クラウドセキュリティの解明

クラウドベースのITシステムは、現代のほぼすべての業界で重要な機能を果たしています。企業、非営利団体、政府、さらには教育機関でさえも、クラウドを使用して市場範囲の拡大、業績の分析、人的資源の管理、および改善されたサービスの提供を行っています。当然のことですが、効果的なクラウドセキュリティガバナンスは、分散ITの利点を享受したい企業にとって不可欠です。

すべてのITドメインと同様に、クラウドコンピューティングにも固有のセキュリティ上の問題があります。データをクラウド内で安全に保つというまさにそのアイデアは長い間不可能な矛盾と考えられてきましたが、広範な業界慣行は効果的なクラウドセキュリティを提供する多数の技術を明らかにしています。 Amazon AWSのような商用クラウドプロバイダがFedRAMPコンプライアンスを維持することによって実証したように、効果的なクラウドセキュリティは現実世界で達成可能で実用的です。

$config[code] not found

影響の大きいセキュリティロードマップを作成する

しっかりした計画なしにはITセキュリティプロジェクトは機能しません。クラウドを含むプラクティスは、保護しようとしているドメインと実装によって異なる必要があります。

たとえば、地方自治体機関が持ち込み用の装置、またはBYODポリシーを導入したとします。従業員が自分の個人用スマートフォン、ラップトップ、およびタブレットを使用して組織のネットワークにアクセスすることを単に禁止した場合とは異なる監視制御を実施する必要があるかもしれません。同様に、データをクラウドに保存して許可されたユーザーがアクセスしやすいようにしたい企業は、アクセスを監視するために、独自のデータベースと物理サーバーを維持している場合とは異なる手順をとる必要があります。

一部の人が示唆しているように、これはクラウドを安全に保つことがプライベートLANでセキュリティを維持することよりも可能性が低いと言うことではありません。さまざまなクラウドセキュリティ対策の有効性は、それらが特定の実証済みの方法論にどの程度準拠しているかによって異なることが経験からわかっています。政府のデータと資産を使用するクラウド製品とサービスの場合、これらのベストプラクティスは、連邦政府のリスク管理および承認管理プログラム（FedRAMP）の一部として定義されています。

連邦リスクと認可管理プログラムとは何ですか？

Federal Risk and Authorization Management Programは、連邦機関がクラウドコンピューティングサービスおよび製品の有効性を判断するために採用する正式なプロセスです。その中心にあるのは、米国標準技術局（NIST）がさまざまな特別刊行物（SP）および連邦情報処理規格（FIPS）の文書で定義している規格です。これらの標準は、効果的なクラウドベースの保護に焦点を当てています。

このプログラムは、多くの一般的なクラウドセキュリティタスクに関するガイドラインを提供します。これには、インシデントの適切な処理、違反を調査するためのフォレンジック手法の使用、リソースの可用性を維持するための偶発事象の計画、およびリスクの管理が含まれます。このプログラムには、クラウドの実装をケースバイケースで評価するサードパーティ認定機関（3PAO）の認定プロトコルも含まれています。 3PAO認定のコンプライアンスを維持することは、ITインテグレーターまたはプロバイダーがクラウド内で情報を安全に保つために準備されていることの確実な兆候です。

効果的なセキュリティ対策

では、企業はどのようにしてデータを商用クラウドプロバイダと安全に保っているのでしょうか。無数の重要なテクニックがありますが、ここで言及するに値するものがいくつかあります。

プロバイダ検証

強い仕事上の関係は信頼の上に築かれていますが、その誠意はどこかで生まれなければなりません。クラウドプロバイダーがどれほど定評のあるものであっても、ユーザーがコンプライアンスとガバナンスの慣行を認証することが重要です。

政府のITセキュリティ標準には通常、監査およびスコアリング戦略が組み込まれています。クラウドプロバイダの過去の実績を確認することは、それらが将来のビジネスにふさわしいかどうかを発見するための良い方法です。.govおよび.milの電子メールアドレスを保持している個人も、さまざまなプロバイダに関連付けられているFedRAMPセキュリティパッケージにアクセスして、彼らのコンプライアンス要求を裏付けることができます。

積極的な役割を引き受ける

Amazon AWSやMicrosoft Azureなどのサービスは確立された標準への準拠を主張していますが、包括的なクラウドの安全性は複数の関係者にとって必要です。購入したクラウドサービスパッケージによっては、プロバイダによる特定の主要機能の実装を指示するか、特定のセキュリティ手順に従う必要があることをそれらに通知する必要があります。

たとえば、あなたが医療機器製造業者である場合、健康保険の携帯性および説明責任に関する法律（HIPAA）などの法律では、消費者の健康データを保護するために追加の措置を講じることが義務付けられている場合があります。これらの要件は、多くの場合、プロバイダが連邦リスクおよび承認管理プログラムの認定を維持するために行うべきこととは無関係に存在します。

最低でも、組織のクラウドシステムとのやり取りをカバーするセキュリティプラクティスを維持する責任は、あなただけにあります。たとえば、あなたはあなたのスタッフとクライアントのために安全なパスワード方針を制定する必要があります。あなたの端にボールを落とすことは最も効果的なクラウドセキュリティ実装さえ妥協することができるので、今責任を引き受けてください。

クラウドサービスであなたがすることは、最終的にはそれらのセキュリティ機能の有効性に影響を与えます。あなたの従業員は、便宜上、SkypeやGmailを介して文書を共有するなどのシャドウITプラクティスに従事するかもしれませんが、これらの一見無害な行為はあなたの慎重に置かれたクラウド保護計画を妨げるかもしれません。認定サービスを適切に使用する方法をスタッフにトレーニングするだけでなく、非公式のデータフローに関連する落とし穴を回避する方法を教える必要があります。

リスクを管理するためのクラウドサービスの利用規約を理解する

クラウド上でデータをホスティングしても、必ずしもセルフストレージに本来備わっているのと同じ許可が与えられるわけではありません。一部のプロバイダは、広告を配信したり、自社製品の使用状況を分析したりできるように、コンテンツを巡回する権利を保持しています。技術サポートを提供する過程で、他の人があなたの情報にアクセスする必要があるかもしれません。

場合によっては、データ漏洩が大きな問題になることはありません。ただし、個人を特定できる消費者情報や支払いデータを扱う場合は、第三者によるアクセスがどのように災害を引き起こす可能性があるのかが簡単にわかります。

リモートシステムまたはデータベースへのすべてのアクセスを完全に禁止することは不可能かもしれません。それでも、監査記録とシステムアクセスログを公開するプロバイダと協力することで、データが安全に維持されているかどうかを知ることができます。このような知識は、発生したあらゆる違反による悪影響を企業が軽減するのを支援するのに大いに役立ちます。

セキュリティが1回限りの問題であるとは決して思わないでください

ほとんどの賢い人は、定期的に自分のパスワードを変更します。クラウドベースのITセキュリティについても同様に注意を払う必要がありますか。

プロバイダのコンプライアンス戦略が自己監査の実施を決定付ける頻度にかかわらず、日常的な評価のために独自の標準セットを定義または採用する必要があります。コンプライアンス要件にも縛られているのであれば、クラウドプロバイダが一貫してそれを怠ったとしても、あなたがあなたの義務を確実に果たすことができるような厳格な計画を制定することをお勧めします。