リソース

ブログへ戻る

業界の視点

クラウドセキュリティの失敗は誰の責任？答えあなたが思っているより多くの人

2023年11月30日

クレア・ハッチャー（英国営業部長）談、Skyhigh Security

責任共有は、私たち全員が直感的に理解している概念だが、クラウドのセキュリティ確保に関しては、多くの組織が十分に理解していない。それを説明するフレームワークが比較的新しいか、あるいは期待が十分に明確になっていないかのどちらかだ。多くの組織は、残念ながら、自分たちの役割と責任を十分に把握していないためにボールを落とし、その結果、セキュリティ・ギャップや違反が発生している。

ITプロフェッショナルの90%がサイバーセキュリティ侵害を経験していることを考えると、クラウド・コンピューティングは他のテクノロジーと同様、決して安全ではない。クラウド・サービス・プロバイダー（CSP）は、いくつかの高度なセキュリティ・ツールやサービスを提供しているが、CSPが実際に何を保護しているのかについて、顧客側には明らかに誤解がある。誰が何をするのかを明確にし、いくつかの神話や混乱を払拭するのに役立つかもしれない。

正しい精神的枠組みが災害を防ぐ

オンライン・マーケットプレイスからバケーション物件を借りる場合を見てみよう。オンラインマーケットプレイスは、取引を促進するための基盤となるインフラを提供する。あなたはプラットフォームを通じて不動産オーナーとつながる。オンラインマーケットプレイスは、この取引を行うための安全なプラットフォームを提供する責任がある。所有者は物件そのものに責任を持つ。例えば、賃貸物件のドアや窓に鍵を取り付けることが求められ、あなたはその鍵を使用する責任があります。オンライン・マーケットプレイスに、あなたが物件に滞在中に泥棒に入られないようにする責任を期待することはできない。
もう一つの例えは、金物店で工具を買ったり借りたりすることだ。工具が壊れたり、性能が発揮されなかったりした場合、業者は何らかの責任を負うかもしれないが、目の保護具を着用し、安全な作業環境を確保し、責任を持って工具を使用するのは常にあなた次第である。

組織は、利用するクラウド・サービス・プラットフォームに関しても、それほど違いはないことを理解する必要がある。CSPはすべてのセキュリティ侵害に責任を負うわけではない。顧客には重要な役割があり、パブリック・クラウド環境のセキュリティを確保する責任を共有する。

責任共有モデルの登場

CSPは、セキュリティに関して、それぞれの責任を明確に定義している。アマゾン・ウェブ・サービス（AWS）とマイクロソフト・アジュール（Microsoft Azure）の両社は、クラウド・セキュリティ共有責任モデルを発表し、誰が何に責任を持つかを明確にしている。詳細は、SaaS（Software-as-a-Service）、IaaS（Infrastructure-as-a-Service）、PaaS（Platform-as-a-Service）のいずれのモデルであるかによって異なりますが、一般的に、クラウド・セキュリティのこれらの側面については、企業の顧客が責任を負うことになります：

エンドポイントセキュリティ
ネットワーク・セキュリティ
コンフィギュレーション
アイデンティティとアクセス管理（IAM）
データの分類と説明責任
データ・コラボレーション・コントロール
仮想マシン
ワークロードとコンテナのセキュリティ

一方、クラウドサービス・プロバイダーは以下の責任を負う：

電力やインターネット接続を含む、自社施設の物理的なセキュリティとメンテナンス
サーバ、オペレーティングシステム、パッチ適用、ロードバランシング、スケーリング、ストレージ、プラットフォームサービス設定などのコンピューティングホストインフラストラクチャ
ネットワーク制御とプロバイダー・サービス

バケーションレンタルのドアと窓の鍵の例えに戻ると、CSPは自社のサービスに様々なセキュリティ防御策を組み込んでいるが、自社のネットワーク、ユーザー、重要なデータ、アプリケーションを保護するためにそれらを導入するかどうかは顧客次第である。

クラウドサービスの顧客としての役割と責任を十分に理解するためには、サービス・レベル契約（SLA）を注意深く確認することが重要です。思い込みは禁物です。SLAでは、セキュリティのどのような側面に責任を負うのか、また、プラットフォームのメリットをフルに享受するためには、どのような機能やポリシーを最初に適切に設定する必要があるのかが明確になります。複雑なマルチクラウドの世界では、これは管理上の観点からは困難なことかもしれないが、クラウド上のデータの安全を確保するために、前もって自分の責任に対処しておくことは、時間と労力をかけるだけの十分な価値がある。

クラウド・セキュリティはチーム・スポーツであり、自分の番が来たら全員がボールを運ばなければならない。責任共有モデルは、ゲームのルールを理解するのに役立つフレームワークを提供します。

Skyhigh Security 、パブリック・クラウド・プラットフォーム上でお客様の責任を果たし、データを保護するためにどのような支援ができるかについては、当社のウェブサイトをご覧ください。

ブログへ戻る

リソース

クラウドセキュリティの失敗は誰の責任？答えあなたが思っているより多くの人

正しい精神的枠組みが災害を防ぐ

責任共有モデルの登場

関連コンテンツ

SkyhighPrivate Access (ZTNA)を使用したレガシーVPNの置き換え

リーディングSSE:Skyhigh Security'クラウドセキュリティに対する最新のデータ中心アプローチ

脆弱性がゼロデイ脅威とデータ侵害への扉を開く -Skyhigh Security Intelligence Digest

最近のブログ

SkyhighPrivate Access (ZTNA)を使用したレガシーVPNの置き換え

リーディングSSE:Skyhigh Security'クラウドセキュリティに対する最新のデータ中心アプローチ

脆弱性がゼロデイ脅威とデータ侵害への扉を開く -Skyhigh Security Intelligence Digest

Skyhigh Security:RSAカンファレンスで可能性を再定義する

センシティブなデータの安全性を確保 - データがどこに保存されているかに関係なく

データのジレンマ：クラウド導入とリスクレポート

Skyhigh Security 会社案内

ガートナー®マジック・クアドラント™レポート

ガートナーCritical Capabilities

AIアプリケーション

公共部門

データのジレンマ：クラウド導入とリスクレポート、ヘルスケア編

ビジネスクリティカルなデータを危険にさらすことなくChatGPTを導入する

リソース

クラウドセキュリティの失敗は誰の責任？答えあなたが思っているより多くの人

正しい精神的枠組みが災害を防ぐ

責任共有モデルの登場

関連コンテンツ

SkyhighPrivate Access (ZTNA)を使用したレガシーVPNの置き換え

リーディングSSE:Skyhigh Security'クラウドセキュリティに対する最新のデータ中心アプローチ

脆弱性がゼロデイ脅威とデータ侵害への扉を開く -Skyhigh Security Intelligence Digest

最近のブログ

SkyhighPrivate Access (ZTNA)を使用したレガシーVPNの置き換え

リーディングSSE:Skyhigh Security'クラウドセキュリティに対する最新のデータ中心アプローチ

脆弱性がゼロデイ脅威とデータ侵害への扉を開く -Skyhigh Security Intelligence Digest

Skyhigh Security:RSAカンファレンスで可能性を再定義する

センシティブなデータの安全性を確保 - データがどこに保存されているかに関係なく