パブリッククラウドのDNAにセキュリティを組み込む

パブリッククラウドにおける資産の保護

クラウドは組織の主要なデータ保管場所となっています。大半の組織は既にアプリケーションをクラウドプラットフォームに移行しており、現在オンプレミスでデータを管理している企業の多くもクラウドへの移行を近い将来に計画しています。また、クラウドへの移行と並行して、あらゆる部門で、次世代のアプリケーションや高度なアナリティクスを活用するためのデータプラットフォームの近代化が進んでいます。クラウドの利点の多くは、APIやネイティブサービスによる自動化によってもたらされます。これによって、コストとパフォーマンスを最適化しながら、より短期間で、より多くの機能変更や新機能のリリースを実現します。しかし、自動化やそれに伴う頻繁な機能変更が行われる環境においては、セキュリティとコンプライアンスはさらに重要となっています。

従来、セキュリティはビジネスとITの進展や目標達成の阻害要因となってしまうことがありました。自動化の活用によって、ビジネス機能とIT機能が、より早く、より頻繁に機能変更と新しいソリューションを展開できる一方で、セキュリティは相変わらず従来の方法でチェックやコントロールを実施しているケースが多く見られます。クラウドネイティブサービスやクラウドプラットフォームの導入が進む中、この従来型のセキュリティを確保する方法はますます非効率的になりつつあります。このような望ましくないシナリオを2つ紹介します。

1つ目は、セキュリティに関する懸念を脇に置いて、テクノロジーとビジネス機能を優先し、より迅速な導入とビジネス機能の自動化の拡大を優先することです。これによってフルスピードで推進することが可能になる反面、セキュリティとコンプライアンスの効果的な管理が欠如しているため、結果としてインパクトの大きいインシデント発生につながるリスクがあります。

2つ目は、規制の強い業界ではセキュリティとコンプライアンスを遵守することを優先し、適切なセキュリティチェックを実施することを重視するアプローチを取ることによって、クラウドの提供する新しい機能の導入スピードを遅らせる可能性があります。これではセキュリティは確保できても、クラウドの利点をフル活用するというビジネス上の目標を達成できず、競争力を損なうことになりかねません。自社の全体的なクラウド戦略と整合した、明確なクラウドリスク管理戦略を持つ組織は、ビジネス、テクノロジー、セキュリティの各機能の目標を整合させるための重要な基盤を持っています。ビジネスプロセスやテクノロジープロセスと同様に、セキュリティを自動化することは、従来のセキュリティアプローチの弊害を取り除く方法の1つです。また、クラウドのアセットを単体で運用するのではなく、クラウドとクラウドセキュリティを統合管理するアプローチを採用することも、セキュリティをエンドツーエンドで首尾よく統合するためには不可欠です。さらに、クラウド技術に精通し、サービスプロバイダーが定期的に導入する機能変更や新サービスに対応できる人材を確保することも、パブリッククラウドにおいて組織が適切かつ安全に統合と成長するために欠かせません。私たちは、クラウドに移行する組織は、最初の段階から統合的なアプローチを意識して活動を推進することが必要だと考えています。

このようなアプローチによって、クラウドベンダーの選定時に行うベースライン分析やセキュリティ要件の評価から、クラウドベンダーとの責任共有モデルの決定、インフラ内のセキュリティガードレールの設定、DevSecOpsプロセスの管理まで、移行のあらゆる段階において、組織がクラウドのDNAにセキュリティを組み込むことが可能になります。

本レポートでは、パブリッククラウドの導入に伴うセキュリティ上の考慮事項や、クラウドへの移行において組織をリードする際に、セキュリティバイデザインを確保するためのステップに関する知見を提供します。

〈本冊子の構成〉

• パブリッククラウドにおける資産の保護
• パブリッククラウドの導入に伴うサイバーセキュリティリスクへの対応
• クラウドのリスク管理戦略の策定
• クラウド環境における強力なコントロールの導入
• 組織のサイバーセキュリティ業務のクラウドへの拡大
• クラウド技術を活用したセキュリティコントロールの自動化
• クラウドの適切なスキルセットの確保
• 将来に向けて
• 執筆者および貢献者
• 問い合わせ先