Connect with us

ソートリーダー

クラウドセキュリティに悩んでいますか?共有責任モデルが役立つ理由

mm
Published
Updated

事業運営の要素をクラウドに移行することは、企業にとって大きな前進となる可能性があります。これにより、アプリケーションやサービスを迅速にスケールさせながら、変化する市場の需要に対応して組織を俊敏に保つことができます。

しかし、クラウド導入の拡大は、データセキュリティの管理責任が誰にあるのかについて、ある程度の混乱をもたらすこともあります。残念ながら、多くの企業は、顧客データが自らの手を離れた場合、その保護の有無について責任を負わないと想定しています。しかし、これは危険な思い込みです。

共有責任モデル(SRM)は、デジタル環境全体におけるセキュリティ責任のより明確な線引きを、企業とそのクラウドプロバイダーが行うために導入されました。以下では、このモデルがどのように構築されているか、そしてそれがどのようにビジネスのセキュリティ態勢を強化するのに役立つかを、より明確に説明します。

共有責任モデル(SRM)とは?

企業が事業運営の一部または全部をクラウドに移行することを決める理由は多くあります。サーバーやデータベース、その他のインフラストラクチャ要素を手動で設定する必要がないことは、企業の間接費を削減し、内部チームの負担を軽減するのに役立ちます。しかし、企業はこのインフラストラクチャの「管理」を委託することは、そこに保存されたデータの背後にある「責任」も委託することを意味しないことを忘れてしまうことがあります。

SRMは、クラウドサービスプロバイダー(CSP)とそれと提携する企業との間の責任を分離します。これは基本的に、セキュリティのどの側面が各当事者に属するか、およびセキュリティ対策が関係の各側でどのように管理および実装されるべきかを概説します。

「クラウドの」と「クラウド内の」の理解

SRMは、「クラウドの(OF the Cloud)」と「クラウド内の(IN the Cloud)」という2つの重要な用語に関する規定を中心に構築されています。

クラウドの要件について話すとき、それはCSPが所有権を負うものについて話しています。この場合、CSPをアパートの大家と考えることができます。彼らは建物全体のセキュリティに責任を負い、さまざまな安全ガードレール、安全なゲートと入場プロトコル、配管や電気システムなどの重要なユーティリティが適切に機能することを保証します。

クラウド環境では、これはすべてのネットワーク機器のインストールとメンテナンス、および環境を円滑に稼働させ続けるための基盤となるサービスのニーズへの対応を意味します。

クラウド顧客として、あなたはクラウド内の要素に責任を負います。例えば、あなたが建物のテナントで、誤ってドアの鍵をかけ忘れ、誰かに個人の持ち物を盗まれた場合、大家は必ずしも責任を負いません。

情報をクラウドに保存している場合、それを安全に保つことには常にある程度の責任があります。これは必ずしもすべての責任があなたにあるという意味ではありませんが、アイデンティティとアクセス管理(IAM)、アプリケーションセキュリティ、ネットワークの強化などの事項については依然として責任を負います。

責任のスライディングスケール

ほとんどのクラウド環境とCSPとの関係の動的な性質により、SRMはスライディングスケールで動作し、責任は確立されている作業関係のタイプに基づいてある程度シフトします。以下は、3つの一般的なクラウドモデルとそれらが互いにどのように異なるかです:

  • Infrastructure as a Service (IaaS): このモデルでは、CSPが特定の基盤となるクラウドコンポーネントのセキュリティ確保に責任を負います。これには物理的なデータセンター、サーバー、ストレージハードウェア、仮想化レイヤーが含まれます。クラウド顧客はそれより上のすべてに責任を負い、ゲストオペレーティングシステム(OS)のセキュリティ確保、すべてのミドルウェアとランタイムの管理、アプリケーションコードとそこに含まれるデータの保護が含まれます。
  • Platform as a Service (PaaS): このモデルでは、より多くの責任がCSPに拡張され、CSPはオペレーティングシステム、データベースシステム、またはランタイム環境の管理を引き継ぎます。また、プラットフォーム自体のメンテナンスも行います。企業にとって、これはインフラストラクチャ管理の負担を大幅に軽減しながら、アプリケーションの管理とセキュリティ確保により特化して集中することを可能にします。
  • Software as a Service (SaaS): このモデルは、クラウドユーザーにとって最も手を離した形式であり、インフラストラクチャの全責任をCSPに委ねます。しかし、これはセキュリティ責任が完全に移行することを意味しません。クラウドユーザーは依然として、管理者レベルでのユーザーアクセス、権限、セキュリティ設定の管理に責任を負います。

SRMを理解することが重要な理由

曖昧さの排除

多くの組織は、クラウドセキュリティに対する最大の脅威はサイバー攻撃者であると心配していますが、クラウド関係における誤解やコミュニケーション不足も懸念事項です。

CSPとその顧客が、特定のセキュリティタスクを相手方が処理していると誤って想定すると、顧客データに対する重大な脆弱性につながる可能性があります。SRMの理解はこの曖昧さを排除し、サービスレベル契約(SLA)を策定し、相互の要件を履行する際に、双方により透明性をもたらすのに役立ちます。

過剰な委任の罠を避ける

クラウド環境に慣れていない多くの企業は、クラウドにおける責任の仕組みを誤解しています。「サービス」に対して料金を支払っているため、CSPが企業に代わってすべてを処理すると想定されることがよくあります。

しかし、クラウドセキュリティに関しては、特にCSPが設定した管理上のセキュリティ制御に関して、過剰な委任の罠に陥ることは避けたいものです。SRMはこれらの責任を適切な視点で保ち、企業がデータ保護ポリシーの実施に積極的に関与し続けるのに役立ちます。

コンプライアンスギャップの埋め込み

セキュリティコンプライアンス基準の理解は、クラウド環境に入る企業にとって時として不明確になることがあります。すべてのCSPは特定のコンプライアンスフレームワークに従う際に責任を負いますが、クラウドユーザーもこの分野で責任を負います。

SRMは、インフラストラクチャ管理に関するCSPの責任を概説すると同時に、特に顧客データの保存とアクセスに関して、アプリケーションとサービスがどのように構築され実行されるかについてクラウドユーザーに責任を負わせます。

共有責任モデルがセキュリティ態勢を改善する方法

所有権を明確にし、誤解を防ぐ

オンプレミス環境とオフプレミス環境の両方におけるすべてのセキュリティタスクには、特定のセキュリティ所有権が明確に確立されているべきです。SRMは、どの責任を誰が扱うかについてのグレーゾーンを取り除くことをはるかに容易にし、内部およびCSPと一貫したガバナンスを構築することを可能にします。

セキュリティ準備に関する正式な文書化は、接続されたアプリケーションやサービス全体で悪用される可能性のある脆弱性の数を減らし、想定に基づくセキュリティ計画を排除するのに役立ちます。

内部セキュリティリソースを最適化する

クラウドプロバイダーがセキュリティインフラストラクチャ管理において果たす役割を理解することで、セキュリティチームがビジネスにとって最も重要な領域に集中し続けることが容易になります。

これにより、サーバーのパッチ適用やデータベース管理などのリソース集約的なプロセスをCSPに委託することができ、チームがアプリケーションコーディングのセキュリティ確保、新しいユーザーアクセスポリシーの設計と実装により集中できるようになります。

データとアイデンティティの中心性を強化する

クラウドインフラストラクチャコンポーネントは、データ侵害時に常に交換できますが、同じインシデント中に財務的安定性とビジネスの評判は修復不可能な損害を受ける可能性があります。

SRMを適用することで、企業は物事を安全に保つためにCSPへの依存を減らし、組織内の管理者やその他の主要なステークホルダーに適用できる重要なセキュリティ原則の開発により多くの時間を割くことができます。

セキュリティファーストの構成を義務付ける

ほとんどの新しいクラウドサービスは、クラウドセキュリティのためにいくつかの構成可能な設定を提供しています。しかし、クラウド構成の脆弱性に関する認識の欠如は、将来重大なセキュリティリスクにつながる可能性があります。

SRMは、企業がセキュリティファーストの構成に焦点を当て、速度や利便性よりも業界のコンプライアンスを優先するのに役立ちます。多くのセキュリティフレームワークは現在SRMポリシーを中心に構築されており、新しい仮想マシンやデータベースの構成がデプロイ前に厳格な要件を満たしていることを保証します。

さらに、外部ペネトレーションテストサービスは、SRMの要件を理解しながら、企業が関連する責任をどのように果たしているかを確認するためにアクティブな脆弱性評価を実行するように設計されています。これらのサービスを活用することで、組織はセキュリティグループ、IAMポリシー、データ暗号化方法をストレステストし、業界のベストプラクティスを満たしていることを確認できます。

監査ログによる可視性の向上

SRMは通常、クラウドプロバイダーとその顧客間の協力と透明性を伴うため、すべての人が自身のセキュリティ強化の有効性についてより意識するのに役立ちます。

セキュリティ監査とアクティブな監視は、CSPとクラウド顧客の両方でSRMポリシーを実施するための不可欠な要素です。現在、企業がクラウドセキュリティの全体的な強度を監視し、新たに発生するセキュリティリスクに迅速かつ効果的に対応するために利用できる、多くのクラウドネイティブおよびサードパーティのツールが利用可能です。

これらすべては、すべての関係者にとってより積極的なセキュリティ計画を意味し、発生するセキュリティインシデントの数を減らし、データ漏洩のリスクを低減するのに役立ちます。

クラウドセキュリティを最優先事項に

ビジネスが成長するにつれて、共有責任モデルを戦略の核心部分として扱うことは極めて重要です。

クラウドセキュリティにおける自らの役割を理解し認識することは、責任に関する危険な想定を避け、すべてのデジタル攻撃対象領域のセキュリティ確保により積極的に関与するのに役立ちます。

Related Topics:
mm

//tevora.com/">Tevoraのプレジデント兼最高執行責任者(COO)です。彼女は、国内外の組織にとってより安全なビジネスおよびオンライン環境を構築することにキャリアを捧げてきました。地域社会への奉仕に情熱を持ち、地元の非営利団体の理事も務めています。