クラウドのセキュリティ--利用企業側での対策とプロバイダーの能力の判定

Steve Ranger (ZDNET.com) 翻訳校正: 川村インターナショナル

2022-06-13 07:30

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 アプリケーションとインフラストラクチャーをクラウドコンピューティングサービスに移せば、負担を軽減できる面もあるが、自社のデータを安全に保つ責任を完全に放棄できるわけではないということを、多くの企業が認識しつつある。

 クラウドセキュリティはセキュリティ市場で最も成長著しい分野であり、米国における支出は2020年の5億9500万ドルから2021年の8億4100万ドルへと急増した。その主な要因は、思っていたより複雑だということに企業が気づきつつあることだ。

 多くの企業は、複数のクラウドサービスとクラウドプロバイダーを利用している。このハイブリッドアプローチでは、きめ細かいセキュリティオプションをサポートすることができ、極めて重要なデータは近くに(おそらくプライベートクラウド内に)保管し、機密性が比較的低いアプリケーションはパブリッククラウドで実行することで、巨大テクノロジー企業の規模の経済を活用することができる。だが、ハイブリッドモデルによって新たな複雑化も起きており、セキュリティモデルがプロバイダーごとに若干異なっていて、クラウド利用企業はそれを理解して管理する必要がある。

特集:クラウドをセキュアに
特集:クラウドをセキュアに

 これには時間と(多くの場合、分かりにくい)専門知識が必要だ。しかし、セキュリティインシデントの原因で上位を占めているのはサービスの設定ミスであり、他にも粗末なパスワードやIDの管理など、さらに初歩的な失敗がある。企業がそうした作業の多くを自動化するツールを評価しているのは当然のことだ。

 そのため、クラウドセキュリティポスチャー管理(CSPM)ツールなどの新しいテクノロジーへの関心が高まっている。これらのツールにより、セキュリティチームはクラウドの設定ミスやコンプライアンスに関する潜在的なセキュリティ問題を特定して修正し、利用中のクラウドサービス全体で同じルールが適用されていることを把握できる。もう1つの成長分野はクラウド・アクセス・セキュリティ・ブローカー(CASB)で、これも企業のセキュリティポリシーを自社で利用中のサービス全体にわたって確実に適用することを目的としている。業界の調査によると、クラウドユーザーが関心を持っている他のセキュリティテクノロジーには、ゼロトラスト、人工知能、機械学習などがあるという。ただし、クラウドセキュリティの向上が見込まれるテクノロジーの多くは、まだ初期の段階だ。

 クラウドは本質的に安全性が低いと言いたいわけではない。むしろ、クラウドベンダーは、ほとんどの顧客には手の届かないスキルや機能に投資できる規模を有しているため、クラウドサービスとクラウドアプリケーションは、テクノロジーがコアコンピタンスではない企業によってホストされている製品よりも安全である可能性が高い。

 しかし、技術革新に注目するだけでなく、クラウドサービスプロバイダーが提供するサービスと理解の水準を精査することも重要だ。英国家サイバーセキュリティセンター(NCSC)は、クラウドコンピューティングセキュリティに関する一連の優れた一般原則を公開している。検討に値するこの原則は、サプライヤーのセキュリティポスチャーを判定する際に役立つだろう。合計14の原則には、次のようなものがある。

  • クラウドの内外のネットワークを通過するデータを改ざんや盗聴から保護しなければならない。
  • 悪意を持ってサービスを利用する顧客や、セキュリティ侵害を受けた顧客が、他の顧客のサービスやデータにアクセスしたり影響を与えたりするのを防ぐ必要がある。
  • 脆弱性管理、保護監視、設定と変更の管理によって、サービスを安全に運用および管理し、攻撃を阻止、検出、防止する必要がある。
  • サービスプロバイダーの担当者に自社のデータとシステムへのアクセスを許可する場合は、そのプロバイダーの信頼性と、担当者の行動を監査および制約する技術的な対策に強い確信を抱いている必要がある。
  • クラウドサービスは、セキュリティへの脅威を最小限に軽減する方法で設計、開発、展開しなければならない。これには堅牢なソフトウェア開発ライフサイクルも含まれる。
  • 外部API、ウェブコンソール、コマンドラインインターフェースなど、サービスの外部インターフェースや信頼性の低いインターフェースをすべて特定し、適切に防御する必要がある。
  • セキュリティインシデントを特定する能力を有し、発生の経緯や時期の特定に必要な情報を利用できなければならない。サービスは、利用企業に監査情報を提供し、攻撃の試みの検出時にセキュリティアラートを出す必要がある。

 適切なセキュリティポスチャーの確立には困難が伴う。高度な技術を持つハッカー集団について懸念している企業もあれば、スタッフに「1234」というパスワードの使用を止めさせることに苦労している企業もある。セキュリティの基本を押さえて、市場がどこに向かっているかを理解し、セキュリティに関する厳しい質問をクラウドプロバイダーにぶつけるのが、正しい道筋だ。

提供:Shutterstock
提供:Shutterstock

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

「クラウドをセキュアに」 バックナンバー

関連記事

関連キーワード
クラウドコンピューティング
パブリッククラウド
API

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル
  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策
  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性
  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

投票する

カテゴリランキング

  1. パロアルトネットワークス製品に脆弱性、4月14日に緊急パッチ公開を予告

  2. 銀河英雄伝説で考えるセキュリティ--物語と重なる“増え続けるセキュリティの重いコスト”

  3. 「XZ Utils」のバックドア問題--オープンソースのセキュリティを考える

  4. 三菱電機、製品の品質向上で開発者向けセキュリティ基盤の「Snyk」を導入

  5. グーグル、「ゼロデイ攻撃」の分析結果と6つの推奨策を提示

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]