企業の最高情報セキュリティ責任者がクラウドコンピューティングのセキュリティに取り組むべきこと

現在、ほとんどの組織は一部のワークロードと資産をクラウドに移行しています。最近の調査レポートによると、多くの企業の最高情報セキュリティ責任者 (CISO) がセキュリティ管理と人材不足を懸念しており、40% の企業がこれらの問題によりビジネス移行を遅らせています。

[[229238]]

このレポートによると、IT プロフェッショナルの 83% が機密データをパブリック クラウドに保存していると回答した一方で、パブリック クラウドがデータを安全に保管していると信頼していると回答したのはわずか 69% でした。近年、クラウド コンピューティングに対するサイバー攻撃が横行しています。調査によると、インフラストラクチャ アズ ア サービス (IaaS) またはソフトウェア アズ ア サービス (SaaS) を使用している企業の 4 分の 1 がデータを盗まれたことがあります。一方、回答者の 5 人に 1 人が、パブリック クラウド インフラストラクチャに対する大規模な攻撃を経験したと回答しました。

「当社は、クラウドでデータを保護する方法、アイデンティティをクラウドに移行する方法、ネットワーク セキュリティを確保する方法について多くの調査を行っています」と、フォレスター リサーチの副社長兼主席アナリストであるアンドラス チェル氏は述べています。 「多くの場合、この分野でのセキュリティ プロジェクトを断念する企業も見られます。」

しかし、最高情報セキュリティ責任者（CISO）がクラウドセキュリティを信用しない理由は、一部の報告書が示唆するよりも微妙なものだ、とガートナーの情報リスク調査ディレクター、ダリア・キリレンコ氏は言う。

「多くのCISOは、ベンダーのセキュリティは自分たちが行うよりも実際にははるかに強力だと考えているが、最終的には、ベンダーが侵害を起こした場合に自分たちが責任を問われることになると考えている」とキリレンコ氏は述べた。 「これが、クラウドの導入は慎重に検討すべきだと彼らが考える主な理由です。」

キリレンコ氏は、CISO は自社のセキュリティ チームが組織内でクラウド戦略を実行するための適切なスキルを持っていないと考える傾向があるとも述べています。 「彼らは、組織によるクラウドコンピューティングの急速な導入をサポートする準備ができていないと考えている」と彼女は付け加えた。

キリレンコ氏は、従来のセキュリティ対策の大半はクラウド環境に移行できず、再構築する必要があるため、多くのセキュリティ チームがクラウド セキュリティの知識を欠いていると述べました。

「彼らは準備不足で、何か問題が起きれば自分たちが責任を問われると考えていた」とキリレンコ氏は語った。

クラウドセキュリティチームの構築

キリレンコ氏は、クラウドにおける侵害の責任は、ベンダー側に責任があったとしても、企業の最高情報セキュリティ責任者 (CISO) に課せられることが多いと指摘した。彼女はさらに、多くのセキュリティ問題は内部関係者のミスによって発生するため、クラウド セキュリティはベンダーと内部チームの共同責任であるという事実を CISO が上級ビジネス関係者に教育する必要がある、と付け加えました。

「CISO は、プロバイダーの管理と監視にすべての時間を費やすのではなく、開発者に安全なクラウド コンピューティング プロセスを受け入れてもらうために、強力なセキュリティ チームの構築に多くの時間と労力を費やす必要があります」とキリレンコ氏は言います。 「現在実際にセキュリティを回避している開発者のためにクラウド セキュリティ対策を実装する強力なセキュリティ チームの構築にエネルギーを費やせば、より良い結果が得られます。しかし、多くの場合、クラウド セキュリティは正しく実装されておらず、クラウド ベンダーを使用するリスクが増大しています。」

クラウド運用、クラウド アーキテクチャ、またはクラウド セキュリティ担当者がクラウド セキュリティを担当することが多いが、従来のセキュリティ担当者が新しいプラットフォームに苦戦していることがよくあると Cser 氏は言う。

クラウドセキュリティチームの構築に関しては、ユニコーン企業やクラウドプロバイダーでクラウドアーキテクチャを理解し、ソフトウェア開発スキルを持つ専門家を見つけることは通常は不可能だとキリレンコ氏は語った。代わりに、CISO はセキュリティ チームをスキルセットとして捉える必要があります。

「企業はまず、本当に必要なクラウドスキルが何なのかを理解する必要がある」とキリレンコ氏は語った。 「多くの場合、各プロバイダーを隅々まで知り、理解している人材を見つけることはそれほど重要ではありません。そのような人材は時間の経過とともに成長します。」

むしろ、企業はグループの安全性を高める個人の強みを持つチームを構築すべきだとキリレンコ氏は述べた。たとえば、ある従業員は必要なソフトウェア開発スキルを持ち、別の従業員はエンタープライズ アーキテクチャの経験があり、別の従業員はソリューション アーキテクチャに優れている可能性があります。

キリレンコ氏は、CISO は自社のチームを使ってクラウド セキュリティをすべて構築する必要はないことも覚えておくべきだと述べた。他の企業では、クラウド センター オブ エクセレンスを設立し、アプリケーションやインフラストラクチャなどのさまざまな機能から人材をローテーションさせて、組織のセキュリティを強化しています。

「成功している企業の多くは、クラウド戦略の策定は組織全体で取り組むべきことだと理解しているため、社内のセキュリティリソースを制限とは考えていません」とキリレンコ氏は言う。

キリレンコ氏は、CISO は開発者がクラウド セキュリティ ガイドラインに準拠しやすいようにする必要もあると述べた。成功している組織におけるもう 1 つの実践は、開発者がアプリケーションにセキュリティ原則を実装する方法を迅速に学習するために使用できる API とリファレンス アーキテクチャを備えた共通のセキュリティ プラットフォームを開発することです。

「企業は、セキュリティを適切に実施するために関係者の負担を軽減する方法を考え、シンプルな方法でセキュリティを実装する必要がある」とキリレンコ氏は述べた。