クラウドセキュリティアドバイザリーサービス

クラウド活用の社会的背景と脅威・課題

3Cからみたクラウド活用のメリットと”クラウド・バイ・デフォルト”への動き

クラウド活用を3つのC（Customer, Competitor, Company）の観点から見た場合、社会的要請への適応、スモールスタートの実現、コンパクトで効率的なITシステムの展開など、様々なメリットがあります。

それらのメリットを享受するため、多くの企業ではクラウドの活用が”クラウド・ファースト”から”クラウド・バイ・デフォルト”に進んでいます。

クラウド利用における重大セキュリティ脅威

クラウドの活用が進む中で、関連する脅威もまた存在しています。2022年6月にクラウドセキュリティアライアンス（以下、CSA）が発表した「Top Threats to Cloud Computing Pandemic Eleven」では、クラウド利用にまつわる重大なセキュリティ脅威として、”不十分なアイデンティティ、クレデンシャルおよびアクセスと鍵の管理、ならびに特権アカウント”、”セキュアでないインターフェースやAPI”、”設定ミスと不適切な変更管理”などの11の脅威が挙げられています。

設定ミスについては、(ISC)²（International Information Systems Security Certification Consortium） が公表するCloud Security Reportにおいても、“クラウド基盤の設定ミス”という項目として、2020年、2021年、2022年と3年連続で最も重大な脅威として報告されています。

クラウドには“誰でも手軽に使い出しやすい”という特性がありますが、一方で従来のIT環境と比較した場合に、統制対象となる境界や要素が拡大し、全体最適化の視点での対応やアタックサーフェス増加への対応といった新たなリスク課題が発生します。

クラウドセキュリティ責任共有モデルとリスク対策

クラウド利用における脅威に対応して安全にクラウドを活用するためには、利用するクラウドサービスの種類に応じたクラウドセキュリティ責任共有モデルを理解し、CSP（クラウドサービスプロバイダー）に対して求める要件や充足度合いを確認すると同時に、利用者（ユーザ企業）の責任範囲におけるリスク対策を実施することが重要です。

セキュリティインシデントが発生した場合、その一義的な説明責任は利用者（ユーザ企業）として免れないため、CSPとの間での「責任共有」を踏まえた対応が必要となります。

例えば、CSAが公表した「Top Threats to Cloud Computing Pandemic Eleven」に対して責任の分界点の考え方を割り当てた場合、基本的に11の脅威すべてに関して利用者（ユーザ企業）に対して責任が発生する可能性があるとされています。そのため、利用者はそれら脅威に対しての対応・準備が必要とされます。

クラウドサービス利用時の一般的な課題

クラウドサービス利用時の一般的な課題としては、セキュリティ設定の不備、脆弱な認証とアクセス管理以外にも、規制遵守・法律・プライバシーに関する要件の未遵守、ログ取得と監視の不備など、様々な課題が存在します。それらの多くの課題に対して、明確な戦略と戦術を適用することが重要です。

デロイト トーマツが提供するクラウドセキュリティアドバイザリーサービス

クラウドセキュリティサービスにおけるデロイト トーマツのミッション

クラウドへの期待は年々高まっており、それに伴って課題も増加し続けています。そのような潮流の中で新たにクラウドを利用したいクライアントや現在のクラウド利用に課題を感じているクライアントに対して、当社のクラウドとセキュリティ、ガバナンスに関する専門性を活かして、組織の成長に貢献することが我々のミッションです。

Deloitte Cloud Risk Control Frameworkを活用したアドバイザリーサービスの提供

デロイト トーマツが提供するクラウドセキュリティアドバイザリーサービスでは、業界標準のセキュリティ基準や、デロイト グローバルで有する知見を統合して作成したDeloitte Cloud Risk Control Frameworkをベースに、クラウドセキュリティ成熟度評価、クラウドセキュリティ規程・ルール整備、クラウドセキュリティソリューション選定・導入支援など、クライアントのビジネスにフィットしたサービスを通じて、価値を提供します。

クラウドセキュリティアドバイザリーサービスメニュー

クラウドセキュリティ戦略サービス

ゼロトラスト移行戦略策定支援
既存プラットフォームからのクラウド環境への移行について、一般事例やベストプラクティスからクライアントに本当に必要なゼロトラスト環境への移行戦略の策定を支援します。

クラウドガバナンス・マネジメントサービス

クラウドセキュリティ成熟度評価
網羅的かつクラウドに関する主要なグローバルスタンダードなどを取り込んだデロイトのフレームワークを用いて、組織のクラウド上のセキュリティ管理態勢を評価し、改善に向けた提言を行います。

クラウドセキュリティ規程・ルール整備支援
クラウド利用の運用性の向上やセキュリティの高度化等の観点から、組織のクラウド利用に係るルール整備や規程・チェックリストの策定を支援します。

グローバルクラウド規制対応プログラム策定
クラウドのグローバル展開など、組織のビジネス戦略に応じて、対応することが望ましい法令や規格、市場価値を向上させる基準や認証を調査し、それらに対応するためのプログラムの整備・準拠活動を支援します。

クラウドデータプライバシー対応支援
ビジネスにおいて遵守が必須となる法令や規格、および利用しているクラウド環境のベストプラクティスをベースにアセスメントを実施し、クラウドサービスにおけるデータプライバシーの要件整備とマネジメントを支援します。

ゼロトラスト統合運営・運用態勢整備 / Integrated Cyber IT-Operation
組織のサイバーセキュリティ運用体制について、インタビューベースのアセスメントを実施し、ゼロトラスト x ITSM x サイバー経営コンセプトでの運用改善・改革の検討を支援します。

クラウドシステム開発・テクノロジーサービス

クラウドセキュリティソリューション選定・導入支援
主にゼロトラスト環境の実現に向けたソリューションアーキテクチャ検討を支援し、組織の取り組むべき課題を解決するのに最適なクラウドセキュリティソリューションを、評価レポートなどの作成を通じて選定します。