クラウドのセキュリティ--利用企業側での対策とプロバイダーの能力の判定

Steve Ranger (ZDNET.com) 翻訳校正: 川村インターナショナル

2022-06-13 07:30

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 アプリケーションとインフラストラクチャーをクラウドコンピューティングサービスに移せば、負担を軽減できる面もあるが、自社のデータを安全に保つ責任を完全に放棄できるわけではないということを、多くの企業が認識しつつある。

 クラウドセキュリティはセキュリティ市場で最も成長著しい分野であり、米国における支出は2020年の5億9500万ドルから2021年の8億4100万ドルへと急増した。その主な要因は、思っていたより複雑だということに企業が気づきつつあることだ。

 多くの企業は、複数のクラウドサービスとクラウドプロバイダーを利用している。このハイブリッドアプローチでは、きめ細かいセキュリティオプションをサポートすることができ、極めて重要なデータは近くに(おそらくプライベートクラウド内に)保管し、機密性が比較的低いアプリケーションはパブリッククラウドで実行することで、巨大テクノロジー企業の規模の経済を活用することができる。だが、ハイブリッドモデルによって新たな複雑化も起きており、セキュリティモデルがプロバイダーごとに若干異なっていて、クラウド利用企業はそれを理解して管理する必要がある。

特集:クラウドをセキュアに
特集:クラウドをセキュアに

 これには時間と(多くの場合、分かりにくい)専門知識が必要だ。しかし、セキュリティインシデントの原因で上位を占めているのはサービスの設定ミスであり、他にも粗末なパスワードやIDの管理など、さらに初歩的な失敗がある。企業がそうした作業の多くを自動化するツールを評価しているのは当然のことだ。

 そのため、クラウドセキュリティポスチャー管理(CSPM)ツールなどの新しいテクノロジーへの関心が高まっている。これらのツールにより、セキュリティチームはクラウドの設定ミスやコンプライアンスに関する潜在的なセキュリティ問題を特定して修正し、利用中のクラウドサービス全体で同じルールが適用されていることを把握できる。もう1つの成長分野はクラウド・アクセス・セキュリティ・ブローカー(CASB)で、これも企業のセキュリティポリシーを自社で利用中のサービス全体にわたって確実に適用することを目的としている。業界の調査によると、クラウドユーザーが関心を持っている他のセキュリティテクノロジーには、ゼロトラスト、人工知能、機械学習などがあるという。ただし、クラウドセキュリティの向上が見込まれるテクノロジーの多くは、まだ初期の段階だ。

 クラウドは本質的に安全性が低いと言いたいわけではない。むしろ、クラウドベンダーは、ほとんどの顧客には手の届かないスキルや機能に投資できる規模を有しているため、クラウドサービスとクラウドアプリケーションは、テクノロジーがコアコンピタンスではない企業によってホストされている製品よりも安全である可能性が高い。

 しかし、技術革新に注目するだけでなく、クラウドサービスプロバイダーが提供するサービスと理解の水準を精査することも重要だ。英国家サイバーセキュリティセンター(NCSC)は、クラウドコンピューティングセキュリティに関する一連の優れた一般原則を公開している。検討に値するこの原則は、サプライヤーのセキュリティポスチャーを判定する際に役立つだろう。合計14の原則には、次のようなものがある。

  • クラウドの内外のネットワークを通過するデータを改ざんや盗聴から保護しなければならない。
  • 悪意を持ってサービスを利用する顧客や、セキュリティ侵害を受けた顧客が、他の顧客のサービスやデータにアクセスしたり影響を与えたりするのを防ぐ必要がある。
  • 脆弱性管理、保護監視、設定と変更の管理によって、サービスを安全に運用および管理し、攻撃を阻止、検出、防止する必要がある。
  • サービスプロバイダーの担当者に自社のデータとシステムへのアクセスを許可する場合は、そのプロバイダーの信頼性と、担当者の行動を監査および制約する技術的な対策に強い確信を抱いている必要がある。
  • クラウドサービスは、セキュリティへの脅威を最小限に軽減する方法で設計、開発、展開しなければならない。これには堅牢なソフトウェア開発ライフサイクルも含まれる。
  • 外部API、ウェブコンソール、コマンドラインインターフェースなど、サービスの外部インターフェースや信頼性の低いインターフェースをすべて特定し、適切に防御する必要がある。
  • セキュリティインシデントを特定する能力を有し、発生の経緯や時期の特定に必要な情報を利用できなければならない。サービスは、利用企業に監査情報を提供し、攻撃の試みの検出時にセキュリティアラートを出す必要がある。

 適切なセキュリティポスチャーの確立には困難が伴う。高度な技術を持つハッカー集団について懸念している企業もあれば、スタッフに「1234」というパスワードの使用を止めさせることに苦労している企業もある。セキュリティの基本を押さえて、市場がどこに向かっているかを理解し、セキュリティに関する厳しい質問をクラウドプロバイダーにぶつけるのが、正しい道筋だ。

提供:Shutterstock
提供:Shutterstock

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

「クラウドをセキュアに」 バックナンバー

関連記事

関連キーワード
クラウドコンピューティング
パブリッククラウド
API

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと
  2. セキュリティ

    マンガで解説--企業に必要な「WAF」と「FW」の違い
  3. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト
  4. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク
  5. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]