クラウド アプリケーション サービスはどの程度安全ですか?

クラウド アプリケーション サービスはどの程度安全ですか?

IT の民主化と SaaS の広範な採用により、誰もが SaaS クラウド コンピューティング アプリケーションのセキュリティを理解する必要があります。

Software as a Service (SaaS) のないシナリオを想像することはできますが、多くの企業、組織、個人がほぼ毎日これらのクラウド アプリケーション サービスに依存しているため、それを実現するのは非常に困難です。

SaaS アプリケーションに依存する人が増えるほど、自分の責任の重要性を認識するようになります。 SaaS 分野のセキュリティ、ガバナンス、コンプライアンスについては、慎重な検討が必要です。

[[226105]]

ユーザーは最高情報セキュリティ責任者(CISO)です

ほとんどの Office 365 または SalesForce と Slack ユーザー、またはその他の SaaS アプリケーションは、ソフトウェアを介してそれらに接続し、作業を完了します。しかし、多くの場合、多くの設定を制御する権限も持っています。以前は、これは IT マネージャーによって処理されていましたが、IT マネージャーは、アプリケーションが登録されるかどうかに影響を与えたり、決定したりすることもできました。

つまり、エンドユーザーは SaaS アプリケーションを使用するだけでなく、それを評価および管理する役割も担うことになります。これは、「IT の民主化」によって人々の手に技術が渡っただけでなく、責任も増大したことを示しています。多くの点で、人々は仮想世界で最高情報セキュリティ責任者 (CISO) になる必要があります。

以下は、SaaS アプリケーションのセキュリティに関する基本的な質問です。特に認証、暗号化保護および管理。

認証オプション

エンドユーザーに最も近い SaaS セキュリティのトピックはパスワードと認証ですが、多くの課題があります。ユーザーは注意する必要があるだけでなく、混乱する可能性もあります。たとえば、安全なパスワードを作成するための元のルールは適用されなくなります。

パスワード マネージャーは長いパスワードを作成および管理するのに適した方法であり、現在では推奨されていますが、設定されたパスワードがハッキングされないという保証はありません。しかし、いずれにしてもパスワードを設定することは効果的な対策です。

2 要素認証 (2FA) は、通常は別のデバイスに確認コードを送信することによってセキュリティ対策を実装する 2 番目のステップです。しかし、このアプローチをどのように実装するのが最善かについては議論があります。たとえば、米国政府は本人確認に SMS (テキスト メッセージ検証コード) を使用することを推奨していません。

さらに、生体認証やジオタグなど、認証を強化し、異常なログインアクティビティに対してアラートをトリガーできる他の要素もあります。強力な認証は、暗号化されたチャネル、パスワードのハッシュ化、イベント監視、その他の高度な技術とも関連しています。

では、SaaS プロバイダーはどのような認証を使用しているのでしょうか? 2要素認証か多要素認証か?他の方法でパスワードのセキュリティを強化していますか?複数のアプリケーション間でシングル サインオン (SSO) またはフェデレーション認証をどのように実現するのでしょうか?

データを暗号化して保護する

もう 1 つの懸念は、企業がデータやアプリケーションを操作すると何が起こるかということです。企業の SaaS プロバイダーは、転送中、使用中、保存中のデータをどのように処理しますか?

従来、Web 企業は通信に Secure Sockets Layer (SSL) を使用してきました。実際、IETF は 2015 年に SSL を非推奨とし、SSL 3.1 に代わって Transport Layer Security (TLS) 1.0 が導入されました。これらの暗号化プロトコルを実装している Web サイトには、「Secure HTTPS (SSL/TLS の HTTP)」というラベルが付けられます。

SaaS プロバイダーが多くのクラウドベースの企業と同様であれば、おそらくマルチテナント アーキテクチャを使用しているため、自分のデータが他の誰かのデータと隣り合うことになる可能性が高くなります。どのようなタイプの暗号化が使用され、制御はどの程度細かく行われますか?アーキテクチャに関係なく、データをどのようにバックアップ、複製、保存、回復するのでしょうか?

もう 1 つの一連の質問は、データの種類に関するものです。最も注目を集めているデータ侵害は、個人を特定できる情報 (PII) の漏洩に関係しており、政府機関による規制が強化され、欧州連合の一般データ保護規則 (GDPR) のもとで大きな注目を集めています。では、暗号化に加えて、SaaS プロバイダーは PII や機密データの損失を防ぐためにどのような方法を採用しているのでしょうか?

経営、ポリシー、ガバナンス

データ損失防止 (DLP) のトピックは、誤った設定によりデータが誤って公開される可能性があるため、ユーザー制御の問題と重複しています。エンドユーザーは、最小限のトレーニング(またはトレーニングなし)でほとんどの SaaS アプリケーションの使用を開始できますが、損害が発生する可能性があることを考慮すると、これは良い方法ではない可能性があります。

エンドユーザーにそのような制御権限が与えられたとしても、人為的エラーの可能性は限られます。よりスマートなアプリケーション (または管理オーバーレイ) は、PII にタグを付け、安全にロックダウンするのに役立ちます。

管理ロールは、セキュリティとコンプライアンスが影響を与えるもう 1 つの問題です。特権アクセスを制限することは一般的に良い慣行ですが、GDPR 規制では特に重点が置かれています。適切に設計されたアプリケーションでは、アカウントの追加と削除も簡単に行える必要があります。この点に関して、企業は、SaaS プロバイダーがユーザー ID の交換を自動化するオープン スタンダードである System for Cross-domain Identity Management (SCIM) を活用しているかどうかを確認する必要があるかもしれません。

企業と SaaS プロバイダーに対する最終的なポリシー関連の質問: 企業ネットワークまたは VPN と一致する特定の IP 範囲にログインを制限できますか?企業がモバイル デバイス上のアプリの可用性を管理できるようにしていますか?セッション タイムアウトしきい値の調整はありますか?

サイバーセキュリティの忍者以上の存在

上記の質問のいくつかは基本的なように思われ、サイバーセキュリティ管理者だけが重要な点を把握していると思われるかもしれませんが、そうではありません。ここで、このトピックの謎が解明されるはずです。クラウド アプリケーション セキュリティの所有権を包括的かつ普遍的な責任として捉えることは、アプリケーション メーカー、エンド ユーザー、サード パーティ プロバイダーなど、すべての人にとって利益になります。

<<:  クラウド コンピューティング管理のために習得する必要があるテクノロジーは何ですか?

>>:  企業にとってのハイブリッドおよびマルチクラウド コンピューティング モデルの利点

推薦する

日本ダイレクトVPS、日本VPS:高速、ダイレクト、便利

私たちの意見では、日本のVPSは高速で、登録が不要で、価格が安いです。実際、中国で日本のVPSを使用...

stablehost-年間15ドル/無制限のcpanel仮想ホスト/シンガポールの4つのコンピュータルーム

stablehost は 2009 年から、仮想ホスティング、リセラー、VPS、独立サーバーなどのホ...

ウェブサイトに「ロックを追加」動的パスワードを簡単に実現

インターネットの普及に伴い、ネットワークセキュリティの問題はますます深刻になっています。有名な技術交...

Volcano Engine は成都の企業と協力し、「クラウド + AI」の旅を大成功に導きます。

チャンスと課題が共存する時代において、企業としてトレンドに乗り遅れず、「クラウド+AI」を効果的に活...

クラウドコンピューティングプロバイダーが中小企業のニーズをどう考慮するか

ますます多くの企業がビジネスをクラウド プラットフォームに移行しています。コロナウイルスの流行中、ク...

ニュースソフト記事のマーケティング効果を分析することで、ウェブサイトの所有者は利益を追求し、損害を回避することができます。

現在、多くのメディアがニュースソース ソフト テキスト マーケティングを開始しています。これは、ニュ...

エッジコンピューティングの例についてお話ししましょう

エッジ コンピューティングは、データ、処理、アプリケーションがクラウド内にほぼ完全に存在するのではな...

ビジネスデータをクラウドに移行する際の技術的な考慮事項

序文JDグループ社内およびJD Cloudのお客様のJD Public Cloud、JD Priva...

Bacloud-$29.99/E3-1230V2/8gメモリ/1Tハードディスク/100M無制限

リトアニアのホスティング プロバイダーである Bacloud.com には、独自のデータ センターが...

大規模ウェブサイトに SEO を導入するための 10 のヒント

SEO は検索エンジンの天使ガイドであり、ウェブサイトが検索エンジンと通信するための媒体です。検索エ...

raksmart のロサンゼルス 3 ネットワーク CN2 ライン クラウド サーバーの簡単なレビュー

これは、raksmart のロサンゼルス データ センターのクラウド サーバーのレビューの 2 回目...

外部リンクによってサポートされているウェブサイトのランキングが大幅に低下していることが観察されています。

百度が23日に正式に発表した「ハイパーリンク不正アルゴリズムアップグレード」が発効したとみられる。百...

Fanli.comはどうやって生き残ることができるのでしょうか?

今回、百度は「ユーザーエクスペリエンス」のためにアルゴリズムを変更し、多数の「ジャンク」ウェブサイト...

SEOサイト分析:スコアの付け方

正式な SEO キャンペーンを編成するには、Web サイトのレポートを準備する必要があります。さまざ...

上海スチュワーデス事件のウェブサイトのキーワードについて語る

最近、上海航空サービス学校から配布された未来のスチュワーデスのビデオショー、「上海スチュワーデスゲー...