IBM Cloud アップデート情報

IBM Think 2019:IBM Cloud セキュリティー・アップデート

記事をシェアする:

The State of IBM Cloud Security:Think2019

多くの企業がスケーラビリティーと効率の向上を達成しようとしてクラウド・サービスを採用していますが、そのような企業のCISO組織は依然としてクラウド上のデータ保護のための効果的な戦略とツールを探しています。IBM Institute for Business Valueによると、マルチクラウドの管理者の57%がセキュリティーとコンプライアンスについて心配を表明しています。[1]

クラウドの開発と運用のモデルは、企業文化や組織の変化ももたらしています。つまり、アプリケーション・チームはより多くのセキュリティーに関する責任と説明責任を担うようになっています。開発者がDevOpsプロセスにセキュリティーを組み込めるようにすること、すなわち効果的なDev-Sec-Opsに対応できるようにすることは、継続的なセキュリティーを達成する上でとても重要です。

従来のセキュリティー製品は、動的、仮想的そして分散したクラウド環境の課題には対処していないようです。今日の企業は、構造化されたセキュリティー・プラクティスを通じてリスクとコンプライアンスを管理する上で3つの主要な目的を達成できるようなエンドツーエンドのセキュリティー・アプローチを必要としていると言えます。

  • マルチクラウドの展開に対応したユーザー・アクセス管理とネットワーク保護
  • 顧客によるコントロール範囲の増加と保管中および使用中のデータ暗号化によるデータ保護の強化
  • 組み込み機能とオープンな統合により実用的なセキュリティーの洞察を獲得

マルチクラウドの展開に対応したユーザー・アクセス管理とネットワーク保護

IBM Institute for Business Valueの調査によると、より大きな組織ではマルチクラウド戦略を採用しています[2]。 つまり、IBMのお客様は、さまざまなクラウドにわたってセキュリティー・ポリシーをシームレスに管理する必要があるということです。 マルチクラウド環境での安全な統合を実現するために、IBM Cloudでは2つの重要な機能を提供しています。

  • IBM Cloud App ID:App IDは、パブリック・クラウド、専有型クラウド、プライベート・クラウドの組み合わせに関係なく、企業がクラウド・アプリケーションに関するID管理とアクセス管理を単一なシームレスなエクスペリエンスで実行できるように設計されています。 この製品により、開発者は自分のアプリにID認証を簡単に統合することができます。 最近発表されたApp IDの機能には、多要素認証、アクセス制御への規範的アプローチおよび複数のクラウドにわたるポリシーの管理が含まれます。
  • IBM Cloud Internet Services(CIS):2018年に提供を開始したこのサービスは、ドメイン・ネーム・システム(DNS)、グローバル・ロード・バランシング(GLB)、Webアプリケーション・ファイアウォール(WAF)およびWebアプリケーション・ファイアウォール(WAF)の設定と管理、そして分散サービス妨害(DDoS)からの保護を提供する統一プラットフォームとして設計されています。 IBM Cloud Internet Services Enterprise Edition を使用すると、さまざまなクラウド環境で稼働している複数のドメインに対して、エッジ保護を受けることができます。

顧客によるコントロール範囲の増加と保管中および使用中のデータ暗号化によるデータ保護の強化

IBM Cloudのセキュリティー製品と機能は、拡張暗号化機能および鍵管理機能を使用することによって、お客様が自分のデータをさらに管理できるように設計されています。

  • IBM Cloud Hyper Protect Crypto Services:3月にはIBM Cloud Hyper Protect Crypto Servicesが利用可能となり、パブリック・クラウド・プロバイダーでは唯一のFIPS 140-2 level 4ベースのテクノロジーに基づいて構築された専用のクラウド・ハードウェア・セキュリティー・モジュール(HSM)による暗号鍵管理サービスを提供します。これにより、企業はクラウド上で暗号化キーを完全に管理し、それらのキーを保護するHSMを排他的に制御できるため、「自分のキーを保持」(Keep Your Own Key : KYOK)機能を使用してデータに対する権限を高めることができます。
  • IBM Cloud Data Shield:Intel SGXおよびFortanix®RuntimeEncryption®上に構築されたこの製品は、アプリケーション開発者が(コードを変更することなく)アプリケーションを拡張し、エンクレーブと呼ばれる実行保護領域内の機密データを保護できるように設計されています。エンクレーブで処理されたデータはアプリケーションにのみ表示され、OS、ハイパーバイザーまたはアプリケーションによって許可されていないエンティティーには表示されません。 Data Shieldの新しい(ベータ)機能には、以下が含まれます。
    • Pythonアプリケーションのランタイム保護、コードの変更は不要
    • 役割ベースの管理コンソール、保護されたイメージを取得するためのコンバーターおよび検証レポートを提供するエンクレーブ・ネージャーの新しいユーザー・インターフェース
    • IBM Cloudプラットフォームとのエクスペリエンスの統合
  • IBM Cloud Key Protect自社の暗号鍵の持ち込み(BYOK)を可能にするように設計された鍵管理サービスであるIBM Cloud Key Protectは、鍵ローテーション、お客様のRoot鍵の安全なアップロード、プライベート・ネットワーク・アクセスなどのいくつかの機能を提供しています。 IBM Cloudは、BYOKによる保存データの暗号化をサポートする一連のサービスを提供しています。今回の新しい発表により、Key ProtectはIBM Cloud for VMware Solutions、データベース、IBM Cloud Kubernetes Service、そして仮想サーバーのサービスと統合されるようになりました。
  • IBM Cloud Hyper Protect DBaaS(ベータ版):IBM Cloud Hyper Protect DBaaS(ベータ版)は、IBM LinuxONEの広範な暗号化およびIBM Secure Service Containerテクノロジーの長所を利用して、データ漏洩およびデータ操作の脅威から保護するように設計されています。 専門的なスキルを必要とせずに、お客様は完全に暗号化されたデータベースを使用することができます。

組み込み機能とオープンな統合により実用的なセキュリティーの洞察を獲得

見えないものを管理することはできません。適切なセキュリティーの可視性を確保することが、ワークロードをクラウドに移行する際の基礎となる信頼を築くために重要であるとお客様から聞いています。

IBM Cloud Security Advisorは、組み込みのモニター機能とサード・パーティーのセキュリティー・プロバイダーとの統合機能を備えた、シンプルで統合ダッシュボードを提供します。 Security Advisorの製品強化を続けており、新しい機能が利用可能となったことを発表しました。

  • Network Insights(ベータ版)は、Kubernetesクラスター間のネットワーク・トラフィックを監視することによって、潜在的な脅威や疑わしい動作に関する実用的な洞察を提供します。 統合された脅威インテリジェンスと異常検出により、偵察攻撃や潜在的に危険にさらされている資産を識別します。
  • コンテナ・セキュリティー・プロバイダーのTwistlock®およびNeuVectorとの統合。

エンドツーエンドのセキュリティー:ユースケース例

セキュリティー・ポートフォリオの各部分がどのように連携してお客様のセキュリティー・ニーズに対処するかをよりよく理解するために、ある架空の会社がどのようにそれらを利用するのかを説明してみましょう。この会社は、組織が困っている人や災害時に支援するための資金を集める手助けをしています。彼らは寄付者、クレジットカードについての機密データを扱い、また必要な税務書類を助けるために寄付記録を保持します。

会社のシステムへのアクセスはすべて保護する必要があります。そのため、ネットワーク攻撃から保護するためにCIS(Cloud Internet Services)を使用し、ユーザーを認証するためにApp IDを使用します。クレジットカードやその他の機密情報はData Shieldを使用してメモリ内で保護され、暗号化されてデータベースに保存されます。その暗号化の鍵はHyper Protect Crypto Servicesで安全に保存されます。アプリケーションのセキュリティー状態を管理および監視するために、チームはSecurity Advisorを利用してアクセスログを表示し、潜在的な脆弱性に対処します。

まとめ

クラウドが「セキュリティーを正しく実行する」独特の機会を提供するという原則に基づいて、IBM Cloudは、企業が自信を持ってクラウドを採用できるようにするための新しいセキュリティー製品、サービス、機能を提供することによって、企業ニーズへの取り組みを続けます。 今回の発表のように、これからも製品・サービスの改善に投資を続けて、企業のお客様にとってさらに重要で機密性の高いワークロードを安心してクラウドに移行できるようにしてまいります。

[1] [2] IBM Institute for Business Value: Assembling Your Cloud Orchestra (October 2018)

原文:
https://www.ibm.com/blogs/bluemix/2019/02/cloud-security-right/

More IBM Cloud アップデート情報 stories

新世代の IBM Cloud Virtual Servers for VPC の紹介

IBM Cloud Blog, IBM Cloud News

パブリック・クラウド上のセキュアな専有スペースで、クラウド・ネイティブのアプリケーション開発や AI を加速す ...続きを読む


IBM Cloud上で GxP に準拠したシステムの構築: ホワイトペーパー発行のお知らせ

IBM Cloud Blog, IBM Cloud News

IBM Cloud上でGxPに準拠したシステムを構築するためのホワイトペーパーを発行しました ライフサイエンス ...続きを読む


Watson Anywhere : 未来とは

IBM Cloud Blog, IBM Data and AI, IBM Watson Blog...

(Part III) AIの世界にはパラドックスがあります。私たちの生涯における最大のビジネス・チャンスであり ...続きを読む