クラウド セキュリティは共同責任

クラウド セキュリティとは、クラウド コンピューティングの利用に欠かせないデータやアプリケーション、およびポリシーやテクノロジ、コントロールなどのインフラストラクチャを保護する作業を指します。

組織の俊敏性向上とコスト削減のため、クラウドベースのアプリケーションとそこで利用されるデータの、さまざまな環境への分散化が一層進んでいます。これらの環境には、プライベート クラウド、パブリック クラウド(ハイブリッドまたは専用)、Software as a Service (SaaS)アプリケーションが含まれ、そのそれぞれに固有の俊敏性のメリットとセキュリティ上の問題があります。

データ漏洩についての懸念から、クラウド セキュリティが優先事項になっています。データはさまざまなクラウド間を移動するため、組織が求める俊敏性と、アプリケーションのセキュリティ向上/データ保護をいかに両立するかが課題になっています。可視性を確保し、データ流出を試みる攻撃(外部からの攻撃と横方向の攻撃の両方)を防止することは、アプリケーションとデータが存在するあらゆる場所で不可欠になっています。

クラウド セキュリティに対して責任を負うグループは、ネットワーク チーム、セキュリティ チーム、アプリケーション チーム、コンプライアンス チーム、インフラストラクチャ チームなど、組織内に多数存在します。しかし、クラウド セキュリティは、クラウド ベンダーと組織の共同責任でもあります。

プライベート: クラウドは専用のデータ センター内にホストされているため、エンタープライズがそのセキュリティのあらゆる側面に責任を負います。これには、物理ネットワーク、インフラストラクチャ、ハイパーバイザ、仮想ネットワーク、オペレーティング システム、ファイアウォール、サービス設定、IDとアクセスの管理などがあります。また、データと、データのセキュリティもエンタープライズの責任です。

パブリック: AWS^®やMicrosoft^® Azure™などのパブリック クラウドでは、クラウド ベンダーがインフラストラクチャ、物理ネットワーク、およびハイパーバイザを所有しています。エンタープライズは、ワークロードOS、アプリケーション、仮想ネットワーク、自社のテナント環境/アカウントへのアクセス権、およびデータを所有しています。

SaaS: SaaSベンダーは主にプラットフォームのセキュリティに対して責任を負います。これには、物理的セキュリティ、インフラストラクチャ、およびアプリケーションのセキュリティが含まれます。SaaSベンダーは顧客データを所有せず、顧客がアプリケーションをどのように使用しようとも責任を負いません。よって、悪意のあるデータ流出、不慮のデータ漏洩、またはマルウェアの挿入のリスクを防止、軽減するセキュリティに対して責任を負うのはエンタープライズです。

企業がプライベート クラウドからパブリック クラウドまたはSaaSアプリケーションに移行するにつれて、データ、アプリケーション、およびインフラストラクチャを保護する責任は、エンタープライズよりもベンダーに委ねられることが増えていきます。ただし、使用するプラットフォームに関係なく、自社のデータのセキュリティを確保する責任は常にエンタープライズにあります。

アプリケーションを安全に使用するためには、クラウド ベンダーがアプリケーションとデータのセキュリティ確保のために適切なセキュリティ手法を実装していることを、ITセキュリティ チームが確実に把握している必要があります。また、クラウド ベンダーが保護しない項目を補うため、組織は、リスクを効果的に管理、保護する適切なツールを用意して、データのセキュリティを確保する必要があります。これらのツールにはさまざまな必要条件があります。データのリスクとコンプライアンス違反を防ぐために、SaaSアプリケーション内のアクティビティの可視化と使用状況の詳細な分析が必要です。違反が発生した場合にポリシーを適用して隔離を行うためには、コンテキスト認識型のポリシー制御が必要になります。さらに、既知および未知の脅威を検出して新しいマルウェア挿入ポイントを防止するために、リアルタイムの脅威インテリジェンスが必要です。