クラウドセキュリティに関する誤解=世のCISOがすべきこと

企業のクラウド移行がますます進んでいる。その中で、各社のCISO(最高情報セキュリティ責任者)は堅牢なクラウドセキュリティを確保する任務を抱え、クリティカルな課題と向き合っている。回避すべき主な落とし穴の1つは、誤った思い込みをしたり、新しい技術に古いパターンを当てはめてしまったりすることだという。米調査会社ガートナーが今月3日からメリーランド州で開催した「セキュリティ&リスク・マネジメントサミット」で、バイスプレジデント・アナリストのRichard Bartley(リチャード・バートリー)氏が語った。
ガートナーは2024年のクラウドセキュリティ市場について、支出額が24%急増し、世界のセキュリティ/リスク管理市場で最も成長する分野になると予測している。また、業種別のクラウドプラットフォームを利用してさまざまな取り組みを加速させている企業の割合は、2023年の数字では全体の15%未満だが、2027年までに70%を超えるとも予測している。
こうした中では、セキュリティプラクティスを再考することが必要になる。Bartley氏によると、企業はクラウドを「ニューノーマル」にして「通常通り営業」できる状態を確保したいと考えているという。
従来のIT環境によくある典型的なリスクで、クラウド環境でもよくみられるものは5つある。ガバナンスの欠如、構成ミス、安全でないサプライチェーンやパイプライン、データの損失や流出、認証情報管理や鍵管理の欠陥だ。
その他に、クラウド特有のリスクも6つ挙げられた。
・変化に満ちた環境全体を可視化できていない
・攻撃対象領域を管理できていない
・IDの数が増えたり、過剰な権限が付与されたりしている
・責任共有モデルに関する誤解
・さまざまな事柄に関する誤った理解
・コンプライアンス、規制、デジタル主権に関する問題
「ここでぜひ記憶にとどめていただきたいのは、私たちはこれまでと同じ結果を目指しているということです。通常通りに事業ができるようにして、セキュリティでもこれまで通りの成果を出し、不正アクセスされないようにしたいと考えています。しかし、私たちが最終的に取ることになるアプローチは、おそらくこれまでとは異なるものになるでしょう。こうしたリスクに関しては、細かい複雑な考慮事項があるからです」
責任共有モデルをめぐる誤解
責任共有モデルについては、CISOやセキュリティチーム、クラウドチームの多くが、憶測による理解をしている。責任共有モデルとは、セキュリティに関してクラウド事業者と顧客がそれぞれどの範囲の義務を負っているのかを示したもので、Amazon Web Services(AWS)やMicrosoft Azureなどの大手パブリッククラウド事業者が使用しているモデルだ。
「技術に関する憶測、提供内容に関する憶測の両方です」と氏。
問題は、コンプライアンスや機密データの可視性、事業継続性に関する部分、わかりにくいSLA(サービス品質保証)に潜んでいるという。「オーケストレーションなどに関する問題であるとか、どちらが何に責任を持つのか、例えばランタイムワークロードと非ランタイムワークロードではどうか、といった問題がよく起こります」
Google Cloudの方針は、これとは異なり、顧客とセキュリティに関する提携関係も深めようというものだ。同社ではこれを運命共有モデルと呼んでいる。CISOのPhil Venables(フィル・ヴェナブルズ)氏が以前、SDxCentralの取材で語った。
「Googleが行ったのは、実際、とても有益なことだと思います。自社の環境内で起きていることで危険なものはないか、運用方法が安全かを確認するためには取るべき対策や活動があるわけですが、このモデルでは、そのうち一部をGoogleに投げ返すことができるのです」と氏。「お役に立つことがあるのではないでしょうか。というのも、プラットフォームによってはこうしたグレーな領域があちこちに存在するのですが、このモデルでは、そうした領域に関しても誰が何をすべきかが明確になるからです」
クラウドセキュリティの主な落とし穴と、CISOへの推奨事項
世のCISOがクラウドセキュリティについて誤解している点とは何だろうか。Bartley氏は、CISOたちを悩ませている落とし穴について、主だったものをいくつかまとめている。
1. 各部門のセキュリティがすでにニーズをカバーしていると思い込む
2. クラウドはシンプルなもので、自社のチームがすぐに習得できると思い込む
3. CCoE(クラウド活用推進組織)や変革プロジェクトへの協力が不足している
4. CIO(最高情報責任者)と協力して、プラットフォームエンジニアリングやDevOpsにセキュリティを組み込むことをしていない
5. 古いセキュリティプロセスが開発パイプラインのボトルネックになる
6. 新しい技術に古いパターンを当てはめる
こうした問題を解決するため、Bartley氏は以下のような戦略を取ることを推奨している。
・クラウド環境のセキュリティ管理に自動ツールを使用する
・クラウドのセキュリティガバナンスを確立する
・CNAPP(クラウドネイティブアプリケーション保護プラットフォーム)でアラートに優先順位を付ける
・SaaS向けの統合SSEプラットフォームを使用する
・不変性の確保に取り組む
・リスキリングやスキルアップに取り組む
「DevOpsサイクルに関与するに当たって、自動ツールを使うことから始めるのも良い方法です。開発パイプラインの各段階でクラウドを細かく管理できますし、ランタイム側でも、強調表示をさせたり、修正を提案させたりできます」
画像はガートナーのバイスプレジデント・アナリスト、Richard Bartley氏。(出典:Gartner)

SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com

SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
JOIN NEWSME ニュースレター購読
月に1回、newsMEのトピックスをメールで配信しています!
登録解除も簡単です。ぜひお気軽にご購読ください
KCMEの革新的な技術情報を随時発信
5G・IoT・クラウド・セキュリティ・AIなどの注目領域のコンテンツをお届けします。
KCME注目の技術領域に関するテックブログを配信しています。
KCME注目の技術領域に関するテックブログを配信しています。
RELATED ARTICLE 関連記事
-
人工知能(AI) StringerAI2025.01.27
クラウドセキュリティアライアンスがWhisticと提携し、AIセキュリティ対策を強化
生成AIに関連するリスクの評価と制御の定義という共通…
-
セキュリティ StringerAI2025.01.07
Abnormal Security、2024年版Gartner「メールセキュリティプラットフォームのマジック・クアドラント」でのリーダーに認定
セキュリティソリューションを提供する米国の企業である…
-
セキュリティ StringerAI2024.12.27
Cloudflare、第4回年次インパクトレポートを発表
大手サイバーセキュリティ企業Cloudflare社は…
-
クラウド StringerAI2024.12.23
Expel、Wiz Defendで強化されたクラウドMDRサービスを発表
サイバーセキュリティ分野に特化した米国の会社であるE…
HOT TAG 注目タグ
RANKING 閲覧ランキング
-
ネットワーク Sean Michael Kerner
2024年における10のネットワーキング技術予測
-
IT Dan Meyer
BroadcomによるVMware製品の価格/ライセンスの変更がどうなったか
-
IT Dan Meyer
ネットワーキング業界の混迷、顧客の懸念=HPEとジュニパー、シスコをめぐって
-
ネットワーク Dan Meyer
シスコ、トランプ政権のブロードバンド計画に備える
-
IT Dan Meyer
シスコが「堅調な」滑り出し=1Q決算、AIとSplunkが後押し
-
セキュリティ Nancy Liu
SASE市場が急成長=第1四半期、首位はZscaler
-
スイッチング技術 Tobias Mann
コパッケージドオプティクスの実用化は何年も先=専門家談
-
IT Dan Meyer
BroadcomがVMwareパートナープログラムの詳細を発表
-
データセンター Emma Chervek
マイクロソフトとOpenAI、15兆円規模のAIデータセンターを計画=NVIDIA依存を軽減
-
データセンター Dan Meyer
世界のデータセンター事情=ハイパースケーラーに容量が集中していくのはなぜか