クラウドの導入は多くの組織におけるIT近代化のきっかけとなる

企業がクラウド コンピューティングを導入する前に導入されていた安全でない IT 手順の一部は、データ漏洩やシステムの脆弱性を防ぐために改善する必要があります。

近年の IT 管理者にとって最も大きな変化の 1 つはクラウド コンピューティングであり、これにより IT 管理者はオンプレミスでのビジネス運営に対する考え方を変える必要に迫られています。問題はクラウドコンピューティングではありません。結局のところ、クラウド コンピューティング ベンダーが IT 管理者のサーバーの保守を支援できれば、作業負荷は軽減されるはずです。クラウド コンピューティングの導入により、業界内の一部の時代遅れの方法論が明らかになり、IT の近代化が推進されています。クラウド コンピューティングが登場する前は、外部からのアクセスが制限されていたため、多くの IT 部門ではそれほど厳密な慣行がありませんでした。

[[282066]]

時代の変化と新しい技術が情報技術の近代化を推進する

企業がオンプレミスのデータ センターでビジネスを運営している場合、特定の接続のみを許可する詳細なファイアウォール ルールを簡単に追加できます。オンプレミスの Web ベースのアプリケーションでは HTTPS は必要ありません。単純な HTTP でも問題なく動作します。これは理解しにくいようです。企業ネットワーク上の誰でもアクセスできるため、データが暗号化されているかどうかは問題ではありません。リスクに対処する労力は価値がなく、どうせユーザーは知らないのだからそんなに面倒なことをする必要はない、と言う人もたくさんいます。

企業は、ネットワーク上で許可されたデバイスのみを許可する 802.1X の使用など、脅威を制限するさまざまな方法を見つけるでしょう。これにより、サイバー攻撃者はネットワークへの物理的なアクセスと承認されたデバイスへのアクセスの両方を必要とするため、侵入の可能性が低減します。 Active Directory は、アカウント管理とクリーンアップに対する態度が緩いため、乱雑になる可能性がありますが、全員が自分の仕事をしていれば問題ありません。

クラウド以前の時代では、これらの実装方法がビジネスに影響を及ぼすリスクが低かったため、多くの近道が可能でした。新しい職に就いた IT マネージャーは、古い IT チームから混乱を招きがちです。それは、整理整頓する意欲がなく、既存のワークロードを正常に実行し続けたいだけだからです。現在、クラウド コンピューティングを通じて IT システムを外部に公開するリスクは増大しており、これまでと同じやり方を続けることはもはや現実的な選択肢ではありません。

Microsoft 社の Azure Active Directory を使用する場合、デフォルト構成は、クラウド コンピューティングが IT に変化を強いる例です。企業がフィルタリング機能を適用しない限り、この製品はすべての Active Directory オブジェクトをクラウド プラットフォームに同期します。公式ドキュメントでは、これが推奨される構成であると記載されています。そして数年前のLinkedInの企業データ侵害で漏洩したすべてのパスワードは現在クラウドに保存されており、誰でも使用できます。これらのアカウントは、何年も前に忘れ去られた混乱状態から、攻撃者が膨大な数のユーザー名とパスワードの組み合わせを調べながら正常にログインすることを可能にする時限爆弾へと変化します。

HTTP/HTTPS 側に戻ると、ユーザーは自宅やインターネット接続がある場所ならどこからでも作業したいと考えています。また、ノートパソコン、携帯電話、タブレットなど、あらゆるデバイスからこれを実行したいと考えています。かつては、社内 Web サイトを開設するということは (多くの場合、今でもそうですが) ファイアウォールを突破して最善の結果を期待するというものでした。暗号化されていない HTTP サイトの場合、ユーザーが見るすべてのものからユーザーが入力するすべてのもの (ユーザー名やパスワードなど) まで、入出力されるすべてのデータが危険にさらされます。企業のユーザーは無料の Wi-Fi 接続を介してアクセスできます。ネットワーク攻撃者が偽のリレー アクセス ポイントを設定し、すべてのデータを傍受して暗号化されていないコンテンツを読み取ることは難しくありません。

ユーザーへの対応とセキュリティの強化方法

IT 部門がビジネス セキュリティよりもユーザー満足度の維持に重点を置くと、簡単にリスクの高い状況に陥ってしまうことは周知の事実です。では、より安全な環境に移行するにはどうすればよいでしょうか? IT 管理者は、いくつかのアクションを直ちに実行する必要があります。

• Active Directory をクリーンアップします。アカウントを監査し、使用されていないアカウントを無効にし、アカウントをクリーンかつ合理化された状態に保ち、顧客管理プロセスを最初から最後まで実装します。
• 企業のパスワード ポリシーを確認します。他の保護がない場合、パスワードは定期的に変更し、ある程度の複雑さを適用する必要があります。パスワード ループを排除できる、Azure Active Directory が提供する多要素認証 (MFA) など、保護を強化する他の方法を検討してください。セキュリティをさらに強化するには、多要素認証 (MFA) と条件付きアクセスを組み合わせて、信頼できるネットワーク内のユーザーや信頼できるデバイスを使用するユーザーには MFA が不要になるようにします。
• アカウントの使用状況を表示および報告します。アカウントの使用に問題がある場合は、できるだけ早く認識して是正措置を講じる必要があります。 ID 保護機能である Azure Active Directory などのテクノロジは、そのアカウントにとって通常ではない場所からのログインなど、疑わしいアクティビティを警告して修復します。
• すべてのサイトに HTTPS を実装します。 IT スタッフは、HTTPS を有効にするためにサイトごとに証明書を購入する必要がありません。サイトが、証明書チェーンを展開できる信頼できるマシンでのみ使用されている場合は、コストを節約して自分で証明書を生成することができます。もう 1 つのオプションは、どこでも使用できるワイルドカード証明書を購入することです。証明書を展開した後、ファイアウォールでポートを開く代わりに、Azure Active Directory アプリケーション プロキシを使用して必要なサイトを公開できます。これには、デバイスや物理的な場所に関係なく、内部サイトに入る前にユーザーに Azure Active Directory でログインして MFA と ID 保護を適用するよう強制するという追加の利点もあります。

これらは、オンプレミスからクラウド コンピューティングへと考え方を変える際に IT 管理者が考慮する必要がある重要な側面の一部です。これは、これらの領域を詳しく見るための基本的な概要です。これらの IT マネージャーは、使用を計画しているクラウド コンピューティング サービスに基づいて、多くの問題を考慮する必要もあります。