クラウドの責任分担モデルを理解する

過去1年間、企業はリモート作業環境へのほぼ瞬時の移行に迅速に適応する必要があったため、クラウドへの移行を目の当たりにしました。しかし、多くの場合、ビジネスの中断を回避するためにセキュリティよりも実用性を優先し、多くの組織を脆弱なままにしました。

クラウド共有責任モデル

これらの脆弱性の主な理由は、多くの組織がクラウドプロバイダーからのデフォルトのセキュリティ製品に依存していることです。これらの製品は、多くの場合、日曜大工のツールキットおよびガイドラインとして提供され、実際の構成はユーザーに任されています。

クラウドファースト環境では、組織は現在、クラウドプロバイダーとの共有責任モデルの下で運営されています。このモデルは、クラウドプロバイダーに属する責任と、ユーザーに属する責任を示しています。責任分担モデルの概念は比較的理解しやすいものですが、それを実装するには多大な調整が必要です。

多くの場合、責任分担モデルでは、クラウドプロバイダーがクラウドの「セキュリティ」に責任を負い、組織がクラウドの「内部」のセキュリティに責任を負います。区別は少し混乱する可能性があります。このように考えてください。ホームセキュリティプロバイダーは保護システムをインストールできますが、センサーが配置されている場所を特定し、家を出る前にセンサーが武装していることを確認するのは住宅所有者の責任です。同様に、クラウドプロバイダーはクラウドのインフラストラクチャを保護して侵入リスクを軽減し、組織は侵害が発生した場合にデータを保護します。

ほとんどの組織が複数のクラウド環境で作業していることを考えると、課題はさらに複雑になります。アクセンチュアによると、組織の93%がマルチクラウド戦略で運用されており、組織ごとに平均3.4のパブリッククラウドと3.9のプライベートクラウドを利用しています。企業は常に自社のセキュリティ体制を分析および評価しているだけでなく、クラウドプロバイダーに対しても同じことを行う必要があります。

企業はこれまで以上にクラウドに大きく依存しているため、組織は共有責任モデルの下で責任に対処する環境を作成する必要があります。次の手順は、組織が常にデータを保護できるように準備するのに役立ちます。

  • 機密データの特定:高度なデータ検出方法を使用して、リポジトリに機密データを移動してからクラウドに移動します。機密と見なされるものの範囲が急速に拡大しているため、プライバシー規制を念頭に置く必要があります。たとえば、IPアドレスとジオロケーション情報は、社会保障番号や生年月日などの個人を特定できる情報(PII)に加えて、機密情報と見なされるようになりました。
  • データの使用法を決定する:GDPRやCCPAなどのプライバシー規制に準拠するためにデータを収集する目的を特定します。次に、データを処理する方法と、データをサードパーティと共有する必要があるかどうかを計画する必要があります。重要な要素は、このデータが許可されていない手に渡らないようにすることです。これにより、多額の罰金が科せられる可能性があります。
  • アクセス制御の割り当て:処理のためにそのデータにアクセスできるユーザーの概要を示します。動的マスキングツールを使用すると、個人のペルソナに基づいてカスタマイズされたビューを作成できます。たとえば、アプリケーション開発者は、クラウド内の同じデータセットにアクセスするデータサイエンティストとは異なるビューを必要とします。
  • クラウドプロバイダーのセキュリティ資格を調査する:他のサービスと同様に、クラウドサービスプロバイダーは、クラウドセキュリティへの取り組みを実証する定量化可能な証拠を持っている必要があります。業界固有のクラウドセキュリティ認定を調査し、コンプライアンスと監査に関連する定期的なレポートを公開するかどうかについて、デューデリジェンスを実施します。
  • 高度な保護を模索する:データリポジトリをクラウドに移行すると、規模と可用性の点で多くの利点がもたらされますが、データが存在する場所の制御を放棄する必要があります。組織は常に「クラウドサービスプロバイダーは私のデータを見ることができますか?」と尋ねる必要があります。または、さらに重要なのは、「クラウドサービスプロバイダーの管理者になりすました誰かが私のデータを見ることができるか」ということです。Bring Your Own Key(BYOK)は、組織が所有していないインフラストラクチャ上のデータの制御を維持するのに役立つ、ますます標準的なテクノロジーソリューションです。

BYOKを使用すると、機密データレコードの暗号化またはトークン化が可能になり、データ所有者のみがそれらにアクセスできるようになります。これらの方法は、クラウドサービスプロバイダーがデータを見ることができないようにします。また、クラウドサービスプロバイダーの管理者になりすました誰かがデータを盗み出した場合、彼らが取得するのは暗号化されたデータだけであり、違反は役に立たなくなります。

従来の「保管中」の暗号化方法では、保護が開始される前にデータをクラウドに平文で保管する必要があります。データ保護タスクがデータ移動タスクに組み込まれている手法を採用することで、その脆弱性を排除します。

クラウドコンピューティングは、ビジネスを行う上で受け入れられている現実です。そのため、クラウドプロバイダーによって概説された責任分担モデルを理解し、そのライフサイクル全体、転送中、休止中、および使用中にデータを保護するために必要な手順を実行することは、クラウド移行の前に最優先事項である必要があります。そうすることで、組織は、クラウドが提供しなければならない多くの利点を解き放ちながら、コストのかかる違反やコンプライアンス違反のリスクを軽減します。