「クラウド」、より具体的に言うと「クラウド・コンピューティング」とは、インターネットを経由して、ローカル・ハードウェアの制限の範囲外でリソース、ソフトウェア、データベースにアクセスするプロセスを指します。このテクノロジーにより、インフラストラクチャー管理の一部または大部分をサードパーティーのホスティング・プロバイダーにオフロードすることで、組織は運用を拡張する際に柔軟性が得られます。

最も一般的で広く採用されているクラウド・コンピューティング・サービスは、以下のとおりです。

• IaaS（Infrastructure-as-a-Service）： ハイブリッド・アプローチを提供し、組織がデータやアプリケーションの一部をオンプレミスで管理できるようにします。同時に、サーバー、ハードウェア、ネットワーキング、仮想化、ストレージのニーズを管理するために、クラウド・プロバイダーを利用します。
• PaaS（Platform-as-a-Service）：組織がアプリケーションの開発と提供を合理化できるようにします。これは、クラウド内のオペレーティング・システム、ソフトウェア・アップデート、ストレージ、サポート・インフラストラクチャーを自動的に管理するカスタム・アプリケーション・フレームワークを提供することによって実現します。
• SaaS（Software-as-a-Service）：オンラインでホストされるクラウドベースのソフトウェアを提供し、通常はサブスクリプション・ベースで利用できます。サードパーティー・プロバイダーは、データ、ミドルウェア、サーバー、ストレージなどの潜在的な技術的問題をすべて管理します。これは、ITリソースの支出を最小限に抑え、メンテナンスとサポート機能を合理化するのに役立ちます。

現代の企業では、クラウドベースの環境や、IaaS、Paas、またはSaaSコンピューティング・モデルへの移行が進んでいます。インフラストラクチャー管理の動的な性質は、特にアプリケーションとサービスの拡張時には、企業が各部門に適切なリソースを提供する際に多くの課題をもたらす可能性があります。これらのas-a-serviceモデルでは、組織が時間のかかるIT関連タスクの多くを軽減できるようにします。

企業がクラウドへの移行を進める中で、データを安全に保つためのセキュリティー要件を理解することが重要になっています。サードパーティーのクラウド・コンピューティング・プロバイダーがこのインフラストラクチャーの管理を引き受ける場合がありますが、データ資産のセキュリティーと説明責任に関する責務は、必ずしもそれとともに移行するわけではありません。

デフォルトでは、ほとんどのクラウド・プロバイダーはセキュリティーのベスト・プラクティスに従い、サーバーの整合性を保護するための積極的な措置を講じています。しかし、クラウド上で実行されるデータ、アプリケーション、ワークロードを保護する場合、組織は独自の検討を行う必要があります。

デジタル環境が進化し続けるにつれて、セキュリティーの脅威はさらに高度になっています。組織がデータへのアクセスや移動を全体的に可視化できないため、これらの脅威は明らかにクラウド・コンピューティング・プロバイダーを標的としています。クラウド・セキュリティーを向上させるための積極的な対策を講じなければ、顧客情報を管理する際に、それがどこに保存されているかにかかわらず、企業は重大なガバナンスおよびコンプライアンス・リスクに直面する可能性があります。

クラウド・セキュリティーは、企業の規模に関係なく、議論の重要なテーマとなるはずです。クラウド・インフラストラクチャーは、あらゆる業界や複数の業種において、現代のコンピューティングのほぼすべての側面をサポートしています。

ただし、クラウドの導入が成功するかどうかは、現代のサイバー攻撃から身を守るための適切な対策を講じることにかかっています。パブリッククラウド、プライベートクラウド、ハイブリッドクラウドのいずれの環境で運用しているかにかかわらず、クラウド・セキュリティー・ソリューションとベスト・プラクティスは事業継続性を維持するために不可欠です。

可視性の欠如
多くのクラウド・サービスは、企業ネットワークの外部やサード・パーティーを通じてアクセスされるため、データが誰にどのようにアクセスされているのかを見失いがちです。

マルチテナンシー
パブリッククラウド環境には、複数のクライアント・インフラストラクチャーが同時に収容されています。その結果、ホストされているサービスが、他の企業を標的にした悪意のある攻撃者の巻き添えで危険にさらされる可能性があります。

アクセス管理とシャドーIT
企業はオンプレミス・システム全体でアクセス・ポイントを適切に管理および制限できるかもしれないものの、これと同じレベルの制限をクラウド環境で管理するのは難しい場合があります。これは、個人所有デバイスの業務使用（BYOD）ポリシーを導入せず、あらゆるデバイスや地理位置情報からクラウド・サービスへのフィルタリングなしのアクセスを許可している組織にとっては危険なことです。

コンプライアンス
規制コンプライアンスの管理は、パブリッククラウドまたはハイブリッドクラウド環境を使用する企業にとって、しばしば混乱の原因となります。データ・プライバシーとセキュリティーに対する全体的な説明責任は依然として企業にあり、この要素を管理するためにサードパーティーのソリューションに過度に依存すると、コストのかかるコンプライアンス問題につながる可能性があります。

設定ミス
侵害された記録のかなりの部分は、資産の設定ミスに起因する可能性があり、クラウド・コンピューティング環境にとって不注意なインサイダーが重要な問題となっています。設定ミスには、管理パスワードをデフォルトのままにしておくことや、適切なプライバシー設定を作成しないことなどが挙げられます。

IDおよびアクセス管理（IAM）
IDおよびアクセス管理（IAM）ツールやサービスにより、企業はオンプレミスとクラウドベースのサービスの両方にアクセスしようとするすべてのユーザーに対して、ポリシー駆動型の適用プロトコルを導入することができます。IAMの中核となる機能は、すべてのユーザーに対してデジタルIDを作成し、すべてのデータ操作中に、必要に応じて積極的に監視および制限できるようにすることです。

データ損失防止（DLP）
データ損失防止（DLP）サービスは、規制対象のクラウド・データのセキュリティーを確保するために設計された一連のツールとサービスを提供します。DLPソリューションは、修復アラート、データ暗号化、その他の防止策を組み合わせ、保存データか移動中のデータかを問わず、すべての保管されたデータを保護します。

セキュリティー情報およびイベント管理（SIEM）
セキュリティー情報およびイベント管理（SIEM）は、クラウドベースの環境における脅威の監視、検知、対応を自動化する包括的なセキュリティー・オーケストレーション・ソリューションを提供します。SIEMテクノロジーは、人工知能（AI）駆動型テクノロジーを使用して、複数のプラットフォームとデジタル資産のログ・データを関連付けます。これにより、ITチームはネットワーク・セキュリティー・プロトコルを正常に適用し、潜在的な脅威に迅速に対応できるようになります。

事業継続性と災害復旧
組織がオンプレミスやクラウドベースのインフラストラクチャーにどのような予防策を講じていても、データ侵害や破壊的な障害が発生する可能性は残っています。企業は、新たに発見された脆弱性や重大なシステム停止にできるだけ早く迅速に対応できなければなりません。災害復旧ソリューションはクラウド・セキュリティーの定番であり、失われたデータを迅速に回復し、通常の事業運営を再開するために必要なツール、サービス、プロトコルを組織に提供します。

クラウド・セキュリティーへの取り組み方は組織によって異なり、いくつかの変動要因に左右される可能性があります。しかし、米国国立標準技術研究所（NIST）は、安全で持続可能なクラウド・コンピューティングのフレームワークを確立するために従うことができるベスト・プラクティスのリストを作成しました。

NISTは、すべての組織がセキュリティーの準備状況を自己評価し、セキュリティーに関する適切な予防および回復対策をシステムに適用するために必要な手順を作成しました。これらの原則は、NISTのサイバーセキュリティー・フレームワークの5つの柱、つまり特定、保護、検知、対応、復旧に基づいて構築されています。

NISTのサイバーセキュリティー・フレームワークの実行をサポートするクラウド・セキュリティーのもう 1 つの新しいテクノロジーは、クラウド・セキュリティー体制管理（CSPM）です。CSPMソリューションは、多くのクラウド環境によく見られる欠陥、つまり設定ミスに対処するために設計されています。

クラウド・インフラストラクチャーが企業やクラウド・プロバイダーによって誤った設定のままになっていると、組織の攻撃対象領域を大幅に拡大するいくつかの脆弱性につながりかねません。CSPMは、クラウド・セキュリティーの中核となるコンポーネントの整理とデプロイを支援することで、こうした問題に対処します。これには、IDおよびアクセス管理（IAM）、規制コンプライアンス管理、トラフィック監視、脅威対応、リスク軽減、デジタル資産管理などが含まれます。