安全なクラウドコンピューティング実装ガイドに関する新たな考え方

クラウド コンピューティングは、ユーザーのニーズに合わせて迅速にスケールアップおよびスケールダウンできる機能など、さまざまな利点を提供します。しかし、金融サービスなどの規制が厳しい業界の組織では、クラウド コンピューティングのセキュリティに関する懸念から、クラウド コンピューティング テクノロジの導入が遅れています。

企業は、安全性を維持しながらクラウド コンピューティングを最大限に活用するにはどうすればよいでしょうか?

しかし、状況は変わり始めている。アマゾン・ドット・コムやマイクロソフトなどのインフラ・アズ・ア・サービス（IaaS）大手は、データセンターの拠点を複数の場所に拡大し、規制産業向けの情報をローカルに保存できるようにしている。同時に、セキュリティ制御とポリシーは、企業が Salesforce などのクラウドベースの SaaS (Software-as-a-Service) アプリケーションを活用して効率を高め、コラボレーションを強化するのに役立ちます。

[[251700]]

現在、クラウド コンピューティングは、場合によってはオンプレミス ソリューションよりも安全であると考えられています。ただし、このテクノロジーによってセキュリティ上のリスクも増大するため、考慮する必要があります。では、企業はクラウドを最大限に活用しながら、どのようにセキュリティを維持できるのでしょうか?

クラウド コンピューティングを実装する前に、ビジネス リーダーとテクノロジ リーダーはリスクを理解する必要があります。重要なのは、サイバー攻撃の量が増加するにつれて、クラウド コンピューティングが、データを盗んだりシステムに侵入したりしようとする犯罪者の標的になっていることです。

「現実には、インフラレベルのクラウド プラットフォームはウイルスにとって格好の媒介物であることが証明されている」とシマンテックの CTO 兼技術サービス担当副社長のダレン トムソン氏は語る。 「インスタンスにウイルスが存在する場合、これらの環境の拡張方法により、ウイルスは非常に急速に拡散します。」

同時に、誤った構成は深刻な問題を引き起こす可能性があります。 「ユーザーが操作を誤って構成したり、オペレーティング・システムに適切なパッチを適用しなかったりすると、攻撃に対して脆弱になる可能性がある」とトムソン氏は述べた。

クラウド コンピューティング アプリケーションは、状況をさらに複雑にする可能性があります。ユーザーは効率性の向上を望んでいますが、テクノロジー リーダーが組織内で使用されるソフトウェアを制御できなくなるため、「シャドー IT」の問題が発生する可能性があります。

ジェムアルトのデータ保護サービス担当シニアディレクターのゲイリー・マースデン氏は、クラウド内の機密データや秘密情報の保護について誰が最大の責任を負うべきかについて説明します。

クラウドセキュリティへのステップバイステップのアプローチ

クラウドのセキュリティ保護は企業にとって困難な作業となる可能性があるため、専門家は段階的なアプローチを推奨しています。 「リスク管理について考えるだろう」とデロイトUKのサイバーリスクサービス担当ディレクター、ジェイミー・メトカーフ氏は語った。 「クラウドの想定される使用事例は何ですか? 何かを実装する前に、エンドツーエンドの理解が必要です。多くの企業がここで失敗します。クラウドに移行したいが、ビジネスリスクを理解していないのです。」

実際、クラウドに移行する前に建設的にセキュリティを適用することは、ビジネスを促進する要因になり得ると、BT のセキュリティ イノベーション アーキテクトである Richard Baker 氏は述べています。 「課題は、クラウドに移行する組織が、柔軟性とコストの機会と、クラウドが提供する要素のリスクとのバランスをどのように取るかということです。」

クラウドセキュリティについて：鍵はリスクを評価すること

同氏はこのアプローチを、消費者がFacebookなどのサイトに登録して自分に関する特定の情報を見ることと比較し、「企業は自らの姿勢を見直し、リスクを受け入れる必要がある。重要なのは、ビジネスに対するリスクを評価し、そのデータがどこにあるのかを完全に理解することだ」と付け加えた。

「IT 資産を理解することが重要です」と、Qualys の EMEA 最高技術セキュリティ責任者である Darron Gibbard 氏は述べています。 「自分が何を持っているか知らなければ、どうやってそれを守れるのか？」

これを念頭に置いて、ECS の責任者である Allan Brearley 氏は、可視性がクラウド展開の鍵であると強調しました。 「企業にとって、実際にどのようなデータを保有し、どのようなデータを保護する必要があるかを理解することが重要です。データベースは必要不可欠であり、存在すべきです。」

トムソン氏は、企業はデータを評価する必要があると考えています。 「クラウドとユーザーの間に介在するソフトウェアであるCASBが役に立つ」と彼は語った。 「これにより、データを評価し、可視性を得ることができます。欠点は、CASB に何を表示するかを指示する必要があることです。」

クラウドセキュリティに関するその他の考慮事項

PAコンサルティングのサイバーセキュリティ責任者であるエリオット・ローズ氏は、クラウドコンピューティングのIaaSを使用する場合、企業はソフトウェア開発においてセキュリティ要件を考慮に入れる必要があると述べた。 「たとえば、どのようにホストされているのか、誰がホストしているのか、制御のレベルはどの程度なのか？」ローズは言った。

「もう一つの重要な考慮事項は、プロバイダーと顧客の間の責任共有モデルです」とトムソン氏は説明した。 「このモデルでは、クラウド プロバイダーがインフラストラクチャの責任を負うため、データ センターの物理的なセキュリティが主な懸念事項となります。また、たとえばネットワークやインフラストラクチャがハッキングされた場合、ネットワークとインフラストラクチャのセキュリティについても責任を負います。ハイパーバイザー自体の責任を負っている場合もありますが、顧客のデータについては責任を負っていません。」

もう一つの考慮事項は、組織が運営されている業界によって異なります。ビジネスの種類によってデータ保護のニーズは異なります。たとえば、政府機関や金融会社は、小売業者よりも厳しい規制ガイドラインに従う必要があります。ただし、EU データ保護規則 (GDPR) に基づき、すべての企業は顧客およびユーザーのデータを保護する責任を負います。

ローズ氏は、現在では設計段階からのセキュリティに対する規制主導のアプローチが採用されていると述べた。また、さらに深く掘り下げ、サプライチェーンを調査し、データの影響評価を実施する責任はユーザーにあると指摘した。

一方、マカフィーのデータプライバシー専門家、ナイジェル・ホーソン氏は、「データ管理者であれば、どのデータ処理業者を使っていても、クラウドを含めて誰にアウトソースしても、情報に対する責任は残る」と指摘した。

クラウド コンピューティングのセキュリティ保護はかつては困難な作業でしたが、今日ではさまざまな制御と保護を適用できます。この一環として、従業員の同意が重要です。企業は、クラウド アプリやサービスをブロックするのではなく、承認されたバージョンを使用するように従業員をトレーニングすることができます。技術面では、専門家は暗号化や二要素認証などの基本的なセキュリティ管理を推奨しています。

さらに、ギバード氏は、ネットワークスキャンやパッチ適用などの適切なツールセットを備えることが重要だと考えています。後者は、どんな環境でもサイバー攻撃を防ぐ簡単な方法だと彼は述べた。

一方、継続的な監視により、企業は自社の環境内のデータを追跡できるとギバード氏は述べ、また、ロールベースのアクセス制御と適切なシステムデータへのアクセスの確保も提唱している。

企業がセキュリティを保護するために何をする必要があるかを把握したら、次はクラウドに移行するものについて検討を始めます。トムソン氏は次のように警告している。「予算に限りがある人はいないので、すべてをクラウドに入れて、その上にセキュリティ アプリケーションを追加するのは現実的ではありません。これらすべてを評価する必要があります。」