クラウドのセキュリティ:クラウドプロバイダーとユーザー間のパートナーシップ

avatar

 2018.12.11  Japanブログ編集部

  •  ホーム
  •  市場動向
  •  クラウドのセキュリティ:クラウドプロバイダーとユーザー間のパートナーシップ

今や企業の多くがクラウドを採用しています。ビジネスニーズの高まりや競争の激化、SaaS(Software-as-a-Service)の進化に後押しされて、この傾向はさらに強まっています。

クラウドではすべてがスマートに見えますが、セキュリティはどうなのでしょうか?やはりスマートなのでしょうか?

企業がさまざまな種類のクラウド環境を利用する昨今では、クラウド内のセキュリティを維持することは必要不可欠となっています。特に、パブリッククラウドやハイブリッドクラウドプラットフォームを利用する場合にはセキュリティが何より重要です。ここで本題に入る前に、クラウドセキュリティとは何であるのかを復習する時間を少し取りましょう。

クラウドセキュリティとは、クラウド上の情報、データアプリケーション、インフラストラクチャーを保護するための規制準拠ルールに従って設計された、「制御されたテクノロジーとポリシーのセット」です。

その目的を念頭に置いて、クラウド環境内にセキュリティを組み込むうえで適切なアプローチはどのようなものかを考えてみましょう。クラウドへの移行を徹底的に検討した後、次に確認すべき問題は、「クラウドプロバイダーは、セキュリティコンプライアンスを中心に据えたクラウド環境を構築できるかどうか」です。

このチェックボックスがクリアになったとしても、クラウドセキュリティに関する問題がすべて解決されるわけではありません。クラウドのセキュリティは大きな概念であるため、適切なプロバイダーを選択したとしても、さまざまな課題が発生します。それは、終わりなき追求なのです。

以下にクラウド採用後に企業が直面する脅威と、クラウドセキュリティの問題に対する取り組みとして採用可能なソリューションを紹介します。

データ漏洩

データが流出し、危険な何者かの手に渡れば、企業はそれまでの評判をすべて失うかもしれません。クラウドサービスプロバイダー(CSP)が膨大なデータをホストしているため、企業データの流出が発生しやすくなっています。クラウドプロバイダーがデータ盗難の問題に取り組んでいる一方で、企業ユーザー側もセキュリティ対策を講じる必要があります。

解決策:多要素認証および暗号化は、このようなセキュリティ上最大の問題に有効です。

不適切なID管理およびアクセス管理

スケーラブルなID管理やアクセス管理システムはもちろんのこと、自動化されたキーのローテーションや暗号化、証明書などのデータ保護機能が欠如していたり、弱いパスワードが使用されることによりデータが危険にさらされることがあります。

解決策:スマートカード、ワンタイムパスワード、電話認証はデータの盗難を防ぐ最良の方法です。企業の管理部門は、強力なパスワードをはじめとする上記の対策の重要性を強調するようにしましょう。

安全性の低いAPI

クラウドサービスのプロビジョニング、維持および監視を可能にするアプリケーションプログラミングインターフェイスは必要不可欠です。インターフェイスは、DevSecOpsと同様に、侵害の予防を念頭に設計する必要があります。

解決策:インターフェイスには、認証、アクセス制御、暗号化、およびアクティビティモニタリングなどの機能を持たせて、セキュリティインシデントを回避するようにします。

システムの脆弱性

システムに内在する脆弱性とバグが悪用されて、トロイの木馬の侵入を許してしまう場合があります。トロイの木馬はシステムの操作性と機能に影響を与えます。

解決策:そのような事態を回避するためには、セキュリティパッチのインストールや、脆弱性スキャンプログラムの更新、システム上の脅威の報告を行うとともに、それらを義務化するべきです。

アカウントまたはサービスの乗っ取り

アカウントやサービスの乗っ取りの手口として多いのは、フィッシングやソフトウェアの脆弱性の悪用です。乗っ取りの結果、データの盗難やクラウドサービス/システムの妨害を引き起こし、それが企業の評判の失墜につながることもあります。

解決策:組織は、厳格なセキュリティ対策を実施するとともに、ログイン資格情報の機密保持および強力な二要素認証技術について従業員を継続的に教育する必要があります。

まとめ

脅威の種類は無限に増えています。クラウドのユーザー企業側も警戒を怠らず、健全なセキュリティ対策を実行するようにしてください。クラウドプロバイダーは絶えずサービスをアップグレードし、最善のツールを使用しつつ、急成長中のクラウド市場におけるセキュリティの問題を解決に導く最高クラスの従業員を採用しています。彼らがあらゆる手を打ってさまざまな企業に最良のセキュリティを提供しようとしている一方で、企業側も同様の倫理観を問われるようになっています。クラウドプロバイダーとビジネスオーナーの両方が協力すれば安全なビジネス環境を実現できるでしょう。

執筆者について:Veritis Group Inc.社のコンテンツライターであるMaryann Savina Xavier氏は、テクノロジー、社会的大義、感動的なストーリー、ニュースなどの記事を書いています。執筆への情熱を持つ彼女は、2013年からブログで詩を書きはじめ、現在までに約80の詩を投稿しています。また著名な新聞にも、複数の記事を寄稿しています。マスコミュニケーションとジャーナリズムの修士号を取得した彼女は、複数の有名企業でさまざまな職を経験してきました。彼女は、写真とソーシャルネットワーキングにも興味を持っています。

編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwire Inc.の意見を反映するものではありません。
SANS:基本への回帰

RECOMMEND関連記事

改ざん検知

Webサイトの改ざん検知に使えるフリーソフト4選
脆弱性管理

Intel製プロセッサの重大な脆弱性「Spectre」と「 Meltdown」について(英語版)
改ざん検知

SSL/TLSの改ざん検知とは?
改ざん検知

AWSの改ざん検知機能の実力とは?
この記事が気に入ったらいいねしよう!

Navigation
© 2024 Tripwire Japan K.K.
All Rights Reserved.