ハイブリッドクラウドセキュリティから学んだ教訓

いつものことですが、特に安全性に関しては、人々は自分の失敗から学ぶよりも他人から学ぶことを好みます。そのため、ハイブリッドクラウドアプリケーションが広く使用されるようになり、そのセキュリティはますます注目されるようになりました。エージェンシー SecurityWeek は、IT 専門家とセキュリティ専門家にアンケート調査を実施し、彼らの知恵を共有してもらいました。

[[225762]]

すべてが新しいです...

人為的ミスは究極のセキュリティ脆弱性であり、これはハイブリッドクラウドの時代においても変わりません。ハイブリッドクラウドアーキテクチャでは、セキュリティリスクやインシデント (本質的に技術的な原因によるものも含む) は、多くの場合、組織の担当者によって引き起こされます。

ハイブリッドクラウドセキュリティから学んだ教訓

「ハイブリッドクラウドが特有のリスクに直面する主な理由は、独自データの過度な露出や漏洩であり、いくつかの具体的な例は、セキュリティの可視性や監視の欠如を示しています」と、ShoreGroup のソリューションアーキテクト兼セキュリティプラクティスリーダーである Ray Johansen 氏は述べています。

彼は例として、顧客リストが意図せず漏洩した例を挙げた。最終的にリストには機密データは含まれていなかったものの、監視と介入が不足していたため、関係する企業の評判は依然として影響を受けました。

「データの過剰露出には技術的な失敗もあったが、本当の失敗は、クラウドサービスにどのようなデータが法的に存在できるか、そしてもっと重要なのは、承認された組織ポリシーが何であったか、あるいはサービスプロバイダーをどのように検証するかについての明確なポリシーが欠如していたことに起因する」とヨハンセン氏は述べた。

これらのポリシーとそれに応じた監視がなければ、組織の従業員が採用し、最終的に保護する責任を負うデータを理解することはほぼ不可能です。

実は、IT の知識や監督なしに提供され、利用されるさまざまなクラウドサービスである「シャドー IT」については、誤解されている部分もあります。これは実際には、必要なポリシーとプロセスが欠如している組織での作業方法にすぎません。

「シャドーITという言葉はよく耳にするが、これはすべて、組織がチームに対して、これらのサービスはビジネスでは利用しないということを宣言していないことが原因だ」とヨハンセン氏は語った。

「企業は、市場で競争するために必要な俊敏性と運用効率を獲得するためにハイブリッドクラウドを導入したいと考えています。しかし、企業は多くの場合、それぞれの環境でデータセキュリティを保護するために、時代遅れのツールや個別の分離されたソリューションに依存しています」と、ラドウェアのキャリア戦略およびビジネス開発担当副社長であるマイクオマリー氏は述べています。「ハイブリッドクラウド環境に移行するには、ハイブリッドクラウドを保護し、複数の環境にわたって新しいデータセキュリティを管理するために特別に設計された構成とソリューションに企業が投資する必要があります。」

オマリー氏は、セキュリティプロセスの最新化と自動化が人為的エラーを削減または制限するための重要な手段であるため、自動化の実装が重要であると考えています。

「自動化とオーケストレーションは、人的要素を排除するため、極めて重要です」と、コンピューター設計および統合担当シニアソリューションアーキテクトの Michael Colonno 氏は述べています。「これは、セキュリティを実装するための重要な繰り返し可能な手順がすべて、ワークロードのプロビジョニング時に自動的に設定されるためです。」

たとえば、コロンノ氏は、企業や政府機関がパブリッククラウドストレージバケット内のデータを暗号化することを「忘れた」という複数の例を挙げたが、これらは主に人為的なミスであり、自動化できるものだった。

あらゆる環境に注意を払う必要がある

単一の均質なインフラストラクチャから、プライベートクラウド、パブリッククラウド、従来のオンプレミスデータセンター環境にまたがるアーキテクチャに移行すると、俊敏性、拡張性、その他のメリットが向上します。しかし、これは企業にとっての脅威の対象領域がますます分散化していることも意味します。これは言い訳ではなく現実です。

「これを実行している組織は、すでに運用している環境をすべて評価しているため、保護する必要があるものの完全なリストを持っていることになります」と、Evident.io の CEO 兼共同創設者である Tim Prendergast 氏は述べています。「彼らは組織全体にセキュリティ文化を構築し、データがどこに保存されているかに関係なく、データを保護することに重点を置いています。」

ここでの全体的な戦略は、適切な可視性と所有権を確保することです。組織は必要に応じて責任を割り当てることができますが、すべての環境にセキュリティが必要です。

Prentegast 氏は顧客の例を次のように共有しました。「当社の顧客の 1 社はさまざまなクラウドサービスを活用しており、すでにそれらの環境で作業を開始しているユーザーに、ガイダンスやベストプラクティスを求める方法を伝えることができます。」

送信中のデータセキュリティを確保する

Qwyit の創設者兼 CTO である Paul McGough 氏は、ハイブリッドクラウドセキュリティでは通常、さまざまな環境を保護するだけでなく、それらの環境間で移動するデータを安全に保つ必要性も加わると指摘しています。

「データセキュリティと暗号化の目的は、転送中も保存中もデータが安全に管理されることを保証することだ」とマクガフ氏は語った。「データが移動する場所が増えるほど（ハイブリッドクラウド環境など）、困難さが増します。データが保存される場所が増えるほど、問題も増えます。したがって、暗号化アルゴリズムの能力だけでなく、さまざまな参加者のセキュリティポリシーと実践も重要です。」

暗号化とキー管理は確かに重要ですが、組織のツールとプロセスには依然として人間による監視とアクションが必要です。

「これらの暗号化技術を組み合わせることで、システムの制御と保護を実現するデータ保護、エンゲージメントポリシー、プラクティスが実現します」と McGough 氏は説明します。

クラウドセキュリティはイベントではなくプロセスです

クラウドコンピューティングの初期段階では、セキュリティの問題が企業によるクラウドコンピューティングの導入に対する最も一般的な障壁でした。

クラウドコンピューティングが主流になるにつれ、企業の当初の不安は、セキュリティに対する考え方の変化を通じて、良い結果をもたらす可能性があります。特に、スマートハイブリッドクラウド戦略には、インシデント主導のパッチアンドフラッシュアプローチが含まれることが多く、セキュリティは実践と文化の継続的な進化の問題となります。

Infinitely Virtual の CEO 兼創設者である Adam Stern 氏は、クラウドセキュリティに対する断片的なアプローチでは、問題は解決されるものの、悪用されるのを待っている他の数百、数千もの脆弱性が無視されてしまうことが多いと説明しています。

「クラウドセキュリティは、求人応募書類に記入したり、チェックボックスをチェックしたりするほど単純なものではない」とスターン氏は言う。「セキュリティに対する断片的なアプローチは決して機能しません。穴を塞いだりバグを修正したりすることは、効果的なセキュリティ戦略を開発するための良い方法ではありません。」

ハイブリッドおよびマルチクラウド環境の場合、特に初心者は、企業がベンダーのセキュリティ機能を深く理解する必要があることを意味します。「信頼できるプロバイダーであれば、セキュリティタスクのために実績のあるツール、手順、テクニックを提供するはずだ」とスターン氏は語った。

だからといって企業の責任が免除されるわけではない。ハイブリッドクラウドセキュリティでは、脆弱性を排除し脅威を軽減する積極的な考え方を企業が採用する必要がある、とスターンは述べた。

「クラウドセキュリティはイベントではなくプロセスだ」とスターン氏は語った。