クラウドコンピューティングは、アジリティ、スケーラビリティ、コスト効率を向上させるため、現代のビジネスに不可欠な要素になっています。しかし、クラウドに移行すると、データ漏えい、不正アクセス、コンプライアンス違反、パフォーマンスの問題などのさまざまなセキュリティ脅威にデータやアプリケーションがさらされる可能性もあります。さらに企業は、広大なクラウド環境で、データ漏えい、内部脅威、サードパーティーリスク、クラウドの設定ミスなどのリスクにもさらされます。企業は、事業活動を行っている国のコンプライアンス基準や規制基準に従う必要もあります。
クラウドセキュリティ戦略はどう構築すべきか?
クラウドセキュリティ戦略は、リアルタイムモニタリング、クラウドセキュリティ脅威の特定と修正、定期トレーニングによる従業員の意識向上を中心に構築し、さらには、クラウド内のサードパーティー/フォースパーティーサプライチェーンリスクへの対応として可視性の向上と定期監査を含める必要があります。
クラウド環境は、PCI DSS、HIPAA、GDPRなどのコンプライアンス基準の特定の要件に準拠する必要があります。コンプライアンス違反の代償には、罰金の形での金銭的な損失だけでなく、顧客からの信頼の喪失も含まれます。
コンプライアンス要件を満たすには、適切な内部プロセスとテクノロジーの組み合わせに加えて、特定の外部パートナーシップも必要です。アクセス制御、データ暗号化、定期監査は、コンプライアンスフレームワークの重要な構成要素です。
クラウドベースのサービスは、該当する場合は必ず、HIPAA、PCI、GDPRへの準拠状況を定期的に監査する必要があります。これらの基準に関する深い知識を背景にコンプライアンスを監査できるセキュリティ専門家が社内に不足していることを考えると、コンプライアンスリスク管理やクラウドセキュリティリスク管理には外部専門家のサービスが不可欠です。
クラウド環境における保護対象と保護方法の定義は困難な作業であり、専門家の支援が必要です。では、クラウドセキュリティリスクを緩和するために、今から何を始めることができるでしょうか?
クラウド環境を保護するために取るべきアクション
特権レベルが重要
クラウド環境には、従業員、請負業者、サードパーティー、およびフォースパーティーのミスに起因する未検出の内部脅威が潜んでいる恐れがあります。セキュリティが脆弱なサードパーティープロバイダーは、企業ネットワークをサイバー攻撃にさらしかねません。また、ハイブリッドワーク環境とサードパーティープロバイダーは、一般的なソリューションが監視できる範囲を超えて攻撃対象領域を拡大する可能性があります。
クラウドセキュリティのベストプラクティスの1つは、最小特権の原則に従うことです。つまり、ユーザーやアプリケーションに、タスクの実行に必要な最小限のレベルのアクセスと権限を付与するということです。これは、アカウントハイジャック、悪意のある内部関係者、クラウドサービスの悪用、データ喪失の防止に役立ちます。
例えば、ロールベースアクセス制御(RBAC)を使用して、ユーザーのID、職務、責任に基づいてロールとアクセス許可を割り当てることができます。また、IDおよびアクセス管理(IAM)ツールを使用して、ユーザーアカウント、クレデンシャル、ポリシーを管理することもできます。
多要素認証はあなたの味方
クラウドセキュリティを強化する効果的な方法は、管理者、開発者、マネージャーなどの特権アカウントに対して多要素認証(MFA)を有効にすることです。MFAは、パスワード、電話に送信されたコード、生体認証スキャンなど、複数の認証要素の提供をユーザーに要求します。それによってセキュリティ層を追加し、不正アクセスの可能性を低減できます。
MFAは、クラウドサービスプロバイダーのコンソールへのログイン、クラウドリソースへのアクセス、機密情報を扱う操作の実行に利用できるほか、クラウドアプリケーションにリモートでアクセスする従業員に利用することも可能です。
すべては教育から
ヒューマンエラーは、クラウドセキュリティにおける最大の課題とは言わないまでも、課題の1つであることに違いありません。多くのクラウドインシデントは、リスクやベストプラクティスを理解していないユーザーによる間違いや過失に起因しています。
現在、一部の企業では、クラウドセキュリティリスクとその回避方法に関するトレーニングの受講を全従業員に義務付けています。まず、クラウドセキュリティのトピックに関する定期トレーニングセッション、ワークショップ、ウェビナー、またはニュースレターの提供を始めるべきです。また、クラウドセキュリティポリシーを作成して、クラウドの使用に関する注意事項の概要を示すこともできます。追加の対策として、監査と評価を実施してクラウドセキュリティ意識向上プログラムの有効性を測定します。
データは可能な限り暗号化する
データ暗号化は、侵害が発生した場合にデータを不正アクセスや漏えいから守る最も効果的な方法の1つです。暗号化は、キーがなければ復号できない読み取り不能な形式にデータを変換します。経験からすると、データの転送時および保存時の両方で暗号化する必要があります。
デバイスとクラウドサービスプロバイダーの間で転送されるデータは、SSL/TLSやHTTPSなどの暗号化プロトコルを使用して保護できます。また、クラウドストレージまたはデータベースに保存されているデータは、クラウドサービスプロバイダーまたはサードパーティーベンダーが提供する暗号化ツールやサービスを利用して暗号化します。
すべてを自動化する
自動化は、脅威の監視、検出、および対応の迅速化と効率化を実現することにより、クラウドセキュリティリスクの緩和に役立ちます。また、クラウド環境全体にわたるコンプライアンスおよびガバナンスポリシーの適用にも有用です。
自動化ツールまたはサービスは、クラウドの設定をスキャンして脆弱性や設定ミスがないかを確認するために利用できるほか、クラウド環境内の不審なアクティビティや異常を警告することもできます。さらに、問題やインシデントを自動または最小限の人間の介入で修正することも可能です。
今すぐ第一歩を踏み出しましょう
80%の企業が、過去1年間に少なくとも1度はクラウドセキュリティインシデントを経験しています。Lumenと共に、クラウド資産とその最も深刻なセキュリティリスクを24時間以内に完全に把握することから始めましょう。
今すぐhttps://apac.lumen.com/cloud-security-risk-assessment/から無料のクラウドセキュリティリスク評価をご依頼ください。