非常に多くの企業がパブリッククラウドベースのコンピューティングサービスを利用している今日、サービス利用時のクラウドセキュリティについて改めて考えてみる必要があるように思われます。
企業は、機密性の高い情報を保存するためにクラウドサービスをより頻繁に使用するようになっています。SANS Instituteが実施した調査によると、48.2%の企業がビジネスインテリジェンスデータを、47.7%が知的財産を、42.7%が顧客データをクラウド上に保存しています。これらのアセットは、攻撃者にとって非常に価値のある標的であり、回答者の56%が機密データへの不正アクセスを最大の懸念事項として挙げています。
情報の流出の懸念を示しながらも、クラウドサービスの利用が増加しています。そして、依然として多くの企業ではクラウドコンピューティングのセキュリティに関して、サービス提供事業者がすべて責任を負っており、利用者側の企業はセキュリティに関心を持たなくても良いという印象が見受けられます。しかしながら、これは非常に危険な考え方です。「責任共有」モデルと呼ばれるセキュリティパラダイムの下で、ほとんどすべてのクラウドサービスが運用されており、プラットフォーム自体のセキュリティはサービスプロバイダ側の責任範囲ですが、クラウドサービスにアップロードされたコンテンツは、エンドカスタマ側の責任範囲になっています。
簡単に言えば、企業からクラウドサービスにアップロードされるものはすべてあなたの会社の責任範囲です。
結局のところ、「責任共有」という概念は、サービスを利用する企業側がクラウド上で独自のセキュリティ体制を所有しなければならないことを意味しています。 IT調査会社のガートナーは、2020年までに、クラウド・セキュリティの障害の95%は利用者側のミスによるものになると予測しています。ワークロードがクラウド上で実行されるという理由だけで、あなたの会社のセキュリティ体制のカバー範囲から除かれることは容認されません。
クラウドセキュリティとは?
クラウドセキュリティは、クラウドベースの攻撃から企業を保護するために行うセキュリティ対策です。運用コストの削減や運用における柔軟性の向上など、企業がクラウドに移行をサポートする多くの説得力のある理由があります。例として、BYOD(自分のデバイスを持ち込む)ポリシーを採用し、クラウドベースのサービスを通じてビジネスを行うことで、企業はIT運用コストを大幅に削減することができます。
残念ながら、クラウドベースのサービスの利用は、固有のセキュリティの脆弱性を生み出す可能性もあります。クラウドが登場する前は、インターネットに接続されたすべての物理的な資産をIT部門が管理することで、企業はサイバー攻撃から身を守ることができました。従業員は、セキュリティで保護されたネットワークからセキュリティで保護されたシステムにサインインすることによってのみ会社のリソースにアクセスすることができ、IT部門は利用状況を監視して問題の発生を防ぐことができました。組織内のすべてのエンドポイントがITによって管理されている場合、侵入者に対して防御できる明確な境界を作ることができていました。
今日、この運用モデルのほとんどは、新しいクラウドベースのサービスには当てはまりません。従業員は通常、どのデバイスやネットワークからでもクラウドサービスにアクセスできます。したがって、IT部門はネットワーク上で発生するイベントを完全に把握できなくなりました。たとえば、従業員がフィッシング詐欺に騙され、マルウェアに感染したファイルをダウンロードしたり、悪意のあるWebサイトにアクセスしたりした場合、IT部門はイベントが終了するまで、そのことが知らされないことがよくあります。この可視性の欠如にもかかわらず、IT部門は企業を侵害から保護する責任を負っています。
では、どうすれば期待と現実のギャップを埋めることができるのでしょうか?デバイスの使用やデバイスが使用されているネットワークを完全に制御できない場合、どのようにして会社を侵害から保護することができますか?最初のステップは、脅威の状況を理解し、適切なクラウドセキュリティポリシーを適用してそれに対処することです。
カテゴリ
