DoiT Launches PerfectScale™ for Commitments, Bringing Autonomous Rate Optimization to Every Cloud
Cloud Intelligence™Cloud Intelligence™

Cloud Intelligence™

クラウドセキュリティで実現する、リスクと機会のバランス

By DoiTJan 25, 20227 min read

このページはEnglishDeutschEspañolFrançaisItalianoPortuguêsでもご覧いただけます。

クラウドセキュリティへの過度な警戒が、いまや逆方向に振れすぎているようです。より賢明なアプローチをご紹介します。

クラウドセキュリティへの過剰な不安は、無駄な支出や機会損失といった大きなコストを生みかねません。一方で、クラウドのリスクを甘く見るのも禁物です。本記事では、クラウドセキュリティにバランスの取れたアプローチが欠かせない理由を説明し、ビジネスチャンスを犠牲にせずにリスクを最小化する方法を解説します。

過度な慎重姿勢から、無謀ともいえる姿勢への転換

21世紀最初の10年に主要プロバイダーがパブリッククラウドのサービスを開始した当初、企業はクラウドの可能性を試しはするものの、本格導入には踏み切らず、周辺領域での実験にとどめていました。しかし、デジタル機能を導入せよという圧力が高まるにつれ、クラウドベースのインフラは不可欠なものとなり、パンデミックの到来でその流れはさらに加速しました。各組織はIT戦略を見直し、アプリケーションやデータをより多くパブリッククラウドのインフラやプラットフォームへ移行していきました。

パブリッククラウドの活用には、多くの企業が長年積み上げてきた従来型のサイバーセキュリティモデルからの脱却が求められます。既存の仕組みは、クラウド上で安全な構成を担保するようには設計されておらず、クラウドが約束する俊敏性とスピードを引き出せるほどの速さでも動きません。つまり、クラウドから価値を引き出したい企業は、クラウドのworkloadsを守るために、これまで馴染みのなかったセキュリティアーキテクチャやプロセスに取り組まなければならないのです。

適切なセキュリティ体制さえ整えば、クラウド移行は組織のビジネス価値創出を加速させます。ただし、クラウドならではのスピードと俊敏性を活かしつつ、重要データを確実に守るセキュリティ運用を徹底することが前提です。

クラウド導入の初期段階では、企業はリスクを過大評価しがちでした。クラウドのセキュリティ侵害が世間の注目を集め、一部のCIOは業務でのクラウド利用を制限していました。しかし、デジタルトランスフォーメーションが急務となるなかで、クラウドプラットフォームなしに変化するビジネスや市場の動きに対応することは難しく、ためらいは商機の前に押し切られていきました。

workloadsをクラウドへ移す動きが加速する一方で、セキュリティ侵害は依然として大きな課題です。実際、2021年版Verizonデータ漏洩/侵害調査報告書(DBIR)によれば、サイバーセキュリティインシデントの73%にクラウドインフラが関係しています。ただし、この数字から受ける印象とは異なり、オンプレミスのアーキテクチャがクラウドより安全とは言えません。

問題の特定

クラウドにおける侵害の大半は、クラウドインフラ自体を脅かす攻撃ではなく、設定ミスに起因します。この事実は、クラウドサービスプロバイダーと顧客の間にある責任共有モデルの重要性を改めて浮き彫りにします。プロバイダーは提供するクラウドサービスの基盤となるコンポーネントの保護を担い、顧客はそのクラウドサービスをどう使うかについて責任を負います。顧客側の責任には、ID・アクセス管理(IAM)、ストレージとコンピュートの設定、脅威分析と防御の適切な構成、そしてクラウド上で扱うアプリケーションやデータの保護が含まれます。

クラウドプロバイダーやクラウドセキュリティソリューションが成熟し、クラウドインフラのセキュリティが強化されるほど、クラウド侵害の責任は利用者側と、その取り組み方へとシフトしていきます。これまでとは大きく異なるアウトソーシング体制に慣れてきた組織は、新しい責任分担を理解し、社内プロセスを見直す必要があります。

セキュリティのギャップ

世界的なパンデミックによって急加速したクラウドへの移行は、セキュリティ管理の弱点をあらわにしました。一刻も早くクラウドへ移行するという至上命題が、移行に伴うリスクの検討よりも優先されたためです。その結果、多くのクラウド移行・開発プロジェクトでは、デプロイ前にセキュリティ依存関係への配慮が十分でなく、後から問題を修正せざるを得ない状況が生まれました。

開発と移行に関わるチーム間で連携が取れず、選定するセキュリティソリューションにも一貫性がありませんでした。各チームは中央のガバナンスグループに相談したり、互いに調整したりすることなく、それぞれ好みのソリューションを選んでいたのです。

こうした脆弱性は、サイバー犯罪者が虎視眈々と狙うところであり、深刻な被害につながりかねません。今後数年は、より大規模で被害の大きいデータ侵害が増えると見られます。2022年版Experianデータ侵害業界予測によれば、大企業は依然としてサイバー犯罪者の攻撃に対して脆弱で、機密データの多くが社内環境に残されたままです。組織には十分な備えが求められます。

リスク回避とリスク許容のスイートスポット

データ侵害は売上、業務効率、そして評判を一瞬で吹き飛ばしかねません。とはいえ、それを防ぐためにクラウド施策の足を引っ張るのは本末転倒です。過度な慎重さは機会損失と無駄な支出を招きます。クラウドにおける根拠の薄いセキュリティ脅威に頭を悩ませるのではなく、自社がクラウドを安全に使えているかどうかに目を向けるべきです。なぜなら、これまでのセキュリティ運用やアーキテクチャの多くは、クラウドでは同じようには機能しないからです。たとえば、IPアドレスを追跡するオンプレミス型ソリューションをはじめとする従来型ツールは、寿命がわずか数分・数秒のコンテナにはまったく役に立ちません。

先回りした体系的なリスク管理を組み込んだ、しっかり練られたクラウド戦略があれば、組織はクラウド利用について的確に判断し、成長機会を逃すことなくリスクをコントロールできます。

機会を安全に追求するための打ち手

クラウドリスクを正しく測り、適切にマネジメントすることは、今後も多くの組織にとって長く続く課題でしょう。クラウドのメリットを損なわずにセキュリティを強化するには、発想の転換が欠かせません。クラウドそのものの安全性を心配するのではなく、自社がクラウドを安全に使えているかに焦点を移すのです。

トップダウンで組織的なサポートを取り付ける

クラウドセキュリティを成功させる第一歩は、経営層の後押しと支援です。戦略は経営層が主導し、組織管理、財務、データアーキテクチャ、製品開発、IT、セキュリティ、QAなど、幅広い部門の意見を取り入れて練り上げるべきです。クラウドコンピューティングがビジネスにとって重要であるという認識を全員が共有し、適切なポリシーと運用計画のもとに足並みをそろえることが不可欠です。

クラウド戦略について経営層の方針が示されていれば、組織は要件分析、アーキテクチャ設計、柔軟なリスク受容プロセスにおいて、事業部門とITをより力強く支援できます。CIOは、パブリッククラウドに置くデータの性質や利用シーンも含めて、活用方針を明確に示せるようになります。

サイロ化は避け、開発者にはセキュリティ専門家との緊密な連携を促す必要があります。これにより、開発者はクラウドで安全に開発する方法を学び、セキュリティ専門家は推奨する対策が確実に実装されていることを確認できます。こうした密な連携を早い段階で築くことで、組織は安心できる土台からクラウドジャーニーをスタートでき、製品を迅速かつ安全に届ける基盤が整います。

堅実なリスク管理の実践を組み立てる

パブリッククラウドサービスの利用にはつねにリスクが伴うものであり、それを軽視するのは無謀です。事業部門とITは、自社が許容できるリスク水準を見極めるために、率直に話し合う必要があります。論点となるのは、データ侵害が起きた場合の影響の大きさ、その発生確率、そして復旧に要するコストです。

あわせて、選定したクラウドプロバイダーが自社のリスク許容度にどこまで応えられるかも検討すべきです。プロバイダーのサービス障害やデータ侵害の履歴、データの管理・保護に関する方針、そしてセキュリティへの取り組みが自社の規制・法的義務とどれだけ整合するかを踏まえて見極めます。

クラウドを掌握し続ける

2025年末までに、パブリッククラウド利用を統制できていない組織の90%が、機密データを不適切に共有することになると予測されています。これは見過ごせない数字であり、クラウド利用の実態を把握し続けることの難しさを示しています。多くの組織は、把握しきれないパブリッククラウド利用が積み重なることで、不要なリスクを抱え込んでいます。これを回避するのがDoiT Cloud Intelligence™です。パブリッククラウド環境を着実に管理するために必要なクラウドガバナンスツールを提供します。

クラウドセキュリティのトラブルの大半は顧客側のミスに起因するため、組織はセキュリティポリシーを厳格に運用し、得られた教訓を反映して更新し、最新の認証・コンプライアンス基準を維持する必要があります。クラウドの資産やサービスがどこにあるかだけでなく、その状態まで把握しておくことが重要です。構成チェックやセキュリティチェックには自動化を活用し、開発者にはAPI経由で高度に自動化されたセキュリティサービスを使えるようにすることで、最大限の効率を実現できます。

バランスの取りどころ

パブリッククラウドサービスのセキュリティを案じるのは当然ですが、リスクを過大に見積もれば、せっかくの機会を逃しかねません。一方で、逆に振れすぎてリスクを過小評価すれば、さらに大きな危険を招く恐れもあります。

しっかり調査したうえで策定したリスク管理戦略は、あらゆる組織のクラウド戦略に欠かせない要素です。パブリッククラウドの活用が理にかなう領域を見極め、関連リスクを抑えるための具体策を明らかにするうえで役立ちます。

自社のクラウドセキュリティの姿勢に不安があるなら、DoiTのような信頼できるパートナーがクラウドセキュリティレビューを実施し、安全で収益性の高いクラウドジャーニーを実現するための提言を提供します。