企業はクラウドの透明性を高める必要がある

クラウド コンピューティング プロバイダーはプラットフォームの可視性を高めていますが、企業は依然としてより多くの情報を求めています。

[[278667]]

企業がクラウド プラットフォームのセキュリティと外部攻撃者に対する保護を強化する一方で、クラウド プロバイダーがアカウント関連データをどのように使用するかに関する透明性の欠如を懸念しています。

AWS、Microsoft、Google Cloud などのパブリック クラウドは、ユーザー ワークロードのサポートとアクセスに使用するプロセスの可視性を高めるために大きな進歩を遂げてきました。特に注目すべきは、HIPAA、GDPR、PCI などのコンプライアンス基準を満たしているという保証が追加されたことです。しかし、業界の専門家の中には、これらの大手クラウド コンピューティング プロバイダーは、クラウド コンピューティングの透明性に関しては十分な対策を講じていないと言う人もいます。

これらの批評家は、クラウド プロバイダーが、舞台裏で収集されたテレメトリとメタデータをどのように使用しているかについて、より多くのレポートを提供することを望んでおり、一部のクラウド ベンダーが、ユーザーのワークロードとの直接的なやり取りを追跡するためのツールをさらに提供するよう、より多くの変更を望んでいます。

データアクセス制御

すべてのクラウド コンピューティング プロバイダーは、コンプライアンス フレームワークの観点から、データ保護に対する一定レベルの制御を提供します。企業は、エンタープライズ アプリケーションに関連付けられたすべてのデータがどのようにアクセス、編集、または削除されるかの監査証跡を維持するために、この監視に依存しています。

「クラウドプロバイダーは、世界展開の一環として、さまざまな地域の規制基準に照らして自社の環境、データ保護、プライバシーを認証するケースが増えています」と、クラウドセキュリティおよびコンプライアンスソリューションプロバイダーであるQualysの製品管理ディレクター、ハリ・スリニヴァサン氏は語る。

ISO 27018 など、クラウド内の個人データのプライバシーを対象とする認証と標準は、クラウド コンピューティング プロバイダーが特定のセキュリティ原則に従っていることを確認します。これらの基準は、地方自治体が適切な司法令状をもって要求しない限り、ベンダーが第三者とデータを共有しないという保証など、書面による具体的な保証を提供します。

ワークフロー管理プラットフォームのプロバイダーであるKissflowの製品管理担当副社長、ディネシュ・バラダラジャン氏は、クラウドプロバイダーは、内部システムが安定しており、セキュリティホールがないことを確認するために、サードパーティベンダーを使用して脆弱性評価も実施していると述べた。企業は、クラウドへの移行時に生じる可能性のあるセキュリティギャップを明らかにするために、これらのコンプライアンス レポートを要求する必要があります。これらのレポートは、組織がストレージと転送の暗号化の仕組み、データのバックアップの管理方法、契約終了時にデータがどうなるかを理解するのに役立ちます。

しかし、バラダラジャン氏は、クラウドプロバイダーはデータのバックアップ、解決された脆弱性のリスト、内部監査と結果に関する統計を公開することで透明性を高め、企業の信頼を高める必要があると考えています。

「つまり、企業にはストレージ内のデータの状態を継続的に監視するためのダッシュボードが必要なのです」とバラダラジャン氏は語った。

テレメトリとメタデータに関する懸念

多くのクラウド コンピューティング サービスは、アプリケーションのパフォーマンスを向上させるためにテレメトリ データを収集します。このため、企業や政府の間では、個人情報や企業情報が漏洩する恐れがあるとして、クラウドコンピューティングの透明性に関する懸念が高まっています。たとえば、ドイツのヘッセン州の学校では Microsoft Office ソフトウェアの使用が禁止されています。オランダでは、Microsoft はオランダ法務省と協力し、テレメトリに関連する 8 つの高度なデータ保護リスクに対処し、オランダでこのサービスが使用できるようにしました。

機密コンピューティングはより優れた制御を約束する

将来的には、クラウド コンピューティング プロバイダーは、より安全なコンピューティング サービスを通じて、企業に優れたデータ制御を提供できるようになります。 Microsoft、Google、Intel などの企業は、ハードウェア、オペレーティング システム、その他のアプリケーションによって保護されていない領域でのコンピューティングの実行を簡素化するために、Confidential Computing Consortium を設立しました。

特にこれらのワークロードは管理がより困難になる傾向があるため、この作業はまだ初期段階にあります。しかし、ワークロードの保護に関心のある企業にとっては、より優れたセキュリティとより大きな保証を提供できます。 Google は Asylo Confidential Computing フレームワークを提供しており、Microsoft はワークロードを安全に実行するための Azure Confidential Computing を提供しています。

しかし、現在、サービス レベルのメタデータの使用に関する透明性を提供しているクラウド コンピューティング ベンダーはありません。スリニバサン氏によると、クラウドベンダーは顧客の匿名化された使用状況とメタデータを追跡し、自社サービスのギャップを見つけ、製品を可能にする可能性のある他のユーザーの関心事を特定しているという。

サーバーレス監視プラットフォームプロバイダーであるLumigoのCEO兼共同創設者であるErez Berkner氏は、このメタデータへのプロバイダーのアクセスは、他のビジネス分野で競合する顧客にとっても大きな懸念事項になる可能性があると述べています。企業がデータを暗号化したとしても、クラウド プロバイダーは、プラットフォーム上でホストされている製品やサービスの使用状況や成功の重要な指標である仮想マシンのボリュームとトランザクションに関する情報にアクセスできます。

ファイル共有、同期、バックアップのプロバイダーであるFileCloudの最高執行責任者、ベンカット・ラマサミー氏は、クラウドプロバイダーは、競合サービスの提供や企業の買収など、この情報を自社に有利に利用できると述べた。したがって、データとメタデータへのアクセスに関する透明性レポートを作成する必要があります。

ラマサミー氏は、ユーザーに対するもう一つの保護策は、金融業界が行っているのと同様の仮想障壁となるだろうと述べた。この計画では、多くの企業に関する重要な非公開情報を保有する投資銀行部門を、利益相反を防ぐため株式アナリストグループから分離する。これをクラウド コンピューティングに適用すると、社内の製品チームは、独立系ソフトウェア ベンダー (ISV) 向けのクラウド コンピューティング マーケットプレイスを運営する部門から分離されます。

クラウドコンピューティングプロバイダーはアクセスの透明性を高める

いくつかの懸念はあるものの、クラウドプロバイダーは、特にユーザーデータへのアクセス方法に関する透明性の問題に対処する意向がある兆候があります。

Google アクセスの透明性により、ユーザーは、従業員によるユーザー データのすべてのやり取りのトレースを生成するログを受け取ることができます。これはシステム監査を提供するのに役立ち、HIPAA や GDPR などのさまざまな種類の規制への準拠を確認するレポート作成を容易にします。さらに、Google アクセス承認を使用すると、ユーザーは Google エンジニアからの Google Cloud サービスの顧客データへのアクセス リクエストを承認または拒否できます。ただし、Google は、セキュリティ インシデントに対応するために法律で義務付けられている場合、データにアクセスする権利を留保します。

Microsoft は、Office 365 向けの Customer Lockbox という同様のサービスを提供しています。同社は最近、Azure Customer Lockbox のプレビューを開始しました。これにより、ユーザーは Azure 関連のすべてのデータの使用方法をより細かく制御できるようになります。