現在、ほとんどの組織は一部のワークロードと資産をクラウドに移行しています。最近の調査レポートによると、多くの企業の最高情報セキュリティ責任者 (CISO) がセキュリティ管理と人材不足を懸念しており、40% の企業がこれらの問題によりビジネス移行を遅らせています。
このレポートによると、IT プロフェッショナルの 83% が機密データをパブリック クラウドに保存していると回答した一方で、パブリック クラウドがデータを安全に保管していると信頼していると回答したのはわずか 69% でした。近年、クラウド コンピューティングに対するサイバー攻撃が横行しています。調査によると、インフラストラクチャ アズ ア サービス (IaaS) またはソフトウェア アズ ア サービス (SaaS) を使用している企業の 4 分の 1 がデータを盗まれたことがあります。一方、回答者の 5 人に 1 人が、パブリック クラウド インフラストラクチャに対する大規模な攻撃を経験したと回答しました。 「当社は、クラウドでデータを保護する方法、アイデンティティをクラウドに移行する方法、ネットワーク セキュリティを確保する方法について多くの調査を行っています」と、フォレスター リサーチの副社長兼主席アナリストであるアンドラス チェル氏は述べています。 「多くの場合、この分野でのセキュリティ プロジェクトを断念する企業も見られます。」 しかし、最高情報セキュリティ責任者(CISO)がクラウドセキュリティを信用しない理由は、一部の報告書が示唆するよりも微妙なものだ、とガートナーの情報リスク調査ディレクター、ダリア・キリレンコ氏は言う。 「多くのCISOは、ベンダーのセキュリティは自分たちが行うよりも実際にははるかに強力だと考えているが、最終的には、ベンダーが侵害を起こした場合に自分たちが責任を問われることになると考えている」とキリレンコ氏は述べた。 「これが、クラウドの導入は慎重に検討すべきだと彼らが考える主な理由です。」 キリレンコ氏は、CISO は自社のセキュリティ チームが組織内でクラウド戦略を実行するための適切なスキルを持っていないと考える傾向があるとも述べています。 「彼らは、組織によるクラウドコンピューティングの急速な導入をサポートする準備ができていないと考えている」と彼女は付け加えた。 キリレンコ氏は、従来のセキュリティ対策の大半はクラウド環境に移行できず、再構築する必要があるため、多くのセキュリティ チームがクラウド セキュリティの知識を欠いていると述べました。 「彼らは準備不足で、何か問題が起きれば自分たちが責任を問われると考えていた」とキリレンコ氏は語った。 クラウドセキュリティチームの構築 キリレンコ氏は、クラウドにおける侵害の責任は、ベンダー側に責任があったとしても、企業の最高情報セキュリティ責任者 (CISO) に課せられることが多いと指摘した。彼女はさらに、多くのセキュリティ問題は内部関係者のミスによって発生するため、クラウド セキュリティはベンダーと内部チームの共同責任であるという事実を CISO が上級ビジネス関係者に教育する必要がある、と付け加えました。 「CISO は、プロバイダーの管理と監視にすべての時間を費やすのではなく、開発者に安全なクラウド コンピューティング プロセスを受け入れてもらうために、強力なセキュリティ チームの構築に多くの時間と労力を費やす必要があります」とキリレンコ氏は言います。 「現在実際にセキュリティを回避している開発者のためにクラウド セキュリティ対策を実装する強力なセキュリティ チームの構築にエネルギーを費やせば、より良い結果が得られます。しかし、多くの場合、クラウド セキュリティは正しく実装されておらず、クラウド ベンダーを使用するリスクが増大しています。」 クラウド運用、クラウド アーキテクチャ、またはクラウド セキュリティ担当者がクラウド セキュリティを担当することが多いが、従来のセキュリティ担当者が新しいプラットフォームに苦戦していることがよくあると Cser 氏は言う。 クラウドセキュリティチームの構築に関しては、ユニコーン企業やクラウドプロバイダーでクラウドアーキテクチャを理解し、ソフトウェア開発スキルを持つ専門家を見つけることは通常は不可能だとキリレンコ氏は語った。代わりに、CISO はセキュリティ チームをスキルセットとして捉える必要があります。 「企業はまず、本当に必要なクラウドスキルが何なのかを理解する必要がある」とキリレンコ氏は語った。 「多くの場合、各プロバイダーを隅々まで知り、理解している人材を見つけることはそれほど重要ではありません。そのような人材は時間の経過とともに成長します。」 むしろ、企業はグループの安全性を高める個人の強みを持つチームを構築すべきだとキリレンコ氏は述べた。たとえば、ある従業員は必要なソフトウェア開発スキルを持ち、別の従業員はエンタープライズ アーキテクチャの経験があり、別の従業員はソリューション アーキテクチャに優れている可能性があります。 キリレンコ氏は、CISO は自社のチームを使ってクラウド セキュリティをすべて構築する必要はないことも覚えておくべきだと述べた。他の企業では、クラウド センター オブ エクセレンスを設立し、アプリケーションやインフラストラクチャなどのさまざまな機能から人材をローテーションさせて、組織のセキュリティを強化しています。 「成功している企業の多くは、クラウド戦略の策定は組織全体で取り組むべきことだと理解しているため、社内のセキュリティリソースを制限とは考えていません」とキリレンコ氏は言う。 キリレンコ氏は、CISO は開発者がクラウド セキュリティ ガイドラインに準拠しやすいようにする必要もあると述べた。成功している組織におけるもう 1 つの実践は、開発者がアプリケーションにセキュリティ原則を実装する方法を迅速に学習するために使用できる API とリファレンス アーキテクチャを備えた共通のセキュリティ プラットフォームを開発することです。 「企業は、セキュリティを適切に実施するために関係者の負担を軽減する方法を考え、シンプルな方法でセキュリティを実装する必要がある」とキリレンコ氏は述べた。 |
>>: Kafka Connect は RDS バイナリログデータをどのように同期しますか?
9月10日、テンセントグローバルデジタルエコシステムカンファレンスの金融セッションで、テンセントクラ...
最近特に役立つ情報がありませんので、HostCat は大きなニュースをお伝えしたいと思います。4G ...
[[340132]]この記事はWeChatの公開アカウント「Invincible Coder」から転...
gotechperu は比較的新しいホスティング会社で、3 年の歴史があると主張しています。公式 W...
Baidu は外部リンクのアルゴリズムを何度も更新していますが、最新の Green Radish ア...
Googleは設立以来、魔法に満ちたハイテク企業であり続けています。Googleの発展の歴史を見ると...
中国の歴史において深い文化的遺産を持つ大学といえば、南開大学は必ず挙げられます。創立100周年を迎え...
簡単に言えば、入札とは、検索エンジンで広告スペースを購入して、自分の製品やサービスを販売することを意...
一般的に使用されているブラウザである Chrome は、起動速度が速いだけでなく、強力な拡張機能を備...
ブランドプロモーションは、大企業や大手ブランドだけが使う高尚なコンセプトではありません。実際、企業が...
WeChatパブリックプラットフォームが立ち上げられた後、大手企業はこぞってオープンプラットフォーム...
今年はまさに地獄の始まりだ。おそらく 404+404+404+404+404 です。404 で構成さ...
Mushroom Host moguhost は、OpenStack クラウド アーキテクチャを採用...
一般的に言えば、App.net と Twitter は同じ位置づけにあります。Web サイトにはソー...
本物のものを読むのも悪くはありませんが、今日は特別な日です。月餅を食べたり、金木犀酒を飲んだり、月を...