クラウドコンプライアンスの重要性
クラウドセキュリティの採用が進むにつれて、クラウドプラットフォームとサービスは、さまざまな国際、連邦、州、地域の セキュリティ 基準、規制、法律に準拠し続けることが期待されるため、コンプライアンス基準を進化させる必要がありました。 これらの厳格な規則への準拠の欠如は、法的な異議申し立て、罰則、罰金、およびその他の悪影響につながる可能性があります。
クラウドのコンプライアンスとセキュリティは、脅威の状況がより巧妙になるにつれて、 これまで以上に重要になっています 。 見過ごしたり、無視したり、後回しにしたりすることはできません。 これは、積極的に取り組まなければならないトピックです。 しかし、それは紛れもなく困難であり、組織のToDoリストに技術的に複雑なタスクがすでに十分にある組織にとっては、魅力的な取り組みではありません。
クラウド コンプライアンスの課題の一部は、クラウド コンプライアンスが複数のレベルで存在し、そのすべてが同じ関係者によって制御されているわけではないことです。 そして、 シャドーITの導入により、それはさらに複雑になっています。 ほとんどの大企業には、標準的なクラウド プロバイダーのコンプライアンス要件に加えて、クラウド コンプライアンスに関する特定の規則や規制もあります。
たとえば、デビットカードやクレジットカードによる支払いのセキュリティを確保するために使用されるPayment Card Industry Data Security Standard(PCI DSS)には、クラウド展開に関する特定の要件があります。 医療業界における医療保険の相互運用性と説明責任に関する法律(HIPAA)についても同じことが言えます。
そして、ユーザー側のコンプライアンスです。 クラウド サービス プロバイダーが国際標準と業界の要件を満たしているからといって、ユーザーが自動的に準拠するわけではありません。 ユーザーは、クラウド サービスが準拠した方法で使用されていること、およびデプロイメントの残りの部分が引き続き使用されていることを確認する必要があります。
クラウドコンプライアンスを向上させるための5つのヒント
最適なクラウドコンプライアンスを確保するには、全体像を深く理解し、詳細を正確に理解する必要があります。 ここでは、役に立つと思われる概念をいくつか紹介します。
1. クラウドを知る
時間をかけて、クラウドモデルとクラウドサービスプロバイダーのセキュリティ責任を慎重に理解してください。 これは、セキュリティとコンプライアンスのギャップを特定するのに役立ちます。 プライベートクラウド、パブリッククラウド、ハイブリッド クラウド を比較すると、大きな違いがあり、独自のニーズがあります。 クラウド コンプライアンスは、セットアップや特定の状況が直面している固有の要因に精通していなければ、有意義な方法で対処することはできません。
2. 責任感を抱こう
1 つ明確にしておきたいのは、クラウド ベンダーやサービス プロバイダーと "共同責任" を負っていても、最終的には組織が責任を負うということです。 プロバイダーがルールに従わない場合は、いつでも契約を取り消すことができますが、顧客情報、従業員データ、企業データなどを保護する責任はすべてあなたにあります。 これを怠ると、組織は熱湯に浸かることになります。
3. SLA に真剣に取り組む
企業は通常、サービス レベル アグリーメント (SLA) を、コピーして貼り付ける単純な定型ドキュメントとして扱います。 通常、それらは読み取られません。 もしそうなら、それは一目瞭然です。 しかし、コンプライアンスは重要ですが、この面で手を抜くわけにはいきません。
規制違反に対する罰則は、コストがかかり、制限がつきものです。 (そして、責任は最終的にあなたにあることを忘れないでください! クラウドサービスプロバイダーに何が必要かを明確にしなければ、ほぼ確実に不必要なレベルのリスクにさらされることになります。
SLAでは、クラウドサービスプロバイダーがお客様の環境を他の顧客からどのようにセグメント化するか、お客様のデータを地理的に配置できる場所と配置できない場所、データにアクセスできるユーザーなどを明確に説明する必要があります。
また、クラウドサービスプロバイダーがSLAにこれらの事項を書面で記載しているからといって、遵守するとは限らないことを覚えておいてください。 彼らがそうすることを確実にするのはあなた次第です。 SLAは、ルールを遵守するよう契約上のプレッシャーをかけるだけです。
4. 従業員のアクセスをより意図的に行う
アクセス管理は、クラウドコンプライアンスのより重要な側面の1つであり、特にデータ保護に関連しています。 どの従業員がどのアプリケーション、アカウント、データにアクセスできるかを大幅に制限する必要があります。 ポリシーを強化し、ニーズに基づいたアクセスルールを制定し、アクセスの有効期限を強化し、定期的かつ詳細な監査を実施して、侵入の機が熟した弱点がないことを確認します。 また、クラウドプラットフォームを一元的に可視化することで、 コンプライアンス体制管理 を強化し、ステータスを監視し、脅威を防ぐためのアクションを迅速に実行できるようになります。
5. 統一されたセキュリティ戦略
クラウドインフラストラクチャのセキュリティ、ひいてはコンプライアンスは、予防、ガバナンス、可視性、俊敏性の要素を含む包括的なものである必要があります。 ネットワークセキュリティ、 脅威インテリジェンス 、ネットワーク、アクセス制御レベル、可視性など、アプリケーションを保護する統合 セキュリティ 戦略を可能にしますデータの暗号化は今日では当たり前のことですが、繰り返す必要があります。境界がどんなに安全であっても、侵入口を見つける人は必ずいます。 この時点では、データの暗号化が最善の防御策です。 完全に保護するために適切な対策を講じていることを確認する必要があります。 これは、保存データを暗号化することを意味します。
保存時のデータ暗号化を有効にすると、アクセス資格情報がハッカー(または内部関係者)の手に渡った場合でも、データが改ざんされることはありません。 非常に多くの異なる種類の暗号化があるため、最大限の保護を実現する堅牢なソリューションを実装できるように、正確なニーズに時間をかけて取り組む必要があります。
チェック・ポイントのパートナー
クラウドが組織にもたらすすべてのメリットを考えると、クラウドをさらしたままにしておくことはできません。 適切なクラウドセキュリティを考慮しないと、外部の脅威、インサイダー攻撃、その他多くの問題に対して脆弱になります。
チェック・ポイントでは、組織の良し悪しは、セキュリティと完全性への取り組みにかかっていると考えています。 ビジネスを成功させるには、第6世代のサイバー脅威を阻止するためにセキュリティを調整し、あらゆる段階でクラウドセキュリティを優先する必要があります。
組織はそれぞれ異なりますが、適切なセキュリティソリューションの必要性は共通の懸念事項です。 今すぐチェック・ポイントにお問い合わせいただき、セキュリティ・コンサルティング・サービスを含む当社の製品とソリューションについて詳しくお知りになり、このようなダイナミックなエコシステムでコンプライアンスを維持するにはどうすればよいかを理解していただくために、お客様のようなビジネスを支援してください。
Feedback