クラウドのセキュリティ–利用企業側での対策とプロバイダーの能力の判定

今回は「クラウドのセキュリティ–利用企業側での対策とプロバイダーの能力の判定」についてご紹介します。

関連ワード （クラウドをセキュアに、特集・解説等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　アプリケーションとインフラストラクチャーをクラウドコンピューティングサービスに移せば、負担を軽減できる面もあるが、自社のデータを安全に保つ責任を完全に放棄できるわけではないということを、多くの企業が認識しつつある。

　クラウドセキュリティはセキュリティ市場で最も成長著しい分野であり、米国における支出は2020年の5億9500万ドルから2021年の8億4100万ドルへと急増した。その主な要因は、思っていたより複雑だということに企業が気づきつつあることだ。

　多くの企業は、複数のクラウドサービスとクラウドプロバイダーを利用している。このハイブリッドアプローチでは、きめ細かいセキュリティオプションをサポートすることができ、極めて重要なデータは近くに（おそらくプライベートクラウド内に）保管し、機密性が比較的低いアプリケーションはパブリッククラウドで実行することで、巨大テクノロジー企業の規模の経済を活用することができる。だが、ハイブリッドモデルによって新たな複雑化も起きており、セキュリティモデルがプロバイダーごとに若干異なっていて、クラウド利用企業はそれを理解して管理する必要がある。

　これには時間と（多くの場合、分かりにくい）専門知識が必要だ。しかし、セキュリティインシデントの原因で上位を占めているのはサービスの設定ミスであり、他にも粗末なパスワードやIDの管理など、さらに初歩的な失敗がある。企業がそうした作業の多くを自動化するツールを評価しているのは当然のことだ。

　そのため、クラウドセキュリティポスチャー管理（CSPM）ツールなどの新しいテクノロジーへの関心が高まっている。これらのツールにより、セキュリティチームはクラウドの設定ミスやコンプライアンスに関する潜在的なセキュリティ問題を特定して修正し、利用中のクラウドサービス全体で同じルールが適用されていることを把握できる。もう1つの成長分野はクラウド・アクセス・セキュリティ・ブローカー（CASB）で、これも企業のセキュリティポリシーを自社で利用中のサービス全体にわたって確実に適用することを目的としている。業界の調査によると、クラウドユーザーが関心を持っている他のセキュリティテクノロジーには、ゼロトラスト、人工知能、機械学習などがあるという。ただし、クラウドセキュリティの向上が見込まれるテクノロジーの多くは、まだ初期の段階だ。

　クラウドは本質的に安全性が低いと言いたいわけではない。むしろ、クラウドベンダーは、ほとんどの顧客には手の届かないスキルや機能に投資できる規模を有しているため、クラウドサービスとクラウドアプリケーションは、テクノロジーがコアコンピタンスではない企業によってホストされている製品よりも安全である可能性が高い。

　しかし、技術革新に注目するだけでなく、クラウドサービスプロバイダーが提供するサービスと理解の水準を精査することも重要だ。英国家サイバーセキュリティセンター（NCSC）は、クラウドコンピューティングセキュリティに関する一連の優れた一般原則を公開している。検討に値するこの原則は、サプライヤーのセキュリティポスチャーを判定する際に役立つだろう。合計14の原則には、次のようなものがある。

　適切なセキュリティポスチャーの確立には困難が伴う。高度な技術を持つハッカー集団について懸念している企業もあれば、スタッフに「1234」というパスワードの使用を止めさせることに苦労している企業もある。セキュリティの基本を押さえて、市場がどこに向かっているかを理解し、セキュリティに関する厳しい質問をクラウドプロバイダーにぶつけるのが、正しい道筋だ。