ハイブリッドクラウドのセキュリティに関する8つの重要な考慮事項

[[228664]]

ハイブリッド クラウドを導入すると、組織のセキュリティ体制が弱まるのではなく、強化されます。しかし、セキュリティの強化がデフォルト設定になっているわけではありません。クラウド コンピューティング テクノロジーが成熟するにつれて、クラウド コンピューティングのセキュリティに関する企業の懸念は減少していますが、セキュリティは組織が対処して管理する必要がある継続的な課題であり続けています。また、ハイブリッド クラウド環境には、独自のセキュリティ上の考慮事項が伴います。

「ハイブリッド クラウド環境は動的かつ複雑であり、複数のエンド ユーザーが複数の場所から複数の環境にアクセスすることでさらに複雑になります」と、国際情報セキュリティ学習アライアンス (CISA) の認定情報システム セキュリティ専門家である Christopher Steffen (CISSP、CISA) は述べています。ステフェン氏は Cyxtera の最高技術責任者です。同社は最近、ステフェン氏が以前務めていたセキュリティ製品プロバイダーの Cryptzone を買収しました。

Steffen 氏と他のセキュリティ専門家が、ハイブリッド クラウド環境のセキュリティを確保する際に CIO とそのチームが留意すべき重要な問題について議論します。企業は、次の 8 つの重要な要素を優先する必要があります。

1. 企業は完全な可視性を確保する

CBI の戦略イニシアチブ担当副社長であり、サイバーセキュリティの上級専門家でもある J. Wolfgang Goerlich 氏は、IT 業界では、多くの CIO やその他の IT リーダーが自社の環境に盲点があったり、社内に展開されているインフラストラクチャに対する視野が狭すぎたりすることが多いと指摘しました。

企業とそのエンド ユーザーが何百ものクラウドベースのアプリケーションを使用でき、複数の部門がインフラストラクチャ アズ ア サービス プラットフォーム上に独自の仮想サーバーを作成できるようになったため、プライベート クラウド、パブリック クラウド、従来のインフラストラクチャ全体にわたる完全な可視性が必須となっています。ゲーリッヒ氏は、可視性の欠如は企業にとってより大きなセキュリティリスクを生み出すと述べた。

2. すべての資産には所有者が必要

ビジネスに 360 度の可視性が欠けている場合、所有権が欠如するリスクがあります。企業内のすべてのハイブリッド クラウド施設には所有者が必要です。

「IT セキュリティの重要な原則は、所有者が必要であり、各資産を識別し、その所有者にその資産に対する最小限の権限と職務の分離の責任を負わせることです」と Goerlich 氏は言います。 「可視性の欠如は所有権の欠如につながります。つまり、ハイブリッド クラウド環境ではアクセス制御が緩く定義されており、職務の分離が行われていないことがよくあります。権限が多すぎるとリスクが生じ、所有者がいないというリスクは対処されていないリスクです。」

3. ハイブリッドクラウド?ハイブリッドセキュリティを試す

IT は、企業にサービスを提供するだけでなく、企業の全体的なビジネス戦略を推進する役割を担うようになってきており、ハイブリッド クラウド モデルはこの変革を実現する手段となっています。同様に、現代の IT では、ハイブリッド セキュリティなどの古いセキュリティ モデルを再考する必要があります。

「セキュリティに関する戦略は進化し続けており、多くの企業がハイブリッドアプローチを採用して、セキュリティインフラストラクチャにさらに多くのレイヤーと深さを構築しています」と、Biscom の CEO である Bill Ho 氏は述べています。企業のセキュリティ テクノロジの一部はデータ センター内のオンプレミスに存在する場合がありますが、他のテクノロジは企業ネットワークの外部で実行する方が適切な場合があります。

「企業がデスクトップ ウイルス対策、DLP、ファイアウォール、IDS/IPS システムなどのセキュリティ ツールやアプリケーションを社内に導入する理由は数多くあります」と Ho 氏は説明します。これらの一部はクラウド サービスとして提供されますが、他の一部はクラウドにコンポーネントを持ち、アプリケーションはローカル データ センターで実行されます。 DDoS 攻撃の緩和に役立つサービスなど、一部のサービスはクラウドで処理するのが最適です。

4. セキュリティとコンプライアンス: つながっているが同じではない

「規制を遵守しなくても安心感は得られるが、セキュリティ上の問題がなければ規制を遵守できない可能性がある」とステフェン氏は語った。 「特にハイブリッド クラウド モデルに移行する場合は、セキュリティとコンプライアンスを混同しないでください。コンプライアンスは、クラウド セキュリティ戦略の重要な部分ですが、別の部分として考慮する必要があります。」

ハイブリッドまたはマルチクラウド環境におけるコンプライアンスは、クラウド導入の障壁となる必要はありません。実際、多くの内部統制は企業のクラウド環境に相互適用できます。ただし、企業にとっては、クラウド プロバイダーが使用する既存の制御と、それが企業の既存の制御システムとどのように関連しているかを理解することが重要です。 ”

「クラウドプロバイダーが使用する制御に準拠するには、手順を少し変更する必要があるかもしれません」とステフェン氏は付け加えた。 「しかし、それはまた、これまでのセキュリティ戦略の根本的な転換を意味する可能性もあります。クラウド プロバイダーまたはセキュリティ ベンダーを選択する前に、コンプライアンス制御評価を実行することが必須です。」

5. 御社のツールは他のベンダーと統合できますか?

「特定のクラウドプロバイダーと、彼らが使用しているセキュリティツールは、あなたが使用しているツールとどのように統合されるのでしょうか？ うまく統合できるツールはたくさんありますが、使用しているセキュリティツールセットが外部と互換性がない場合、面倒なことになり、他のプラットフォームと連携するプラットフォームやツールを見つける必要があるかもしれません」とステフェン氏は語った。 「したがって、クラウド プロバイダーとセキュリティ ベンダーは、既存のオンプレミス プラットフォームおよびツールとの簡単な統合を提供する必要があります。」

6. 企業はサプライヤーを理解する必要がある

コンプライアンスと統合に関する Steffen のアドバイスは、ハイブリッド クラウド環境のセキュリティ保護は、使用するプラットフォームに関する知識と理解に大きく依存することを思い出させてくれます。

Biscom の CEO である Bill Ho 氏は、強力なクラウド コンピューティング ベンダーは、社内の IT セキュリティ チームに欠けている専門知識を実際に提供できると述べています。たとえば、ゼロデイ攻撃などの潜在的な脅威をリアルタイムで監視できるようになります。しかし、それは当然のことではありません。

「他のクラウドコンピューティングサービスと同様に、プロバイダーの資格を精査する必要がある」とホー氏は語った。 「認定資格を調査し、プロバイダーのポリシーを理解し、ネットワークを公開するリスクを理解し、SOC 2 Type II レポートなどのプロセス レポートを確認する必要があります。」

7. ハイブリッドモデルの拡張通信

「ハイブリッドクラウドは、通信に関するスケーラビリティの問題をもたらします」とゲーリッヒ氏は言う。 「繰り返しになりますが、これは可視性と所有権の欠如による副産物であり、マルチクラウドおよびマルチベンダー戦略を採用している組織では特に当てはまります。」

明確なコミュニケーションは、特に新たな脆弱性や攻撃インシデントが発生した場合に、強力なセキュリティ体制の重要な要素となります。これは、企業の IT リーダーが社内だけでなくベンダーやその他のサードパーティとも連携して適切に対処する必要がある領域です。

8. 継続的なリスク評価を実施する

最初からセキュリティ重視のハイブリッド クラウド環境を構築することは良い第一歩ですが、それはまだ第一歩にすぎません。 Goerlich 氏は、動的なハイブリッド クラウド環境を保護するには継続的なリスク評価が必要であると指摘しました。

「組織が脆弱性やセキュリティ上の問題を特定するもう一つの方法は、リスク評価を行うことです」とゲーリッヒ氏は言う。

彼は3つの例を挙げた。

• ベンダーリスク管理は継続的なデューデリジェンスのようなもので、「どのベンダーがどのサービスを提供しているかを明らかにし、それらのベンダーのセキュリティプログラムを照会することができます。」

• ソフトウェア構成分析により、「コード内のどのサードパーティ ライブラリが構築したアプリケーションに悪影響を及ぼす可能性があるかを特定できます。」

• 技術的な脆弱性評価と侵入テストにより、「現在のセキュリティ体制に関するさらなる洞察が得られます。組織が依存するハイブリッド クラウド テクノロジーの範囲と規模により、これをセグメント化された方法で実行する必要があります。」

安全な成長の維持

ハイブリッド クラウド戦略が拡大するにつれて、セキュリティ計画も進化する必要があります。

「何を持っているか、誰がそれを所有しているか、誰がそれにアクセスできるかを把握し、コミュニケーションのための明確なチャネルを確保し、それをセグメントに分割し、リスク評価を行う必要がある」とゲーリッヒ氏は述べた。 「一度に 1 つのことだけに取り組むことで、最も重要なテクノロジー、つまり主要なビジネス戦略と機能をサポートするテクノロジーに集中して成​​功することができます。ハイブリッド クラウドによって企業が利用するテクノロジーが拡大するにつれて、リーダーはセキュリティ分野での優先順位付けとコラボレーションも拡大する必要があります。」

【編集者のおすすめ】

1. 内部データを徹底分析！グリーは実践を通して、知性への道を切り開く5つのステップを教えてくれます
   
2. インテリジェント製造の動向を把握し、大企業はどのようにすれば適切なタイミングで適切な対応を行えるのでしょうか?
3. サーバー仮想化の動向分析
4. インテリジェント製造のトレンドにより、自動化業界は非常に有望ですか?
5. 人工知能、モノのインターネット、ブロックチェーンが金融業界を変革する