マルチクラウド環境におけるリスク管理

企業が業務を複数のパブリック クラウドに移行するにつれて、リスクも変化します。企業は、マルチクラウド環境でリスクを管理する方法を学ぶ必要があります。

[[269582]]

今日、企業の最も価値のある資産の性質は進化しています。伝統的に、企業のバランスシートに記載されていたのは物的資本と人的資本でした。現在、デジタル時代を定義するのは応用資本であり、Facebook、Amazon、Uber などの企業のビジネス モデルに触発されて、多くの現代企業の価値はますます無形化し、アプリケーションとデータに存在しています。

価値の概念が発展するにつれて、それを守るために必要な方法も発展します。現代の企業は、複数のクラウドベースのデジタル サービスへの依存度を高めながら、多くの場合、さまざまな IT アーキテクチャと展開モデルが混在する複雑な IT 資産を管理しています。このソフトウェアは、かつては企業のプライベート IT 環境に格納されていましたが、現在は「サービスとしてのソフトウェア」(SaaS)、仮想化コンピューティング インフラストラクチャ (IaaS)、およびアプリケーションの開発、実行、管理のためのプラットフォーム (PaaS) として管理されています。

これらのサービスにアクセスすることで、企業は効率性と運用の卓越性を高め、新しい事業を革新するためのより強固な基盤を獲得できます。調査会社 IDC は、2020 年までに 90% 以上の企業が複数のクラウド コンピューティング サービスとプラットフォームを使用すると予測しています。 「マルチクラウド」は、ビジネスを変革し、従業員と顧客のエクスペリエンスを向上させるための戦略的必須事項を生み出します。

クラウド プラットフォーム上でアプリケーションを実行すると、企業が独自に管理できるよりも高いセキュリティを強化できる場合がよくあります。結局のところ、クラウド コンピューティング プロバイダーは、データ セキュリティを確保するために、インフラストラクチャと人材に毎年多額の費用を費やしています。マルチクラウドの世界への移行に伴い、ネットワーク セキュリティの基本的な前提が変化しています。企業は、マルチクラウド環境がもたらす真のメリットを追求するために、リスクを管理するためのフレームワークを確立する必要があります。

変化するリスク環境

企業は現在、膨大な IT リスクに直面しています。サイバー犯罪者はますます巧妙化しており、さまざまな戦術を使って企業データを攻撃しています。その多くはハッカーにとっては簡単なものですが、組織にとっては継続的な苦痛とフラストレーションの原因となっています。こうした武器には、わずか 15 秒で起動し、サイバー攻撃の 77% を占める「ボットネット」による自動攻撃 (Verizon 2017 データ侵害調査レポート) や、企業のビジネスに多大な損害を与える可能性のある分散型サービス拒否 (DDoS) 攻撃などがあります。

企業にとって、その結果は極めて重大なものとなる可能性があります。企業の評判や利害関係者の信頼に回復不能なダメージを与えることもある、深刻な経済的損失のリスクはそう遠くありません。 2018 年には、ほぼ 5 社に 1 社がデータ侵害に遭い、侵害により 50 億件の認証情報が盗まれたと推定されています。

パブリック クラウド データに関しては、サイバー犯罪者だけが脅威ではありません。企業は自社の従業員がミスを起こすリスクを認識する必要があります。クラウド コンピューティング リソースの重大な構成ミスにより、個人情報がインターネット上で公開されるケースが数多く発生しています。共有責任モデルでは、これに対する保護の責任はクラウド コンピューティング サービス プロバイダーではなく顧客にあります。

アプリケーションを可視化し、制御する

パブリック クラウド ベースのアプリケーションとデータの安全な使用を確保する際に企業が直面する主な問題の 1 つは、可視性です。多くの企業は、クラウド コンピューティングにどれだけの費用がかかっているのかをまだ明確に把握していません。平均的な大企業では、約 730 個の個別のクラウド コンピューティング サービスと機能を使用していると推定されています。クラウド コンピューティングの使用方法を理解すると、従業員が最も脆弱な領域にリソースをより適切に配分できるようになり、リスクを軽減できます。

この目標を達成する方法は、技術的なレベルではなく、人間のレベルにあります。 IT セキュリティ チームがアプリケーションが使用されていることを認識していないと、アプリケーションを保護するための措置を講じることができません。さまざまな部門の従業員がアプリケーションを簡単に起動できますが、最初から IT 部門が関与していないと、脆弱性が露呈する可能性があります。信頼できないサービスを使用するリスクを最小限に抑えるために、IT 部門は優先ベンダーに関する企業全体のポリシーを確立し、従業員にそのサービスを採用するよう奨励することができます。

一般的な例としては、Dropbox などのクラウドベースのストレージ アプリケーションの使用が挙げられます。 IT チームは、ユーザーがこのサービスを望んでいることがわかれば、エンタープライズ ライセンスを設定し、アクセス手順をインストールし、リスクを軽減するための手順を実行できます。参加せずに無料アカウントを開設し、そのアカウントを使用して機密データを保存すると、ログイン認証情報へのアクセスからクラウド コンピューティング サーバー上のデータへのアクセスまで、さまざまなリスクにさらされることになります。

ガバナンス合意が必要

マルチクラウドを安全に使用するには、強力なガバナンス プロトコルが必要です。当然のことながら、多くの企業は、従業員が新しいクラウド コンピューティング機能を導入するペースに追いつくために、ポリシーと手順を迅速に改訂することに苦労しています。強力なガバナンスには、ビジネス消費、新しいサービスの追加方法、リスク軽減システム、データとプライバシーのポリシーとプロセスなど、組織のクラウド コンピューティング ネットワークの包括的なビューが必要です。

しかし、専門知識がなければガバナンスは実行できません。したがって、企業は、複数のクラウド サービスを安全に使用する方法についての理解を深めるために、企業全体でのトレーニングと意識向上に重点を置く必要があります。つまり、ガバナンスを効果的にするには、セキュリティを組織文化に組み込む必要があります。

新たな脅威からビジネスを守る

マルチクラウド アーキテクチャは、従業員がビジネス目標を達成するために必要なさまざまなサービスにシームレスにアクセスできるようにします。これは、社内 IT の運用方法を変革し、「サービスとして」の消費に移行し、クラウド プラットフォーム全体で安全かつ持続可能な方法で動作するように設計されたツールを備えることです。

パブリック クラウドのイノベーションは猛烈なスピードで進行しているため、企業はテクノロジーの世界が進化するにつれて意思決定を再評価する準備をする必要があります。このように急速に変化する状況では、数年ごとに見直す長期的な IT 戦略を作成することは効果的ではない可能性があります。代わりに、組織はソース コードにセキュリティを組み込み、技術的な制御とマルチクラウド環境を管理する人の両方を重視する必要があります。

最も重要なことは、可視性、リスク評価、適切なガバナンスに注意を払うことです。適切な計画、強力な制御、スケーラブルなクラウドベースのセキュリティ テクノロジーにより、組織はリスクを軽減しながら環境全体のセキュリティを向上させることができます。