クラウド・セキュリティーは、ビジネス・セキュリティーに対する外部および内部の脅威に対処するための手順とテクノロジーを結集したものです。組織は、デジタル・トランスフォーメーション戦略を推進し、クラウドベースのツールやサービスをインフラストラクチャーの一部として取り入れる際に、クラウド・セキュリティーを必要としています。
デジタル・トランスフォーメーションとクラウド移行という用語は、近年、企業の現場で頻繁に使用されるようになりました。どちらのフレーズも、組織によって意味するところは異なりますが、それぞれに共通するのは、変化の必要性です。
企業がこれらのコンセプトを受け入れ、運用アプローチの最適化に向かうにつれて、生産性レベルとセキュリティーのバランスを取る際に新たな課題が生じます。最新のテクノロジーは、オンプレミス・インフラストラクチャーの枠にとらわれることなく組織の機能を向上させるのに役立ちますが、クラウドベースの環境への移行は、安全に行わなければいくつかの問題を引き起こす可能性があります。
適切なバランスを取るには、現代の企業がクラウド・セキュリティーのベスト・プラクティスを導入しつつ、相互接続されたクラウド・テクノロジーを使用することでどのような恩恵を得られるのかを理解する必要があります。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
「クラウド」、より具体的に言うと「クラウド・コンピューティング」とは、インターネットを経由して、ローカル・ハードウェアの制限の範囲外でリソース、ソフトウェア、データベースにアクセスするプロセスを指します。このテクノロジーにより、インフラストラクチャー管理の一部または大部分をサードパーティーのホスティング・プロバイダーにオフロードすることで、組織は運用を拡張する際に柔軟性が得られます。
最も一般的で広く採用されているクラウド・コンピューティング・サービスは、以下のとおりです。
現代の企業では、クラウドベースの環境や、IaaS、Paas、またはSaaSコンピューティング・モデルへの移行が進んでいます。インフラストラクチャー管理の動的な性質は、特にアプリケーションとサービスの拡張時には、企業が各部門に適切なリソースを提供する際に多くの課題をもたらす可能性があります。これらのas-a-serviceモデルでは、組織が時間のかかるIT関連タスクの多くを軽減できるようにします。
企業がクラウドへの移行を進める中で、データを安全に保つためのセキュリティー要件を理解することが重要になっています。サードパーティーのクラウド・コンピューティング・プロバイダーがこのインフラストラクチャーの管理を引き受ける場合がありますが、データ資産のセキュリティーと説明責任に関する責務は、必ずしもそれとともに移行するわけではありません。
デフォルトでは、ほとんどのクラウド・プロバイダーはセキュリティーのベスト・プラクティスに従い、サーバーの整合性を保護するための積極的な措置を講じています。しかし、クラウド上で実行されるデータ、アプリケーション、ワークロードを保護する場合、組織は独自の検討を行う必要があります。
デジタル環境が進化し続けるにつれて、セキュリティーの脅威はさらに高度になっています。組織がデータへのアクセスや移動を全体的に可視化できないため、これらの脅威は明らかにクラウド・コンピューティング・プロバイダーを標的としています。クラウド・セキュリティーを向上させるための積極的な対策を講じなければ、顧客情報を管理する際に、それがどこに保存されているかにかかわらず、企業は重大なガバナンスおよびコンプライアンス・リスクに直面する可能性があります。
クラウド・セキュリティーは、企業の規模に関係なく、議論の重要なテーマとなるはずです。クラウド・インフラストラクチャーは、あらゆる業界や複数の業種において、現代のコンピューティングのほぼすべての側面をサポートしています。
ただし、クラウドの導入が成功するかどうかは、現代のサイバー攻撃から身を守るための適切な対策を講じることにかかっています。パブリッククラウド、プライベートクラウド、ハイブリッドクラウドのいずれの環境で運用しているかにかかわらず、クラウド・セキュリティー・ソリューションとベスト・プラクティスは事業継続性を維持するために不可欠です。
多くのクラウド・サービスは、企業ネットワークの外部やサード・パーティーを通じてアクセスされるため、データが誰にどのようにアクセスされているのかを見失いがちです。
パブリッククラウド環境には、複数のクライアント・インフラストラクチャーが同時に収容されています。その結果、ホストされているサービスが、他の企業を標的にした悪意のある攻撃者の巻き添えで危険にさらされる可能性があります。
企業はオンプレミス・システム全体でアクセス・ポイントを適切に管理および制限できるかもしれないものの、これと同じレベルの制限をクラウド環境で管理するのは難しい場合があります。これは、個人所有デバイスの業務使用(BYOD)ポリシーを導入せず、あらゆるデバイスや地理位置情報からクラウド・サービスへのフィルタリングなしのアクセスを許可している組織にとっては危険なことです。
規制コンプライアンスの管理は、パブリッククラウドまたはハイブリッドクラウド環境を使用する企業にとって、しばしば混乱の原因となります。データ・プライバシーとセキュリティーに対する全体的な説明責任は依然として企業にあり、この要素を管理するためにサードパーティーのソリューションに過度に依存すると、コストのかかるコンプライアンス問題につながる可能性があります。
侵害された記録のかなりの部分は、資産の設定ミスに起因する可能性があり、クラウド・コンピューティング環境にとって不注意なインサイダーが重要な問題となっています。設定ミスには、管理パスワードをデフォルトのままにしておくことや、適切なプライバシー設定を作成しないことなどが挙げられます。
IDおよびアクセス管理(IAM)ツールおよびサービスにより、企業はオンプレミス・サービスとクラウドベース・サービスにアクセスしようとするすべてのユーザーに対して、ポリシーに基づく適用プロトコルを展開できます。IAMの中核となる機能は、すべてのユーザーに対してデジタルIDを作成し、すべてのデータ操作中に、必要に応じて積極的に監視および制限できるようにすることです。
データ損失防止(DLP)サービスは、規制対象のクラウド・データのセキュリティーを確保するために設計された一連のツールとサービスを提供します。DLPソリューションは、修復アラート、データ暗号化、その他の防止策を組み合わせ、保存データか移動中のデータかを問わず、すべての保管されたデータを保護します。
セキュリティー情報およびイベント管理(SIEM)はクラウドベース環境で脅威の監視、検知、対応を自動化する包括的なセキュリティー・オーケストレーション・ソリューションです。SIEMテクノロジーは、人工知能(AI)駆動型テクノロジーを使用して、複数のプラットフォームとデジタル資産のログ・データを関連付けます。これにより、ITチームはネットワーク・セキュリティー・プロトコルを正常に適用し、潜在的な脅威に迅速に対応できるようになります。
組織がオンプレミスやクラウドベースのインフラストラクチャーにどのような予防策を講じていても、データ侵害や破壊的な障害が発生する可能性は残っています。企業は、新たに発見された脆弱性や重大なシステム停止にできるだけ早く迅速に対応できなければなりません。災害復旧ソリューション はクラウド・セキュリティーの定番であり、失われたデータを迅速に回復し、通常の事業運営を再開するために必要なツール、サービス、プロトコルを組織に提供します。
クラウド・セキュリティーへの取り組み方は組織によって異なり、いくつかの変動要因に左右される可能性があります。しかし、米国国立標準技術研究所(NIST)は、安全で持続可能なクラウド・コンピューティングのフレームワークを確立するために従うことができるベスト・プラクティスのリストを作成しました。
NISTは、すべての組織がセキュリティーの準備状況を自己評価し、セキュリティーに関する適切な予防および回復対策をシステムに適用するために必要な手順を作成しました。これらの原則は、NISTのサイバーセキュリティー・フレームワークの5つの柱、つまり特定、保護、検知、対応、復旧に基づいて構築されています。
NISTのサイバーセキュリティー・フレームワークの実行をサポートするクラウド・セキュリティーのもう 1 つの新しいテクノロジーは、クラウド・セキュリティー体制管理(CSPM)です。CSPMソリューションは、多くのクラウド環境によく見られる欠陥、つまり設定ミスに対処するために設計されています。
クラウド・インフラストラクチャーが企業やクラウド・プロバイダーによって誤った設定のままになっていると、組織の攻撃対象領域を大幅に拡大するいくつかの脆弱性につながりかねません。CSPMは、クラウド・セキュリティーの中核となるコンポーネントの整理とデプロイを支援することで、こうした問題に対処します。これには、IDおよびアクセス管理(IAM)、規制コンプライアンス管理、トラフィック監視、脅威対応、リスク軽減、デジタル資産管理などが含まれます。