コンテンツを開く

テーマのトレンド

クラウドサービスにおけるセキュリティの責任共有モデルとは何か? なぜ重要なのか?

F-Secure Japan

04.08.20 6 min. read

過去10年間でクラウドサービスは爆発的に普及し、その市場規模は2010年の246.5億ドルから2020年末までに1500億ドルに達すると予測されています。この成長は主に、企業がビジネスの中核となる業務をSalesforce、Microsoft、AWSなどのクラウドサービスに移行した結果です。

クラウドサービスを利用する企業にとっての主なメリットには、柔軟な課金体系、生産性向上、ビジネス価値創出までの時間の短縮、イノベーションの実現、設備投資額の削減(サーバーやソフトウェアなどに事前投資が不要)が含まれており、クラウドサービスへの移行は、ビジネストランスフォーメーションを推進する企業にとって、最優先課題となっています。

利用企業が自らの責任を果たせば、クラウドは安全です

真のビジネストランスフォーメーションは、単に既存のワークフローを段階的に改善することではありません。ビジネストランスフォーメーションを実現するには、顧客や外部のパートナーとどのような情報のやり取りを行っているのかを含めて、抜本的な見直しが必要です。

その際、企業が運営するエコシステムも変革する必要があるため、大変な困難が伴います。さらに多くの場合、顧客やパートナーが使用するクラウドプラットフォームへの移行も必要になります。

企業はすでにMicrosoft SharePointやDropboxなどのクラウドサービスを利用して、組織内でコンテンツを共有していますが、以前は、これらのサービスは主に個々のファイルの共有などの単純なタスクを行うためにのみ使用されていました。

組織が成熟し、クラウドに対する理解が進化するにつれて、多くのビジネスリーダーが業務全体をクラウドに移行することを望むようになりました。その結果、今ではオンプレミス環境や社内で管理しているデータセンターに情報資産がほとんど残っていないという状況も見受けられます。

そして最近起きた大きな変化は、これらの業務に顧客や外部パートナーが参加するようになったことです。これは全体的な生産性の向上にとっては良いことでした。しかし一方で、サイバーセキュリティリスクのパンドラの箱が開けられ、すべての関係者に影響が及ぶという不幸な結果を招いたのです。

しかし、クラウドサービスにおけるセキュリティの責任をどのように共有すべきかを組織が認識している場合は、これらのリスクを円滑に管理することができます。

責任共有モデルの導入:安全を確保し、トラブルを回避

企業が自らのコンピューターシステムを管理していた時代は、ビジネスの意思決定者はサイバーセキュリティについて思い悩む必要がありませんでした。IT部門には、CISO(最高情報セキュリティ責任者)が設定したセキュリティ要件を確実に満たすという運用上の責任があり、基準は最終的にはCISOが設定するため、それは好きなだけ高くまたは低くすることができたのです。

クラウドサービスが導入され始めた2000年代最初の10年間、クラウドサービスでエンドツーエンドの営業支援プロセスを提供するSalesforceを除き、多くのクラウドサービスは、バックアップ、ファイル共有、電話会議、ミーティングサービスなどの非常に限定的なサービスだっためこの潮流は大きな問題とは見なされていませんでした。

しかし、クラウドプロバイダーは、セキュリティに関する責任の分担について明確な、「Shared Responsibility」(責任共有)モデルと呼ばれるセキュリティパラダイムを作成し、クラウド上で運用する場合の役割と責任の概要を示していました。

クラウドプロバイダーは、次のような要素を含むプラットフォームのセキュリティに責任を持っています:

  • データセンターに使うテクノロジーの提供プロバイダの選択と監査
  • データセンターそのものの物理的なセキュリティの確保
  • さまざまなデータセンター間で転送されるデータの暗号(例えばデータの複製時など)
  • クラウドプロバイダーが提供するネイティブアプリケーションのセキュリティ確保

利用者としての企業側の視点で重要な点は、利用するクラウドサービスの形態に関わらず、クラウド上のデータやコンテンツの整合性とセキュリティを確保する責任は、常にサービスを利用する側にあり、企業側でセキュリティ対策が必要になります。

より多くのコンテンツを必要とする業務がクラウドに移行するようになり、従来型の組織の多くはジレンマに直面しています。クラウドサービスを利用することの潜在的なメリットについて高く評価する一方で、従来のセキュリティ体制では、同じプラットフォーム上で作成、アップロード、共有されるコンテンツを安全に保護できないこともわかっているからです。それでも、何らかの方法で、プラットフォーム上のコンテンツが攻撃に利用されないように保護する必要があるのです。

クラウド中心のアプローチへ

これが、F-Secure Cloud Protection for Salesforceが登場した背景です。前述の課題にクラウド中心のアプローチを採用することで、リスクを軽減しながら共有クラウドプラットフォームのメリットを最大限に活用することができます。F-Secure Cloud Protection for Salesforceは、Salesforce環境のネイティブのセキュリティ機能を補完するようにセールスフォース・ドットコム社と共同で開発されたクラウドベースのセキュリティソリューションで、Salesforce環境にアップロードまたはダウンロードされるファイルやURL を毎回スキャンし、悪意のあるコンテンツを含むリンクとファイルをチェックします。Salesforce環境に過去にアップロードされたコンテンツも、設定に従って(毎日など)スキャンすることができます。

この機能がSalesforce環境の利用企業にもたらすメリットは計り知れません。

第一に、スキャンは(PC上ではなく)クラウド上で行われるため、ユーザーのコンピューターにソフトウェアをインストールする必要はありません。つまり、クSalesforce環境のコンテンツにアクセスしたり、コンテンツを共有したりするすべての社内、社外のユーザーは保護され、すべてのユーザーが、同等のセキュリティを享受できるのです。

第二に、クラウド中心のアプローチにより、企業が誰とパートナーを組み、クラウド上でどのようにコラボレーションするかについて、抜本的な見直しを行う事ができます。エフセキュアのクラウド保護機能は膨大なユースケースをサポートしており、従来型のITセキュリティによって設定された境界型の保護からビジネスを効果的に解放します。

そして最後に、F-Secure Cloud Protection for Salesforceを導入することにより、企業は、EU一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)などの厳しい規制にも確実に準拠することができます。

これらの法律は、消費者にサービスを提供する組織に、データ保護とプライバシー・バイ・デザインによる実装で、規制が定めた権利保護の責任を果たすよう要求するものです。

また、一般的にデータとプライバシーに関する法律を遵守する責任は、顧客向けサービスを提供するためにプラットフォームを使用する企業に課されます。

全体として、クラウドはセキュリティを含む(ただしそれに限定されない)広範なメリットを企業に提供します。しかし、セキュリティについては責任共有が基本であり、その責任を果たせない組織は、自らとその顧客およびパートナーを、大きなリスクにさらすことになります。

 

F-Secure Japan

04.08.20 6 min. read

カテゴリ

関連する投稿

Newsletter modal

登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。

Gated Content modal

下のボタンをクリックしてコンテンツを確認ください。