クラウドコンピューティングのセキュリティ問題

SaaSクラウドセキュリティの主要な10の問題

1. クラウドアプリケーション内のデータに対する可視性の欠如
2. 悪意のある攻撃者によるクラウドアプリケーションからのデータ盗難
3. 機密データへのアクセス権限に対する不完全な制御
4. クラウドアプリケーションとの間で転送されるデータの監視不能
5. IT部門の可視性の範囲外でプロビジョニングされるクラウドアプリケーション (例: シャドーIT)
6. クラウドアプリケーションのセキュリティ管理スキルを持つスタッフの不足
7. 悪意のある内部関係者によるデータの盗難や不正使用の防止不能
8. クラウドアプリケーションプロバイダーに対する高度な脅威と攻撃
9. クラウドアプリケーションプロバイダーの運用セキュリティの評価不能
10. 規制コンプライアンスの維持不能

SaaSクラウドセキュリティの問題は、ほとんどの共有セキュリティ責任モデルにおいて、データとアクセスがSaaS顧客の唯一の責任とされているため、当然ながらこれらを中心に展開されます。各組織は、クラウドにどのようなデータを置き、誰がそれにアクセスでき、どのようなレベルの保護を（組織自身とクラウドプロバイダーが）適用しているかを理解する責任があります。

SaaSプロバイダーが組織のデータやプロセスへの潜在的なアクセスポイントとなり得る役割も考慮することが重要です。XcodeGhostやGoldenEyeランサムウェアの台頭といった動きは、攻撃者がソフトウェアプロバイダーやクラウドプロバイダーを、より大規模な資産を攻撃するための経路として認識していることを強調しています。その結果、攻撃者はこの潜在的な脆弱性への注目を高めています。組織とそのデータを保護するために、クラウドプロバイダーのセキュリティプログラムを厳しく精査してください。予測可能な第三者監査と共有レポートを期待し、テクノロジーソリューションを補完する侵害報告条項を要求してください。

IaaSクラウドセキュリティの主要な10の問題

1. IT部門の可視性の範囲外で作成されるクラウドワークロードとアカウント (例: シャドーIT)
2. 機密データへのアクセス権限に対する不完全な制御
3. 悪意のある攻撃者によるクラウドインフラストラクチャにホストされたデータの盗難
4. クラウドインフラストラクチャを保護するスキルを持つスタッフの不足
5. クラウド内のデータに対する可視性の欠如
6. 悪意のある内部関係者によるデータの盗難や不正使用の防止不能
7. マルチクラウドおよびオンプレミス環境における一貫したセキュリティ制御の欠如
8. クラウドインフラストラクチャに対する高度な脅威と攻撃
9. クラウドワークロードシステムおよびアプリケーションの脆弱性監視不能
10. あるクラウドワークロードから別のクラウドワークロードへの攻撃の横展開

IaaSにおいてデータの保護は極めて重要です。顧客の責任範囲がアプリケーション、ネットワークトラフィック、オペレーティングシステムにまで及ぶにつれて、新たな脅威がもたらされます。組織は、IaaSリスクの中心であるデータを超えて拡大する最近の攻撃の進化を考慮する必要があります。悪意のあるアクターは、コンピューティングリソースを乗っ取って暗号通貨をマイニングし、それらのリソースを企業インフラストラクチャの他の要素や第三者に対する攻撃ベクトルとして再利用しています。

クラウドでインフラストラクチャを構築する際、盗難を防止し、アクセスを制御する能力を評価することが重要です。誰がクラウドにデータを入力できるかを判断し、リソースの変更を追跡して異常な動作を特定し、オーケストレーションツールを保護および強化し、南北および東西のトラフィックの両方のネットワーク分析を侵害の潜在的な兆候として追加することは、大規模なクラウドインフラストラクチャの展開を保護するための標準的な対策として急速に普及しています。

プライベートクラウドのセキュリティに関する上位5つの課題

1. 従来のサーバーと仮想化されたプライベートクラウドインフラストラクチャにわたる一貫したセキュリティ制御の欠如
2. インフラストラクチャの複雑さの増大により、実装とメンテナンスに費やす時間と労力が増加
3. ソフトウェア定義データセンター（仮想コンピューティング、ネットワーク、ストレージなど）のセキュリティを管理するスキルを持つスタッフの不足
4. ソフトウェア定義データセンター（仮想コンピューティング、ネットワーク、ストレージなど）のセキュリティに対する可視性の不完全さ
5. 高度な脅威と攻撃

パブリッククラウドとプライベートクラウドへのリソース割り当てに関する意思決定プロセスにおいて重要な要素は、プライベートクラウド環境で利用できるきめ細やかな制御です。プライベートクラウドでは、追加の制御レベルと補完的な保護により、プライベートクラウド展開の他の制限を補うことができ、モノリシックなサーバーベースのデータセンターからの実用的な移行に貢献する可能性があります。

同時に、組織は、きめ細やかな制御を維持することが、少なくともパブリッククラウドが発展してきた以上の複雑さを生み出すことを考慮すべきです。現在、クラウドプロバイダーはインフラストラクチャの維持管理の大部分を自ら行っています。クラウドユーザーは、制御の抽象化を通じてセキュリティ管理を簡素化し、複雑さを軽減できます。これにより、物理、仮想、ハイブリッド環境を超えて、パブリッククラウドとプライベートクラウドのプラットフォームが統合されます。

一般的なクラウドコンピューティングのセキュリティ問題を軽減する方法

たとえクラウドサービスが情報技術（IT）の主要な戦略でなくても、貴社はクラウドサービスを利用しています。クラウドコンピューティングのセキュリティリスクを軽減するために、すべての組織が取り組むべき3つのベストプラクティスがあります。

• DevSecOpsプロセス — DevOpsとDevSecOpsは、コード品質を向上させ、エクスプロイトと脆弱性を削減し、アプリケーション開発と機能展開の速度を向上させることが繰り返し実証されています。独立したセキュリティ検証チームに依存するのではなく、事業部門またはアプリケーションチーム内で開発、QA、セキュリティプロセスを統合することは、今日のビジネス環境が要求する速度で運用するために不可欠です。
• 自動化されたアプリケーション展開および管理ツール — セキュリティスキルの不足と、増大するセキュリティ脅威の量と速度が相まって、最も経験豊富なセキュリティプロフェッショナルでさえ追いつけない状況です。日常的なタスクを排除し、人間の利点を機械の利点で補強する自動化は、現代のIT運用の基本的な要素です。
• すべてのサービスとプロバイダーにわたる一元管理による統合セキュリティ — どの単一の製品やベンダーもすべてを提供できるわけではありませんが、複数の管理ツールでは、何かがすり抜けてしまう可能性が高まります。オープンな統合ファブリックを備えた統合管理システムは、各要素を統合し、ワークフローを合理化することで複雑さを軽減します。

最終的に、トレードオフの決定が必要な場合、より優れた可視性が最優先事項であるべきであり、より大きな制御ではありません。クラウド内のすべてを見ることができる方が、その不完全な部分を制御しようとするよりも優れています。