過去2年間のパンデミックで、組織はリモートワークやハイブリッドワークモデルへの大きな転換を経験しました。これにより、新たなセキュリティ上の課題が生じています。
これらの課題に効果的に対応し、強化されたアクセス制御、より優れたモバイル化、ストレージなどを使用して作業プロセスを整理します。その結果、多くの組織がすでにクラウド コンピューティングを導入しており、他の組織も急いでクラウド コンピューティングを導入しています。
非常に人気のあるクラウドコンピューティングサービスプロバイダーの例としては、AmazonのEC2サービスやGoogleのGoogle App Engineなどが挙げられます。McAfeeの「クラウド導入とリスクに関するレポート:在宅勤務編」によると、2020年には一部の業界におけるクラウドサービスの導入が50%増加し、クラウドベースのコラボレーションツールの利用も600%という驚異的な増加傾向を示しました。
クラウド環境への業務移行時に組織がさらされる脆弱性について、十分に理解されていますか?この記事では、クラウドコンピューティングにおける最も一般的なセキュリティリスクをまとめ、パブリックにホストされているクラウドサービスへのスムーズな移行に必要なセキュリティソリューションをすべて導入することの重要性について解説します。まずは、クラウド環境のセキュリティレベル(そしてセキュリティ不足)を理解する必要があります。
クラウドは安全ですか?
クラウド コンピューティングの一般的な特性により、データのプライバシー、整合性、規制遵守など、特定の領域では特別なセキュリティ上の注意が必要です。
クラウドコンピューティング環境では、サイバー攻撃への対応は組織とクラウドサービスプロバイダーの間で分担されます。したがって、クラウドセキュリティを強化するには、この関係を明確に理解し、適切なクラウドセキュリティツールを使用して組織の分散ネットワークを保護することが不可欠です。
ウェブサーバーとユーザーのウェブブラウザ間で転送されるすべての重要なデータのセキュリティ確保には、常に十分な注意を払う必要があります。SSL証明書を使用してすべての機密データ通信を暗号化することで、ウェブサイトのプロトコルを安全なHTTPSに移行し、セキュリティを強化し、ハッカーや中間者攻撃から保護することができます。簡単に言うと、Secure Socket Layer(SSL)とは、保護された接続間で交換されるデータを暗号化することでハッカーの侵入を防ぐデジタルプロトコルです。費用対効果の高い安価なSSL証明書への投資は、最優先事項です。Comodo Positive SSLやRapidSSLは、プレミアムレベルの暗号化と検証により接続を保護する、手頃な価格のオプションです。
企業にとってクラウドベンダーを選択する際には、リスク管理手順と、予測不可能な脆弱性を予測し、対処するためのベンダーの準備状況を評価することが非常に重要です。それでは、クラウドコンピューティングにおける最も一般的なリスクをいくつか見ていきましょう。
ネットワークインフラストラクチャに対する制御の低下
組織がデータとソフトウェアをクラウドに移行すると、ネットワークセキュリティとシステムの一部がクラウドサービスプロバイダーに移管されるため、ITチームはネットワークセキュリティの制御が失われていると感じるかもしれません。組織の機密データは、クラウドプラットフォーム上の公開されたインフラストラクチャから新たな脅威にさらされるようになり、オンプレミスに特化したネットワークセキュリティツールだけでは制御できなくなっています。
そのため、組織にとって、ネットワーク インフラストラクチャとクラウド ソリューションのセキュリティを継続的に監視することが重要になります。
マルウェアの脅威
組織が機密データの保管にクラウドを広く利用していることで、データ侵害の脅威が増大しています。ハッカーは、古くからある効果的なフィッシング攻撃に加え、複雑な手法と高度なテクノロジーを駆使して、プライベートなTwitterアカウントやYouTube動画など、ほとんど警戒しない情報源からマルウェアを侵入させます。このような進化したマルウェアの脅威はクラウドセキュリティにとって大きな課題であり、組織はクラウドセキュリティレベルを向上させるために、最新のサイバー脅威対策を常に把握しておく必要があります。
安全でないAPI
アプリケーション・プログラミング・インターフェース(API)は、組織が自社のソフトウェアをクラウドアプリケーションと統合するための便利なツールです。APIは、組織が特定の要件に合わせてクラウドサービスのエクスペリエンスを調整するのに役立ちます。しかし、クラウドサービスはパブリックにホストされているため、第三者が簡単にアクセスできてしまいます。マルウェアに感染したり、ハッカーが企業の機密データに直接アクセスしたりする恐れがあります。
コンプライアンス規制
個人データ処理、患者の機密性の高い健康情報の同意なしの利用防止、ユーザーの重要な金融取引情報を扱う企業による安全なプラットフォームの維持など、あらゆるケースにおいて、業界標準への準拠は必須です。規則や規制が整備され、GDPR、HIPAA、PCI DSSなどの標準によって業界標準の遵守が厳格に義務付けられています。
クラウドコンピューティングは、非常に大規模なユーザーアクセスを提供するパブリックプラットフォームです。そのため、データプライバシーに対する深刻な脅威となります。クラウドサービスプロバイダーがネットワーク全体に適切なクラウドセキュリティ対策を講じていない場合、データの使用方法やアクセス者を監視することは非常に困難になります。
そのため、組織はコンプライアンス違反により、深刻な金銭的・法的罰則を科せられる可能性が非常に高くなります。そのため、組織内の重要なデータは認証システムを用いて保護する必要があり、従業員にはデータ共有に伴うリスクについて教育を行う必要があります。Facebookのような企業でも、ユーザーセキュリティに関する無責任な対応によってデータリソースが悪用された事例が発生しています。
データの漏洩または損失
クラウドサーバーに保存されたデータの漏洩や完全消失といったインシデントは、Googleの送電線が落雷に見舞われ、データが完全に消失した事例のように、組織にとってまさに悪夢となる可能性があります。組織は既に、クラウドプラットフォームに保存されている機密データの保護に苦慮しています。
クラウドのセキュリティはもはやITチームの手に委ねられておらず、マルウェア攻撃、データ侵害、クラウドサービスプロバイダーが直面する損失といった脅威にさらされています。Bitglassの2020年クラウドセキュリティレポート(出典:https://pages.bitglass.com/CD-FY20Q4-Bitglass2020CloudSecurityReport_LP.html)によると、回答者の66%がデータ漏洩をクラウドコンピューティングの最大のリスクと見なしています。さらに、従業員によるBYOCデバイスの使用は、クラウドアカウントに保存されている企業の重要データにとって新たな大きな脅威となり、ハッカーの手に渡るリスクとなっています。
組織は、データの損失や漏洩による損害を防ぎ、最小限に抑えるために、保存されたデータの暗号化、アクセス制御のための多要素認証の使用、復旧計画の実施などのセキュリティ対策を講じる必要があります。
顧客契約違反
多くの企業は、厳格なデータアクセスおよび利用制限契約の下で運営されています。クラウドサービスを利用すると、組織はデータ機密保持契約違反を理由に、顧客やビジネスパートナーから法的措置を受けるリスクにしばしば直面します。クラウドサービスは、サービスデータを第三者と共有する権利を行使します。この契約違反につながるもう一つのよくある要因は、従業員が顧客の機密データやセンシティブデータを自身のクラウドアカウントに移行することです。
結論
組織がクラウドコンピューティングの導入を本格化するにつれ、前述の通り、クラウドコンピューティングに伴うあらゆるリスクを認識し、サイバー攻撃を未然に防ぐための適切な対策を講じることが重要になります。組織にとって安全で安心なクラウドセキュリティ基盤を構築し、新たな成功の高みへと導きましょう。
この記事はAppleWorld.Todayの許可を得て掲載しています。
