クラウド内のデータセキュリティ

オンプレミスのデータセンターとクラウドを比較したとき、どちらの環境のデータセキュリティがより強力でしょうか？

会社の経営トップは、機密データをクラウドに保存するのを躊躇することがあります。データセキュリティのコントロールに不安を感じるためです。歩いて行けるところにあるオンプレミスのデータセンターで、データが保存されている物理システムを視覚的に確認する方法がある方が安心できるようです。

クラウド内のセキュリティと、オンプレミスのデータセンターのセキュリティの高度さは、究極的には、関係する人々、プロセス、使用されるテクノロジーにかかっています。適切な専門知識を有する管理者が、最新のハードウェアおよびソフトウェアを使用し、推奨されるベストプラクティスを適用する限りにおいては、どちらの環境でも、会社のデジタル資産に必要な保護を提供できます。

多くの場合は、主要なクラウドプラットフォームプロバイダやサードパーティーのコンサルタントとコラボレーションしながらクラウド環境を管理することで、クラウド内のデータはより安全になります。最先端のクラウドプラットフォームプロバイダは、エンドユーザー認証とID管理サービスを提供するとともに、クラウドからダウンロードしたデータも暗号化し、最高水準のセキュリティを確保します。

オンプレミスでのデータ保存の欠点

クラウド環境の場合は、クラウドプラットフォームプロバイダがセキュリティを主導するので、より効率的であり、セキュリティ対策にかかるコストも低く抑えることが可能です。機密データをオンプレミスで保存する場合、優秀なITセキュリティ専門家を雇用するか、でなければ既存のITシステム管理部門でなんとか対応することになります。優秀な専門家を雇用するには高い給与と福利厚生を用意しなければなりません。既存IT部門に任せるしかなければ、多忙なIT部門に過度の負担をかけるだけでなく、セキュリティに精通していないゼネラリストのIT部員に依存するリスクを負います。

IT部門内部で対応する場合、社内のITインフラストラクチャだけが対象となるので、リソースの不足や経験不足なども、マイナスの要素になります。対照的に、外部のクラウドプラットフォームプロバイダは、多様な産業の幅広い顧客と協業しているので、セキュリティのベストプラクティスとプロセスについて、より広範な視点を得ることができます。サイバーセキュリティのプロセスは、時間とともに高度化するサイバー犯罪活動に対応するために継続的に進化させていく必要がありますが、IT部門内だけで対処しようとしても非常に困難で限界があります。

オンプレミス環境でデータを安全に保存するには、セキュリティツールに投資し、システムに定期的にパッチを当ててアップグレードする必要があります。こうした要件のためにコストがさらに増大します。また、限られた人員で対処していると、どのツールに更新が必要なのかを見落としてしまう可能性も高く、ツールが最適な状態に更新されていないかもしれません。

IT部門内だけでデータセキュリティに取り組まなければならない場合、重要な懸案事項として外部の脅威インテリジェンスにアクセスして処理することができるかどうか、という問題があります。強力な内部セキュリティ体制を構築するだけでは不十分で、セキュリティ境界の「ドアをノック」する可能性があるダークな世界に潜んでいる脅威についても知る必要があります。監視しなければならない外部ソースは多数あり、その脅威情報を内部ツールと同期するには、特別な専門知識と脅威管理テクノロジーが必要なので、これは社内のIT部門だけで乗り越えるには極めて困難な課題です。

パブリッククラウド環境を選択しない場合

金融機関や医療機関など、顧客の機密データを扱う必要がある組織の場合、規制などによって、データをパブリッククラウド環境に保存することを選択できない可能性もあります。また、もしも、機密データの存在場所が組織のオフィス外のどこか別のところだという状況にどうしても安心し切れず、ストレスがたまるようなら、パブリッククラウドを使用しないという選択もできます。

パブリッククラウド環境を選択しない場合に考えられる代替策は、オンプレミスのデータセンターにプライベートクラウドをセットアップすることです。コロケーションデータセンターが提供する仮想プライベートクラウド環境を検討することもできます。どちらのアプローチも、インターネットに接続されていないオンプレミスのデータセンターを自社内のIT部門だけでセキュリティ管理することが荷が重すぎる場合の、次善の策としての、ハイブリッド環境を提供します。

クラウドのセキュリティは自動的に達成できるものにあらず

主要なクラウドプロバイダはデータセキュリティ対策への支援を提供しますが、サービスを利用しさえすればセキュリティ対策は万全であるというような簡単なものではあり得ません。内部データセンターを構築する場合と同じように、提供されるテクノロジーや担当者、プロセスなどを含め、クラウドプロバイダが自社固有のセキュリティ案件に十分対処できるかどうかを慎重に精査する必要があります。

AWS、Azure、Google などの主要クラウドプラットフォームプロバイダは、必要なすべてのセキュリティツールへのアクセスを提供しますが、利用する各組織のIT環境を、それらのツールを活用するように自動的に設定してくれるわけではありません。ツールを有効にする方法、監視する方法、そしてサービスを長期にわたって管理する方法を理解する必要があります。この点に不安がある場合は、サードパーティーのクラウドセキュリティコンサルタントやクラウド管理サービスプロバイダに協力を依頼できれば、スムーズに進められます。

クラウドセキュリティツールを監視し、管理できるリソースがある場合もありますが、多くの場合は、セキュリティのベストプラクティスに関する幅広い専門知識を備えた外部パートナーに委託する方が安全です。また、アプリケーションが適切に機能することを確認し、技術的なサポートを必要とするエンドユーザーを支援できる体制を整えることも重要です。

クラウドセキュリティのための責任の共有

クラウドにデータを保存する際には、クラウドセキュリティの責任の範囲を明確にしておく必要があります。クラウドプロバイダは、環境のハードウェアインフラストラクチャを保護するための対策を講じますが、データとアプリケーションのセキュリティに関して最終的に責任があるのは個々の利用組織になります。また、どのサードパーティーがクラウド環境内のサービスにアクセスできるのかも把握しておく必要があります。クラウド環境内のサービスのプロビジョニングについても考慮すべきです。

例えば、クラウドプロバイダはウイルス対策のための保護を外部サービスプロバイダに依存しているかもしれません。あるいは、アプリケーションのベンダーによってブローカリングされており、コロケーションセンターがホストしているクラウド環境でエンタープライズアプリケーションを実行しているケースも考えられます。クラウド環境のセキュリティ保護に関与するすべての人とその役割を明確にし、どこがどのセキュリティコントロールに責任を持つかを明らかにしておくことが大切です。規制コンプライアンスを満たせるように、プロジェクト計画を策定し、環境にリスクをもたらすセキュリティギャップが存在するかどうかについてもチェックする必要があります。ギャップがあれば責任者を決めてそれを埋めるような対策を立てるようにすべきでしょう。

責任の共有に関して突き詰めていく際に多くの組織がぶつかる問題は、クラウドプロバイダが行うセキュリティコントロールに対する可視性の欠如です。クラウドプロバイダは、セキュリティコントロール情報を顧客と共有することにあまり熱心ではないようです。クラウドプロバイダと協力して、セキュリティコントロールの責任を明確にし、どれが単一エンティティに100％の責任があり、どれが複数のエンティティによって共有されるかを定義する共有責任マトリックスを作成できれば理想的です。

データとその他のデジタル資産を保護するためには、関与する人、プロセス、使用されているテクノロジーのすべてが非常に重要である点を、再度強調したいと思います。データがオンプレミス環境に存在するか、クラウド環境に存在するか、または両方の環境に存在するかに関わらず、セキュリティ専門家にアドバイスを受けるなど専門知識を活用して、常にベストプラクティスを模索し、主要なセキュリティツールは必ず利用するようにするなどの努力が必要です。