パブリッククラウドに安全に移行するための10のステップ

McKinsey & Company の最近の調査によると、クラウド コンピューティングの導入は増加していますが、ほとんどの組織はまだ初期段階にあります。ワークロードの 10% 以上をパブリック クラウド プラットフォームで実行している組織は 40% のみです。組織の 80% は、今後 3 年間でワークロードの 10% 以上をパブリック クラウド プラットフォームに移行するか、クラウド コンピューティングの普及率を 2 倍にすることを計画しています。

McKinsey & Company は、企業がクラウド コンピューティングをどのように導入しているか、またその過程でどのようなセキュリティ上の課題に直面しているかを調べるために、約 100 社を対象に調査を実施しました。

[[224922]]

多くの企業にとって、セキュリティはクラウドへの移行における最大の障害です。しかし、調査レポートによると、企業の最高情報セキュリティ責任者は、クラウド コンピューティング サービス プロバイダー (CSP) のセキュリティ リソースは自社の内部データ センターよりもはるかに安全であると述べていることがわかりました。現在、多くの企業の既存のセキュリティ対策やアーキテクチャはクラウドでは効果が低下する可能性があるため、より安全な方法でクラウド サービスを導入する方法を企業が求めています。

McKinsey の調査レポートによると、企業は次の 10 の手順に従うことで、ワークロードをパブリック クラウドに安全に移行できます。

1. パブリッククラウドに移行するワークロードを決定する

企業が移行することを選択したワークロードによって、必要なセキュリティ要件が決まります。たとえば、多くの企業は、最初は顧客向けアプリケーションや分析ワークロードをクラウドに移行し、コアトランザクションシステムをデータセンターのオンプレミスに保持することを選択します。

2. ワークロードのセキュリティ要件を満たすクラウドサービスプロバイダー（CSP）を少なくとも1つ特定する

企業はさまざまなワークロードに対して複数のクラウド プロバイダーを選択できますが、それらの選択は企業の全体的なクラウド戦略の目標と一致する必要があります。

3. 企業は、移行の容易さ、セキュリティ体制、コストの考慮、社内の専門知識に基づいて、各ワークロードにセキュリティプロトタイプを割り当てる必要があります。

たとえば、企業はアプリケーションを再設計し、顧客対応ワークロードにデフォルトのクラウド サービス プロバイダー (CSP) コントロールを使用し、データ アクセスを再設計しながら、再設計せずに社内のコア トランザクション アプリケーションを廃止して移行することを選択できます。

4. 各ワークロードについて、各制御手段に適用するセキュリティのレベルを決定します。

組織は、アイデンティティおよびアクセス管理 (IAM) に単一要素認証、多要素認証、またはより高度な認証が必要かどうかを決定する必要があります。

5. 各ワークロード制御に使用するソリューションを決定する

企業は、各ワークロードに対する各 CSP の機能を判断し、既存のオンプレミス セキュリティ ソリューション、CSP 提供のソリューション、またはサードパーティ ソリューションのどれを使用するかを決定できます。

6. 必要な制御を実装し、他の既存のソリューションと統合する

企業は、各クラウド コンピューティング サービス プロバイダー (CSP) のセキュリティ機能とセキュリティ実施プロセスを完全に理解する必要があります。これは、クラウド サービス プロバイダー (CSP) がセキュリティ慣行について透明性を保つ必要があることも意味します。

7. 各管理手段を標準化し自動化できるかどうかを確認するための見解を策定する

企業は、コントロールの全セットを分析し、組織全体でどのコントロールを標準化できるか、どのコントロールを自動化できるかを決定する必要があります。

8. 最初の一連の管理措置の実施を優先する

企業は、移行するアプリケーションと適用するセキュリティ モデルに基づいて優先順位を選択できます。

9. 管理とガバナンスモデルを実装する

標準化されているが自動化されていない制御については、企業はチェックリストを作成し、それに従う方法について開発者をトレーニングすることができます。標準化および自動化できる制御の場合、組織は安全な DevOps アプローチを使用して自動化されたルーチンを作成し、制御を実装して標準化を実現できます。

10. 最初の実装ラウンドで得た経験を活用して、次に実装する制御セットを選択します。

これらの経験から学ぶことは、将来の制御システムの実装プロセスを改善するのに役立ちます。

調査レポートには、「当社の経験と調査から、パブリック クラウドのサイバー セキュリティは適切なアプローチで実現できることがわかりました。クラウド中心のサイバー セキュリティ モデルを開発し、さまざまなセキュリティ領域で強力な制御を設計し、クラウド サービス プロバイダー (CSP) の責任を明確にし、安全な DevOps を使用することで、企業はワークロードをパブリック クラウドに移行し、最も重要な情報資産をより適切に保護できます」と記載されています。