2013.1.29

クラウドセキュリティ教育の重要性、誰がその教育を行うべきか

125

【原文】

Cloud computingクラウドの利用が増加する中、ユーザ、ITマネージャーと投資者はクラウドセキュリティの基準と効率の良い手法に関してもっと良く学ぶ必要がある。

クラウドコンピューティングにおいて、ユーザやITマネージャーの間で大きな不安要素のひとつになっているのはセキュリティだ。これには次のような基本的な特徴がある。つまり、権限許可(誰がアクセスを許可されているか)、認証(誰がどのレベルまでアクセス権を持つか)、データ保全性とサービス可用性である。

さらに、クラウドセキュリティはデータ、アプリケーションおよびインフラを保護する点で管理、コンプライアンス、規定および技術を組み合わせたものを意味する。

もう少し深く掘り下げてみよう。

需要と供給の見地から見て、ユーザはプロバイダ(インフラ、ソフトウェアあるいはプラットフォームの提供者)がセキュリティの方策を提供するだろうと期待している。例えば、企業向けレベルのクラウドアプリケーションはしばしばサーバー仮想化を用いているが、そこには適切に設定、管理、保護されなければならない付加レイヤが導入されている。

サーバー内の1つのセグメントのデータが別のセグメントに流出した時にリスクが生じるが、その時にはデータのバックアップ対策と復元可能性が非常に重要になってくる。バックアップは頻繁に行なわれ、信頼できるものでなければならない。ハイパーバイザーとして広く知られている仮想化ソフトウェアがこのリスクを解決するものでなければならない。

要するに、インフラやユーザのデータやアプリケーションを保護することはプロバイダの主要な義務の1つだ。一方、前述の重要な要素を保護するためにベンダーが適切に必要なセキュリティ対策を講じていることは、クライアントのセキュリティに関する本来の役割であることを確認してほしい。

ユーザの懸念と期待に関して

様々な種類、規模の団体や企業は、クラウドコンピューティングの管理ができなくなるということを深く懸念している。それでも、セキュリティに関する懸念がより広い範囲でクラウドを採用することを阻む主要な要因となっているわけで、これは単純にユーザにもっと良くクラウドサービスの非常に重要な要素、すなわち規約、責任条項、処理透明性について綿密に調べるように仕向けることになる。

システムや人材はサードパーティープロバイダの下にあって、直接カスタマーによって管理されるわけではないため、ユーザはより良いセキュリティを実施する契約に頼る傾向があるからだ。

一方、プライベートクラウドについては、これらを利用することによって、より大きなカスタマイゼーションの余地、管理、そしてアクセスの制限とともに、核となる便利なクラウドサービスが提供される。

この場合、ユーザはより厳しいセキュリティ条件を予想するが、一方でITマネージャーは通常、社内で利用されるアプリケーションとクラウドサービスをもっと良く統合する方法についてさらに調べる必要性を見いだすことになる。

ユーザの教育を誰が行なうのか

クラウドコンピューティングを展開している企業や団体、組織の数は増加している。そのため、プロバイダ各社は製品の機能やサービスを強化しており、次世代プラットフォームがより高いレベルのセキュリティ保障を提供できるよう信頼を構築することが必要となる。

3年前、クラウドセキュリティに関する情報や基準の提供、クラウドコンピューティングのベストプラクティスの調査活動、クラウドセキュリティに関する教育活動への従事を目的として、クラウドセキュリティアライアンス(CSA)が設立され、現在世界中に31の支部があり、そのうちアジア太平洋地域には10の支部が開設されている。

CSAはクラウドコンピューティングセキュリティ初の認証制度CSAのCertificate of Cloud Security Knowledge(CCSK)を導入し、CCSK、PCI Cloud、GRCのトレーニングを提供する予定だ。

これまでこの機関が行なおうとしてきたこととは別に、最も重要なのは、持続的なセキュリティへの自覚を確かなものにするため、セキュリティの重要性を従業員に教育することである。それは本格的なセキュリティ対策をとる必要のあるベンダー、カスタマー双方にとっての準備段階だ。

今後大事になってくること

クラウドセキュリティのベストプラクティス、方針や基準はやっと現われ始めたばかりだ。監査は重要で(ISO 27001やSAS 70などの)、基準はコンプライアンスを確実にするために必要だ。

他にユーザやITマネージャーが実施すべきことは、データの感度に基づいてデータを分類することにより情報リスク管理を向上させ、リスク分類でリスクが高い状態からリスクが低い状態へ下げることである。

どこにデータが存在するのか、今後どのような保護対策が必要なのか、どのくらいデータを安全な場所に残す必要があるのか等を注意深く、総合的に評価しよう。事業リスクに対する事業価値を考えよう。

リスクマネージメント委員会をすでに設けている企業は、社内外の監査役がそのプロセスの中でクラウドセキュリティリスク評価に加わり、企業全体の評価結果に基づいてアドバイスを行うべきだ。

常にエグジット戦略を準備しておこう

稼動停止、更新、メンテナンスによる休止時間にかかわらず、ユーザはプロバイダのサービスレベル合意(SLA)に従ってクラウドプロバイダを常に信頼しきっている。だが、事業継続計画(BCP)や障害回復手段(DRP)は絶対に必要だ。特にプロバイダが約束したサービスを提供できなかったり、廃業したり、さらに他社と合併したりする場合に備えて自社を保護するためには不可欠である。

【via e27】 @E27sg

125

e27

e27

E27 は、アジアのテクノロジー業界に特化したメディアです。シリコンバレー・スタイルの、コミュニティ主導によるアジアのテクノロジー・イノベーションを牽引したいと考えいます。年に一度、アジア最大のテックイベント「Echelon」を主催しています。

  • Popular News
  • Latest News

Popular News

Latest News