人と技術Cloud FirstがSecurity Firstであるために

Executive Summary

クラウド セキュリティは、ますます回避できないビジネスの一部になっています。セキュリティが確保されていないクラウドを使う企業の従業員は、クラウド セキュリティを確保しています。クラウドに移行する際には、IDフェデレーション、ユーザ アクセス ポリシー、WAF、データ アクセス、および防御ポリシーなどのセキュリティを最優先にする必要があります。この記事では、再度移行しなければならなくなった場合のポータビリティに関する堅実な長期戦略と、準備のコツについて説明します。

Executive Summary

クラウド セキュリティは、ますます回避できないビジネスの一部になっています。セキュリティが確保されていないクラウドを使う企業の従業員は、クラウド セキュリティを確保しています。クラウドに移行する際には、IDフェデレーション、ユーザ アクセス ポリシー、WAF、データ アクセス、および防御ポリシーなどのセキュリティを最優先にする必要があります。この記事では、再度移行しなければならなくなった場合のポータビリティに関する堅実な長期戦略と、準備のコツについて説明します。

Related

人材、プロセス、テクノロジをいかに取りまとめ、クラウドへシフトするか

今やクラウドは、ビジネスに欠かせないものとなっています。クラウドセキュリティも同様です。

アプリケーションをクラウドへ移行したり、新しいクラウドサービスを採用することには、メリットもデメリットもあります。ほとんどのクラウドサービス事業者は、自社のアプリケーションに対して、企業のセキュリティチームよりもしっかりとしたセキュリティ対策を施しています。しかし、統計値を見るかぎり、企業の社員が使用するクラウド・アプリケーションのほとんど(約94.8 %)が、十分なエンタープライズ対応にはなっていません。多くの場合、高い安全性を保つのに必要なポリシーを制定していないのが現状です。

クラウドポリシーのない企業では、社員が自身のモバイルデバイスを持ち込み、好きなサービスを利用しています。オンデマンドサービスに支えられる形で、モバイル社員が増加、プリンタから、会社のエアコンシステム、休憩室の冷蔵庫まで、さまざまなネットワーク接続型ビジネスデバイス – いわゆる「IOT モノのインターネット」 – が新たに登場し、職場でのクラウドの重要性は増加する一方です。クラウド・アクセス・セキュリティ・ブローカーのNetskopeによると、2016年第3四半期に平均的な企業で使用されたクラウド・アプリケーションの数は1,031個に上りました。

攻撃の巧妙化に伴い、クラウド・アプリケーションの保護とセキュリティへのリソース投入に関する賢明な意思決定が求められるようになっています。クラウドセキュリティで主に重点が置かれているのは、アプリ製作者の開発業務の改善です。しかし、(製作側ではなく)アプリとクラウドサービスを利用する側である多くの企業では、内部の作業が外から見えない状態でアプリケーションを保護すること – いわゆる「ブラックボックス型」のセキュリティ – が求められる場合が少なくありません。このような理由から、クラウドでのアプリの保護はオフプレミスのデバイス同様に行われる必要があります。

1,031

平均的な企業で使用されているクラウド・アプリケーションの数は1,031個

クラウドでのセキュリティを拡充するための3つの基本ステップを以下に紹介します。

1. クラウドサービスを把握する

まずは、自社のインフラストラクチャの状況を認識する必要があります。同じように、セキュリティチームは、クラウドサービスの利用状況とセキュリティについて把握しておかなければなりません。どういった方法でクラウドサービスにアクセスしているかだけでなく、どの社員がサービスにアクセスしているのかについても認識する必要があります。

クラウド事業者の提供するログ機能を活用しましょう。事業者はインフラストラクチャの保護状況を明確に示す義務があり、セキュリティ管理に関連する情報を提供しています。

2. すべてのデータとIDを暗号化する

クラウドに移行した場合、アプリケーションに保存されたビジネスデータ – およびそれらのアプリケーションにアクセスするのに必要なデータ(IDなど) – の重要度がさらに増すことになります。

サイバー犯罪者は、データセンター内に置かれたアプリとクラウドのアプリとの不整合性に付け込み、複数のIDを持つ社員や、場合によってはアプリそのものをターゲットに攻撃を仕掛けてきます。ビジネスを保護する方法は、こちらから。

これらのデータは、欧州連合(EU)の「一般データ保護規則(GDPR)」(2018年より適用開始)などのプライバシー保護法の対象です。したがって、すべてのデータが確実に暗号化されるようにすることが重要です。

クラウドサービスへのリモートアクセスは新たな標準となっており、クラウドに保管されたデータを保護できるかどうかはユーザの識別にかかっています。セキュリティチームは、ユーザが正規のクレデンシャルを持っているからといって、問題なしと認識してはいけません、2要素認証や、異常検知、ジオロケーションといった他の認証プロセスは、いずれもクラウドサービスへのアクセスの安全性を高めるのに役立ちます。ワークフローに過剰な負荷がかからない範囲で、利用すべきです。

3. ポリシーを作成し、ユーザを教育する

アプリケーションのクラウドへの移行に伴い、ポリシーの適用範囲を企業ネットワーク外にまで広げる機会(「義務」とみなす場合もあります)をセキュリティチームは持ち得ます。クレジットカードさえあれば、社員が新しいクラウドサービスを導入できることから、柔軟性のあるポリシーと未承認のサービス – 一般的に「シャドーIT」と呼ばれています -を検出するためのテクノロジが必要です。

データがオンプレミスとクラウドのいずれに保管されている場合でも、同一のポリシーを常に適用するべきです。規制への準拠が出発点であることは言うまでもありませんが、クラウドポリシーによってコンプライアンスだけでなく、セキュリティもあわせて確保しなければなりません。

You Might Also Like

事業戦略 · 5分で読める

クラウド移行の費用対効果:収支はバランスとれているか

パブリッククラウドでのSasSの導入率はすでに90%と高い値となっています。一方、77%近くの企業がプライベートクラウド・プラットフォームを、またハイブリッドクラウドを利用している企業も71%あります。オンプレミス機器を使用した場合と比べて、業務の効率化、コスト削減、リーチの拡大といった効果が得られていることを示す証拠を、どの企業もまだつかんではいないのです。この記事では、指標の構築、比較モデルの作成、ステイクホルダーが理解できるようにデータを分析する方法を考察します。

アプリケーションの可用性、完全性、機密性をいかに確保するか

40年間、ソフトウェアは進化を続けてきました。メインフレーム時代、ユーザは大規模マルチユーザシステム上で一元的に格納されたプログラムにアクセスしていました。1990年代に入ると、市販のアプリケーションをローカルにインストール、更新を行うというのが一般的になりました。

情報セキュリティ担当者は取締役会で何を伝えるべきか

もしあなたが、最高情報セキュリティ責任者(CISO)であるならば、企業セキュリティの状態について取締役会に報告するのは、あなたの仕事です。取締役会での説明は、非常に重要であり、企業のセキュリティ、評判、経営状態について正確に伝えられるかどうかはすべてあなたの手腕にかかっています。現在直面しているビジネスリスクとその緩和策について、取締役に知ってもらう必要があります。しかし、取締役員時間――そして集中力――は限られています。要領を得て説明をする必要があります。