クラウドセキュリティ
クラウドセキュリティが重要である理由
最新の調査によると、世界中の組織の97%が何らかの形でクラウドサービスを利用しています。その中の25%がデータを盗まれたことがあり、20%がクラウドインフラストラクチャに攻撃を受けたことがあります。
クラウドプラットフォームの利用は、企業がサイバーセキュリティプログラム内で優先して対処しなければならない新たなリスクを生み出します。堅牢なクラウドセキュリティプログラムにより、企業を脅威から守るために使用されるポリシー、テクノロジー、アプリケーション、および制御が確立されています。
クラウドセキュリティの責任を負うのは誰か
クラウドサービスプロバイダー (CSP) と組織がセキュリティの責任を分担します。CSPは通常、クラウドインフラストラクチャに対する物理セキュリティを提供します。組織のITスタッフは、データを扱う必要性に基づいた厳格な権限レベルでアクセス制御を構成する責任を負います。
クラウドセキュリティの仕組み
クラウドセキュリティプログラムは、クラウドでのすべてのアクティビティを監視し、セキュリティ侵害が発生した場合に迅速に対応する計画を定めています。クラウドセキュリティには一般的に、保護、検出、封じ込め、リカバリという4つの目的があります。
これら4つの目的を達成するために、企業はポリシー、ツール、制御の組み合わせを展開し、それらを常時有効にしています。
ポリシー: 企業は、すべての製品やサービスの開発プロセスにセキュリティを組み込む必要があります。つまり、独立したセキュリティ検証チームに任せるのではなく、新しい製品やサービスを作り出す事業部門内にDevOpsおよびDevSecOpsを組み入れることを義務付ける必要があります。資産の特定、分類、アカウンタビリティに部署や担当者が関与することを必要とするポリシーは、認識や保護を高めることにも役立ちます。
適切な構成: IT部門は、データが運用から切り離され、職務を遂行するためにそのデータを必要とする人やシステムを自動的に特定し、それらのみにアクセスを許可するように、クラウド資産を構成する必要があります。
一元管理: 多くの組織はさまざまなクラウドソリューションを実装していて、それぞれのプロバイダーが独自の管理ツールを提供しています。すべてのサービスとプロバイダーにわたってクラウドセキュリティを一元化することによって、IT部門がすべてのアクセスポイントを可視化でき、脅威の監視および検出が容易になります。
常時監視: すぐに利用できるツールを使用して、IT部門は、ユーザーがどのクラウドコンピューティングのプラットフォームやサービスにアクセスしていて、どのようなアクティビティが組織を危険にさらす可能性があるかを確認できます。また、そのようなツールにより、すべてのセキュリティ要件とコンプライアンス要件を24時間365日常時満たすことができます。使用されているアプリケーションやデバイスの定期監査および潜在的リスクの評価も、常時実施する必要があります。
データ保護: 企業はさまざまな戦術を使用して、データ損失やデータ流出を防いでいます。メッセージの傍受や改ざんを防ぐ方法として、VPN、暗号化、マスキング (識別情報の暗号化)、Transport Layer Security (TLS) などがあります。
メンテナンス: 冗長性を維持し、データのフルバックアップを別の場所に保管することは不可欠であり、多くのサービスプロバイダーはそれらをサブスクリプションに組み込んでいます。さらに、ソフトウェアのアップデートやセキュリティパッチを最新に保つことは、通常はサービスプロバイダーが対処しますが、自社の独自サービスへのパッチ適用は社内IT部門が責任を負います。
クラウドセキュリティのメリット
脅威を軽減する機能は、クラウドサービスを利用するリスクを負いながら業務を最大限に遂行し続けるメリットを企業にもたらします。クラウドセキュリティの主なメリットは、突き詰めれば、未許可ユーザーや悪意のあるアクティビティを阻止するということになります。クラウドセキュリティプログラムを実装するメリットの組み合わせを以下に示します。
- DDoS攻撃の阻止: 常時監視および分析ツールと軽減ツールにより、クラウドセキュリティプログラムは、巧妙化した攻撃の増大する脅威を撲滅します。
- データの保護: ユーザーやアプリケーションからデータを切り離すことによって、機密データは、アクセスが自動的に制御されているセキュアな場所にプールされています。
- 可視性の向上: 1つに統合されたクラウドセキュリティプログラムにより、IT部門は複数のクラウドを見張るのではなく、すべてのアクティビティを監視できる単一点を持つことになります。
- 可用性の向上: クラウドセキュリティに組み込まれている冗長性により、リソースとアプリケーションは常時稼働し、即時アクセス可能になります。
- 法規制の順守: 伝送時にデータが自動的に暗号化され、保存されているデータへのアクセスが自動的に制御されているので、組織はDOD規制および連邦規則に適合しています。
- 事業継続性: クラウドセキュリティに組み込まれている冗長性により、攻撃者に対してデータとリソースのセキュリティが確保されるだけでなく、悪天候や停電があってもビジネスオペレーションを継続できます。
クラウドセキュリティが克服する必要がある難題
クラウド展開の量が増えてペースが速まるにつれて、クラウドに置かれているリソース全体へのリスクも増大します。企業は、機能に応じて複数の異なるクラウドを同時に利用することがよくあるので、そのようなリスクがさらに増大します。クラウドベースのセキュリティに関する課題のいくつかを以下に示します。
認知
多くのリソースやアクティビティをオフプレミスやクラウドに置くと、IT部門が各アクセスポイントを把握しづらくなります。すべてをオンプレミスに置いている方が、はるかに容易に管理できます。
DDoS攻撃
プロバイダーやサブスクライバーを含め、クラウドに関わるすべての人々が、記録的な数の分散型サービス拒否 (DDOS) 攻撃に対応し、ついていくのに苦慮しています。必要なスピードとアジリティは増大し続け、それに伴う負担は組織とプロバイダーで分担する必要があります。
統合
クラウドサービスに宛てたりクラウドサービスを経由したりする機密情報フローのリスクを軽減するには、クラウドプロバイダーによるオンサイトのデータ損失防止が必須です。ユーザー承認を社内で管理している場合でも、データをクラウドにアップロードする前に、IT部門がデータ分類を手動または自動で実行する必要があります。
内部関係者
意図的か偶発的かにかかわらず、社内ユーザーによって脅威がもたらされることがあります。IT部門は次の3方向のアプローチを取って、このリスクを軽減する必要があります。
- 機密データを管理対象デバイスのみに限定
- 行動分析を使用してアクティビティを監視
- ユーザーへの頻繁なトレーニング
クラウドセキュリティに関してHPEがどのようにお客様を支援しているか
HPEは、脅威を防止および検出し脅威からリカバリするためのペリメターセキュリティにとどまらない、多数の製品・ソリューションを提供しています。業界をリードするHPEは、ファームウェア保護、マルウェア検出、ファームウェアリカバリといったシリコンレベルに至るイノベーションを提供しています。HPEのツールとソリューションを使用すれば、地理的に分散した複数の拠点を管理し、高度な脅威から守ることができます。
Aruba Edge-to-Cloudセキュリティは、組み込みネットワークセキュリティソリューションにより、完全な可視性、制御、適用を提供します。また、アプリケーション分類およびWebコンテンツフィルタリングによる、Policy Enforcement Firewall、Dynamic Segmentation、ディープパケットインスペクション (DPI) も提供し、絶えず変化し続ける脅威の状況への対応を支援します。
ClearPass Device Insightは、システムにアクセスしようとする未確認デバイスや管理対象外デバイスの検出を自動化します。ClearPass Policy Managerは、ユーザーとデバイスの認証、ロールベースのアクセスポリシー、継続的攻撃応答を一元化します。
HPEは、クラウド接続とブロードバンド接続のパフォーマンスとコスト効率を維持するための、クラウドベースのセキュリティ制御も提供しています。これらのツールは、LANとWANの両方を内部および外部の脅威から保護します。
そして、HPEは、お客様がインテリジェントなデータ保護を実現できるように、戦略の定義から設計や統合まで、クラウドセキュリティプログラムの実装のプロセス全体にわたってお客様を支援します。