クラウドへの移行が進んでいるとはいえ、企業にはまだ多くのデータセンターが残っており、サイバー犯罪者や悪質なハッカーにとって魅力的なターゲットになっている。
英国の国家サイバーセキュリティセンター(NCSC)と国家インフラ保護センター(CPNI)は、企業がデータセンターやそこに保管されているデータを保護できるように、データセンターの運営者と利用者向けのセキュリティガイドを共同で公表している。
NCSCの技術責任者を務めるIan Levy博士は、「データセンターの運用者やユーザーには、自分たちが所有し、処理しているデータを保護する明確な責任がある。それができなければ、金銭面でも評判の面でも大きな被害を受ける可能性があり、国の安全保障上のリスクになる場合もある」と述べている。
また同氏は、「こうした責任を負っているということは、悪意を持ったアクターが、データセンターを物理的、デジタル的に攻撃するために用いる可能性がある、さまざまな手口について理解する必要があることを意味している」とも付け加えた。
この記事では、データの安全を守るためのベストプラクティスを実行するために、データセンターの運営者やユーザーが考慮すべき事項について紹介する。
リスク管理
懸念される問題を適切に管理するためには、データセンターの運営者とユーザーの両方が、自らの資産を把握し、考えられる脅威を特定し、リスクを評価し、セキュリティ戦略を策定し、適切な対策を講じることができなくてはならない。リスクや脅威は変わっていくこともあるため、これらのプロセスは定期的に見直す必要がある。
さらに、データセンターがサービスの中断を目的とした攻撃の標的になった場合に備えて、サービスを維持できるような対策を講じなくてはならない。またデータセンター運営者の場合、リスク管理は経営幹部が主導すべきだ。
レジリエンス
データセンターは、さまざまな脅威や危険に対するレジリエンスを備えている必要がある。これにはサービス妨害(DDoS)攻撃などをはじめとするサイバー攻撃も含まれるが、ハードウェアの故障や停電、自然災害に対する強靱さも要求される。例えば、停電が発生した場合でも運用を継続できるように、信頼できるバックアップシステムを用意しておく必要があるだろう。
またユーザーは、サイバー攻撃に対する備えが破られることを前提とした計画を策定し、サイバーセキュリティインシデントの影響を最小化するために、攻撃を検出して対応するための方法を知っていなくてはならない。
