド操作とアプリケーションを完全に把握できるようにする必要があります。

「意思決定者は、クラウドが組織にとって実際に何を意味するのかを完全に把握し、洞察することで、組織内でクラウド セキュリティのリーダーシップを発揮できます」と、Netskope の EMEA CISO である Neil Thacker 氏は述べています。 「AWS、Azure、Google Cloud のインフラストラクチャ、または MS365 や GSuite での展開のみに焦点を当てると、クラウド資産の 80% 以上を見逃してしまう可能性があります。

たとえば、企業には使用中のすべてのクラウド サービスのリアルタイム インベントリがあり、その中には 1,000 を超えるクラウド アプリケーションが含まれることが多く、それぞれがリスクを表しています。ビジネス リーダーは、各アプリケーションのビジネス目標と技術目標を理解するとともに、コンプライアンス要件、ユーザー エクスペリエンス、パフォーマンス、信頼性、そして最終的にはビジネス ライセンス コストも考慮する必要があります。

これらのリスクの多くは、各クラウド サービスのセキュリティ保護、各サービスへの接続のセキュリティ確保、各サービスへの脅威およびデータ保護の適用、そして最終的にはクラウド セキュリティ コンシューマー (従業員など) がこれらのサービスにアクセスするための安全で高性能なネットワークを確保できるなどの基本原則に従うことで克服できます。 ”

自分の責任を理解する

この分野でセキュリティ リーダーシップを発揮するには、組織がクラウド コンピューティング展開のどの側面を担当しているかを理解し、それらの責任を負うことも含まれます。

Orange Cyber​​defense の英国市場責任者である Stuart Reed 氏は、次のように説明しています。「クラウド機能を活用するという決定は、ビジネス上の決定であるだけでなく、関連する責任とリソースへの影響も考慮する必要があります。管理をアウトソーシングすることは、責任をアウトソーシングすることと同じではないことを覚えておくことが重要です。ビジネス リーダーは、どのセキュリティ タスクをクラウド プロバイダーが処理し、どのタスクを自社が担当するかを理解する必要があります。」

デューデリジェンスは不可欠であり、クラウド コンピューティング プロバイダーは、企業が自社組織に適用するものと少なくとも同じリスク フレームワークと制御を導入する必要があります。理想的にはもっと良くなるはずです。

不適切な構成によるサイバー侵害の事例が増加し続けているため、最適なパフォーマンスとセキュリティを確保するためにサービスを堅牢に構成する方法を理解することが重要です。セキュリティがアドオンとしてではなく、クラウド コンピューティング プロジェクトの中核に組み込まれていることを証明することで、セキュリティをスケーラブルで持続可能な取り組みの実現に役立てることができます。 ”

明確な戦略を立てる

クラウド セキュリティ戦略を策定する際、企業はクラウド コンピューティング プロバイダーとの関係を念頭に置き、セキュリティ担当者が状況を明確に把握できるように両者の責任を理解する必要があります。

「パブリック クラウド プロバイダーはすべて、サービス プロバイダーと企業を明確に区分したセキュリティ責任共有モデルを採用しています」と、F5 Networks の CTO であるロリ マクヴィッティ氏は述べています。 「パブリック クラウド プロバイダーがクラウド インフラストラクチャのセキュリティに責任を持ち、企業がアプリケーションやシステムのセキュリティなどの他の事項に責任を負うという意味で、『クラウド セキュリティ』という単一の概念は存在しません。」

この区別が重要なのは、ほとんどの場合、企業の IT スタッフはクラウド コンピューティング インフラストラクチャの運用に関する知識が限られているためです。これら 2 つの側面を明確に区別することで、ビジネス リーダーは、組織が管理するシステムとアプリケーションのセキュリティに対してのみ責任を負っていることを理解できます。この区別により、IT チームが保護できる対象に焦点が移り、パブリック クラウド内のアプリケーションとシステムを保護する戦略とサービスを推進する自信が IT チームに与えられます。

したがって、企業のリーダーは、運用とアプリケーションの両方の懸念を明確に説明するセキュリティ戦略を策定する必要があります。企業にとって、これはダッシュボードとコンソールを保護し、Amazon S3 などのクラウド プロバイダー サービスのベスト プラクティスに適切に従うことを意味します。どちらもクラウド コンピューティング セキュリティの重要なコンポーネントです。

ビジネス リーダーは、共有クラウド セキュリティ責任モデルに対する認識を示し、アプリケーション、システム、およびサービスを保護する必要性について明確な指示を与えることで、セキュリティ スタッフがより自信を持ってクラウド セキュリティに取り組むことを支援します。 ”

自動化とDevOps

クラウド コンピューティング プロバイダーは、自動化と DevOps をサポートすることが多く、これらのテクノロジによりタスクの完了を高速化できます。さらに、自動セキュリティ チェックを実行できるため、セキュリティ担当者の時間を節約できます。

「すでにすべてを管理できているため、リーダーシップを発揮する必要がない場合もあります」と、レッドハットのチーフセキュリティアーキテクト、マイク・バーセル氏は語る。一般的に、自動化はクラウド コンピューティング アプリケーションに役立ちますが、クラウド コンピューティングのセキュリティも自動化する必要があります。

セキュリティ制御は DevOps ライフサイクル全体に統合される必要があります。そうすることで、組織内の少数のセキュリティ専門家の 1 人が展開前にすべてをチェックするというボトルネックが発生しなくなります。代わりに、セキュリティはライフサイクルの一部であり、組み込まれて自動化されている必要があります。そうすることで、例外をチェックすることでセキュリティを管理できます。何か問題が発生した場合は、専門家が修正でき、すべてが正常に動作している場合は、展開を自動化できます。これにより、開発チームと運用チームは面倒な手動レビュー作業から解放され、セキュリティ専門家チームはサイバー攻撃や脆弱性などの実際の問題に集中できるようになります。 ”

クラウドの拡散に注意

リコーの IT、コミュニケーション、職場担当ディレクターのジョン・チェンバース氏によると、企業の意思決定者が考慮すべきクラウド セキュリティ リーダーシップの最後の側面は、クラウドの無秩序な拡大の可能性です。

「クラウド コンピューティングは、間違いなく従業員の仕事を楽にし、セキュリティの脅威を防ぐのに役立つため、重要な長期投資として考えるべきです」とチェンバース氏は語った。さらに、クラウドベースのインフラストラクチャは、季節的な需要の急増に対応するために必要な生のコンピューティングおよびストレージ容量を提供するためのスケーラビリティと弾力性を提供できます。

ただし、「クラウドの無秩序な拡大」を回避するように注意する必要があります。クラウドの無秩序な拡大とは、追加のリソースがアクティブ化され、不要になったときに廃止されない状況であり、予期しない大きなコストにつながる可能性があります。

クラウド コンピューティングは、異常な状況下でも企業が事業を継続できる大きな可能性を提供します。自宅で仕事をするのは個々の従業員とそのデバイスだけであり、残りのビジネス活動のほとんどはクラウドで実行される必要があることを覚えておくことが重要です。今では、従業員はどこからでも仕事をすることができます。 ”