パブリック クラウド セキュリティ: 4 つの誤解と現実

新しいテクノロジーが登場すると、必ず何らかの誇大宣伝が行われ、さまざまな用語、誤解、神話が生まれます。しかし、経験豊富な IT リーダーはこれを理解しています。クラウド コンピューティングは、その誇大宣伝サイクルを順調に通過してきましたが、IT に大きな変化がないことがその主な理由です。

もちろん、クラウド コンピューティングは過大評価の時期を過ぎ、主流になっています。しかし、これはクラウド コンピューティングが成熟したことを意味するものではありません。特にパブリック クラウドのセキュリティに関してはそうです。

今こそ、パブリック クラウド セキュリティに関する最大の誤解のいくつかを解消するときです。その一部は、IT セキュリティだけでなく、プライベート クラウド環境やハイブリッド クラウド環境にも関係します。

クラウド コンピューティング セキュリティの専門家の中には、こうした誤解や神話を、対応する現実に書き換えている人もいます。彼らの提案は次のとおりです。

誤解1: パブリッククラウドは本質的に安全ではない

これは人々が修正する必要がある考えであり、クラウド コンピューティング開発の歴史における段階です。パブリック クラウドには、従来のデータ センターとは異なる考慮事項がありますか?はい。これは、パブリック クラウドのセキュリティが自動的に低下することを意味しますか?あまり。

「パブリッククラウドが新しい頃は、その技術のセキュリティが実証されていないという懸念があったが、今はそうではない」とジュニパーネットワークスのグローバルセキュリティ戦略ディレクター、ローレンス・ピット氏は語る。 「クラウド コンピューティングは 1990 年代から存在しており、クラウド プロバイダーはデータとアプリケーションへのアクセス、権限管理、強力なガバナンス、システム監視の確保に関して長年の経験を持っています。」

もちろん、すべてのプロバイダーが同じというわけではありません。ピット氏は、パブリッククラウド自体がセキュリティ上の大きな脅威であると指摘した。

現実1: パブリッククラウドのセキュリティはオンプレミスのデータセンターのセキュリティよりも優れていることが多い

実際、一部の企業にとって、一部のクラウド プロバイダーの規模と強みを活用することは、より効率的な全体的なセキュリティ戦略の一部となる可能性があります。特に、企業が予算に制約がある場合や、多くの IT リーダーのように適切なアプリケーション セキュリティ スキルを持つスタッフを見つけるのが難しい場合はそうです。

Red Hat のテクノロジー伝道師 Gordon Haff 氏が最近指摘したように、企業はパブリッククラウド プロバイダーのセキュリティ プロセスについて過度に懸念している可能性があります。 「パブリッククラウドの本質は、クラウドコンピューティングプロバイダーが専門家、自動化されたプロセス、規律を活用してセキュリティ問題に対処することだ」と同氏は語った。

誤解2：「パブリッククラウド」の意味を理解していない

パブリッククラウドに関する誤解というテーマは範囲が広すぎると、Sumo Logicの最高セキュリティ責任者、ジョージ・ガーチョウ氏は言う。 「この問題は、シングルテナントとマルチテナント、パブリッククラウドホスティングサービスの違いをさらに細かく分ける必要がある」とGerchow氏は述べた。

実際、人々はソフトウェアからインフラストラクチャ、開発プラットフォームまで、基本的に人々が接続できるユビキタスな「as-a-Service」など、多くのものを統合する傾向があり、これらはすべて巨大な「パブリック クラウド」に含まれています。

企業にとって、「パブリック クラウド」とは、ハイブリッド クラウド ポートフォリオの一部として、複数のベンダーにまたがる複数のインフラストラクチャをプライベート クラウドやオンプレミスのインフラストラクチャと統合した環境を意味する場合があります。また別の企業にとって、「パブリック クラウド」とは、Google Apps や Office 365 を使用することだけを意味するかもしれません。

これにより、パブリック クラウド セキュリティが一般化され、多くの場合、的外れなものになってしまいました。

たとえば、Gerchow 氏は、より具体的なパブリック クラウドのカテゴリを掘り下げていくときに、重要な誤解があることに気づいています。 「シングルテナントのクラウド展開の方がマルチテナントよりも安全だというのは大きな誤解だ」と彼は言う。

現実2: パブリッククラウドの種類とそのセキュリティ上の考慮事項は大きく異なる可能性がある

Gerchow 氏の指摘は重要です。パブリック クラウドのセキュリティを均一な問題として捉えるのは間違いです。セキュリティの観点から、すべてのパブリック クラウド環境を同じように扱うのも間違いです。パブリック クラウド戦略の一環として、企業は特定の種類のクラウド環境と、そこで処理および保存されるデータなどの要素を区別する必要があります。セキュリティ、コンプライアンス、ガバナンス、SLA などに関して、組織によってニーズや懸念事項は異なります。したがって、企業はこれらのニーズをより意識する必要があります。

さらに、「パブリック クラウド」をハッキングされそうな大規模な環境として想像すると、クラウド コンピューティングが提供する機会を逃してしまいます。そしてこれは誤解を招くものです。

「パブリック クラウド プロバイダーは、セキュリティを初期アーキテクチャの中核部分に確保し、ネットワークとサービスを堅牢に保つために膨大なリソースを費やしています」と、CYBRIC の CTO 兼共同創設者である Mike Kail 氏は述べています。

同様に、IT リーダーは、自分たちが取り組んでいる環境を理解する必要があります。企業は、自社のデータ センターを構築して運用する場合と同じように、パブリック クラウド プロバイダーのサービスを徹底的に調査する必要があります (データ センターでは、企業が特定の懸念を抱いていない場合は、セキュリティ プロファイル全体を監査する必要があることを意味する場合があります)。

SAS の CISO である Brian Wilson 氏は、クラウド セキュリティ、特にパブリック クラウドに関しては、企業はクラウド プロバイダーの機能と、それらの機能が自社の特定のニーズをどのように満たすかについて深く理解する必要があると述べています (企業のさまざまなニーズを満たすには、マルチクラウド戦略が必要になる場合があります)。

誤解3: クラウドコンピューティングのセキュリティは維持するには複雑すぎる

クラウド コンピューティングのセキュリティは複雑すぎて、ほとんどの組織が効果的に習得できないというのは、長年の誤解です。

この誤解は、企業が自社のローカル ネットワークまたはデータ センターを保護するのは非常に簡単であるということを示唆しています。しかし、人々はまた理解する必要があります。もしそれがそんなに簡単なら、なぜ誰もがそれをするのでしょうか? IT セキュリティがそれほど簡単であるならば、なぜ侵害が絶えず発生するのでしょうか?

実際、クラウド コンピューティングの考え方は、オンプレミス インフラストラクチャに対する人々の考え方に非常に近いため、IT プロフェッショナルに不安感を与える可能性があります。

「誰かがサーバーやストレージを監視できるからといって、セキュリティ管理が確実に行われているとは限らない」とCYBRICのカイル氏は言う。 「大規模な侵害は、場所の問題ではなく、適切な保護とセキュリティ プロセスの欠如が原因で発生します。」

現実3: ハイブリッドクラウドのセキュリティには新しいモデルとプロセスが必要

実際のところ、企業がワークロードをパブリック クラウドに移行しても、古い慣行はそのまま残ります。企業がハイブリッド クラウド アーキテクチャを保護したい場合や、2 つ以上の異なるプラットフォームを活用するマルチクラウド戦略を追求したい場合には、このことがさらに重要になります。

「クラウド セキュリティはソフトウェア定義の新しいパラダイムです。明確なネットワーク境界に依存しません」と Kail 氏は言います。 「実装や維持は複雑ではありませんが、新しい考え方と文化が必要です。」

Kail 氏は、この文化が DevOps であると指摘しました。セキュリティをより良く把握したい組織は、セキュリティをソフトウェアの他の主要部分と同等の立場に置く DevSecOps をますます採用するようになっています。

誤解4: パブリッククラウドのセキュリティはクラウドコンピューティングベンダーの懸念事項である

パブリック クラウドの一般的なセールス ポイントは、コスト、スキル セット、老朽化し​​たインフラストラクチャなどの理由で他の方法では実現できないコンピューティング能力、スケーラビリティ、柔軟性を組織に提供することです。

小規模なスタートアップ企業でも、クラウド コンピューティング サービスを使用することで、一夜にしてエンタープライズ品質のインフラストラクチャにアクセスできるようになります。理由は単純です。クラウド コンピューティング プロバイダーがすでにサービスを提供しており、スタートアップ企業は、それが広範な IT 戦略の一部でない限り、サーバーを購入する必要はなく、ましてやデータ センターを構築する必要もありません。

しかし、これによってリスクが免除されるわけではありません。クラウド プラットフォーム上で実行され、保存されるデータとアプリケーションは、依然として企業独自のデータとアプリケーションであるためです。企業は、自社のニーズに基づいて、セキュリティと関連分野に多額の投資を行っているパブリック クラウド ベンダーを選択する必要があります。自分の仕事が終わったと思ってはいけません。

現実4: パブリッククラウドのセキュリティは、最終的にはCIOに依存している

「クラウドプロバイダーは、顧客が使用するのに適したソフトウェア定義のファブリックとAPIを備えています」とカイル氏は語った。 「クラウド セキュリティは最終的には顧客の責任になる必要があります。」

だからといって、パブリック クラウド プロバイダーが役に立たないということではありません。 Kail 氏が指摘するように、有能なクラウド プロバイダーはプラットフォームのセキュリティに継続的に投資しており、それを世界規模で行うことができます。

企業は、これまでクラウドの導入を妨げてきたセキュリティ上の大きな不安を、クラウド コンピューティングのセキュリティ慣行を再構築する機会に変えることができます。

Gerchow 氏は、パブリック クラウドのセキュリティに特化したいくつかの推奨事項を示しました。 「パブリッククラウド環境内の全ては、キーローテーション方式で暗号化されるべきだ」と彼は指摘した。 「パブリック クラウドは、シングル サインオンと多要素認証の使用への扉も開きます。」

SAS の最高情報セキュリティ責任者であるブライアン・ウィルソン氏は、次のようにアドバイスしています。「組織がこれらのテクノロジーとプラクティスを優先している場合は、潜在的なプロバイダーがこれらの要件をサポートできることを確認してください。」たとえば、「暗号化」という言葉を額面通りに受け取るのではなく、暗号化がどのようにキー管理をサポートしているかを実際に理解してください。

企業がクラウド コンピューティングのセキュリティの現実を認識していれば、ニーズに応じて適切なクラウド コンピューティング プロバイダーと協力することができます。