クラウドセキュリティとは、1つのエンティティではなく、クラウド内に存在するデータとアプリケーションを保護するIT管理者、クラウドプロセスおよびポリシー、そしてセキュリティソリューションからなるエコシステム全体を指しています。こうしたセキュリティ対策は、データを守るためだけではなく、規制順守、顧客プライバシーの確保、および認証ルールの設定などをサポートするために配備されます。
こうすることで、クラウドセキュリティは完全にカスタマイズ可能になり、組織固有のニーズを満たせるようになります。当然、構成や認証ルールは一元的に変更・管理できます。このため、事業が信頼できるクラウドセキュリティ戦略を配備していれば、貴重な時間をクラウド環境の管理に費やさなくて済みます。
顧客と組織の機密データはクラウドに保管されており、世界中の組織は総合的にクラウドへの移行を進めているため、クラウドセキュリティ戦略の導入は不可欠です。これまで、サイバー犯罪者は進化を続けてきた結果、より洗練され、検出困難な攻撃を組織に仕掛けるようになっています。組織がどのようなクラウドを選んだとしても、サイバー攻撃者は大企業のクラウドさえも侵害できるほどの賢さを備えています。
適切なクラウドセキュリティ戦略がなければ、組織はクラウドコンピューティングアーキテクチャーにおいて深刻なセキュリティ上の問題に直面する可能性が高いでしょう。以下に、組織が直面する最も一般的なセキュリティ上の脅威およびリスクを解説しています。
- 機密データ損失: クラウドに保管されているデータの大半は、機密または非公開であるか、知的財産を含んでいます。企業のクラウドサービスが侵害されると、サイバー攻撃者はこうしたデータに容易にアクセスできてしまいます。しかし、仮に攻撃されなかったとしても、一部のサービスの利用条件にはアップロードされたデータの所有権を主張する内容が書かれている場合があり、これもまたリスクを呈します。
- エンドユーザーコントロールの喪失: 適切な可視性とコントロールがなければ、企業のエンドユーザーは知らずのうちに、または故意に、組織をリスクにさらす場合があります。例を挙げてみましょう。現在の組織を近々退職予定の営業担当者が、顧客の連絡先レポートをダウンロードして、これを個人的に利用しているクラウドストレージサービスにアップロードしたとします。仮に競合他社がこの人物を雇用した場合、顧客データを利用されてしまいます。
- マルウェア: クラウドサービスは、データの引き出し、またはサイバー攻撃者が自身のコンピューターへと不正なデータ転送を行うプロセスの格好の標的となります。残念なことに、こうしたサイバー犯罪者は、公然および隠れた方法を含め、新しい検出困難なデータ引き出しの方法を編み出しています。
- 契約違反: ビジネス関係者が契約を結ぶ場合、それはデータの利用方法やアクセスできる人物を制限されることがよくあります。しかし、仮に従業員が制限付きデータを承認なくクラウドに移動させたとしても、これが契約違反にあたり、法的措置を招く可能性があります。
- 風評被害: 組織のデータが漏洩すると、顧客の信頼度も低下します。そして、十分な信頼がなければ、組織の収入減につながります。残念なことに、最も有名なカード情報漏えい事件の一つがTarget社で起きた件です。サイバー攻撃者が4,000万人分以上の顧客のクレジットカードとデビットカード情報を盗んだ結果、数ある問題の中でも信頼の喪失は非常に甚大でした。顧客の信頼を失った場合に見られる一般的な現象を「顧客チャーンレート」と呼びます。つまり、仮に顧客が組織に対して満足した忠実な消費者であったとしても、こうしたインシデントを機に他社と取引するようになることを指します。
- 収益減: 残念ながら、これはデータ侵害を経験した組織にとって最大の被害の1つとなります。機密な財務データを保護する組織の能力に顧客が疑問を感じ始めると、その忠誠心は失われ、組織は膨大な金額を失うことになります。データ侵害の平均的コストは400万ドルとなっており、多くの組織にはこうした金額を支払うだけの余裕がありません。
クラウドモデルはどれも脅威にさらされる可能性があります。これは、高いコントロール、管理、およびセキュリティ性能で知られる従来のオンプレミスアーキテクチャーでさえも当てはまります。残念ながら、サイバー犯罪者がその攻撃を洗練・強化させる中、組織は堅牢かつ完全無欠なクラウドセキュリティ戦略を配備して、データの盗難、漏洩、破損、および削除から守らなくてはいけません。
これまで、従来の人的ITセキュリティはセキュリティ侵害対策としては十分でした。しかし、昨今は、人間の労働者を24時間体制で配備できるだけの時間も費用もなく、その作業が退屈であればあるほどセキュリティプロトコルの落とし穴やギャップにつながってしまいます。クラウドセキュリティはこうした懸念を排除し、従来型ITセキュリティの機能を提供することで、組織がクラウドコンピューティングの力を活かしながらセキュリティを維持し、プライバシーおよびコンプライアンス要件を確実に順守できるようにします。
セキュリティの一元管理
クラウドがアプリケーションとデータを一元管理できるのと同じように、クラウドセキュリティはその保護機能を一元管理できます。クラウドベースのネットワークには多数のデバイスとエンドポイントが含まれており、トラフィック分析および絞り込み性能を向上させます。人間の介入を伴わない自動化されたクラウドセキュリティサービスで潜在的な脅威を検出できるため、組織が監視プロセスにさほど関与せずに済みます。また、すべての保護ポリシーが一元管理されるため、ディザスタリカバリプランの実装および実施も容易になります。
コストの削減
クラウドベースのストレージとセキュリティソリューションを利用することで、組織は専用ハードウェアのコストを完全には排除できないとしても、かなり削減できるようになります。こうして、資本支出と管理オーバーヘッドを減らすことができます。クラウドセキュリティによって、ITチームは24時間365日セキュリティ監視ではなく、より高価値なプロジェクトに注力できるようになります。
管理の軽減
クラウドセキュリティがもたらす多数のメリットの1つは、手動のセキュリティ構成と頻繁なセキュリティアップデートを排除できる点です。従来の環境では、こうしたタスクを行うには時間がかかり、組織のリソースを枯渇させてしまいます。クラウドコンピューティングに移行することで、すべてのセキュリティ管理を一ヶ所で行い、見落としなく完全に管理できます。
高信頼性
すべてを人間が担当するクラウド監視戦略であれば、発生する脅威の大半をとらえることができるでしょう。これに対し、クラウドセキュリティは人的エラーの可能性を一切排除します。究極の信頼性を提供する適切なクラウドセキュリティ対策では、ユーザーが場所やデバイスに関わらず、データとアプリケーションに安全にアクセスできるようになります。
クラウドセキュリティはプライベートからパブリックに至る、あらゆるクラウドモデルに恩恵をもたらすものの、特に多くのメリットを得られるのはマルチクラウド環境になります。GigaOmによると、組織の92%は柔軟性と拡張性に高さから、すでにハイブリッドまたはマルチクラウド戦略に移行していることが明らかになっています。
マルチクラウド環境は、ほかのオペレーティングシステムと比べてデフォルトで複雑というわけではありません。しかし、一般的な実装の障害に遭遇せずに実行できるよう、「単一管理インターフェース」を介してある程度のコントロールと可視性を必要とします。
しかし、マルチクラウド環境に対する完全な可視性の維持は複雑な作業であり、多くの組織はクラウド専門のスペシャリストを必要とします。複雑さが増すことで、環境を維持するために必要なコストも上昇します。
こうした可視性の欠如から、未確認のセキュリティリスクがマルチクラウドに入り込むことになります。スペシャリストがいる場合でも、人的エラーとますます複雑になるサイバー攻撃によって、24時間体制のセキュリティはほぼ不可能になります。マルチクラウドシステムの安全性を確保するためには、自動化されたクラウドセキュリティ対策の実装が不可欠であり、これによってマルチクラウドのスペシャリストチームを維持するコストと負担を最小化できます。
2019年クラウドセキュリティ動向上位10選
復讐心に燃える元従業員からクラウドデータを守る
