#1.責任共有モデルを理解する
クラウド コンピューティングの主なセールス ポイントの 1 つは、組織が IT インフラに対する責任の一部をクラウド サービス プロバイダーにアウトソーシングできることです。 ただし、クラウド プロバイダーは、顧客のインフラストラクチャやそのセキュリティについて完全な責任を負うわけではありません。
クラウド責任共有モデルを明確に理解することは、クラウド セキュリティ戦略の重要な基盤です。 責任共有モデルは、サービスとしてのインフラストラクチャ (IaaS)、サービスとしてのプラットフォーム (PaaS)、サービスとしてのソフトウェア (SaaS) など、さまざまなクラウド サービス モデルについて、クラウド プロバイダーと顧客の間の責任を細分化します。 モデルとモデルが顧客に割り当てた責任を理解することで、組織はその責任を果たすための戦略を策定できます。
#2.ゼロトラスト制御の採用
ゼロトラストセキュリティモデルは 、組織のサイバーセキュリティリスクを制限するように設計されています。 ゼロトラスト モデルでは、すべてのユーザーとデバイスが潜在的な脅威として扱われ、認証されたユーザーによる各アクセス要求は、役割ベースのアクセス制御と環境要因に基づいて個別に評価されます。
クラウドベースのインフラストラクチャを採用すると、組織の攻撃対象領域が拡大します。また、クラウドの独特な性質により、クラウドベースのインフラストラクチャはオンプレミスのリソースよりも外部の脅威にさらされやすくなります。 ゼロトラストセキュリティモデルを採用して適用することで、侵入の可能性と影響を軽減し、サイバーセキュリティリスクを改善することができます。
#3.稼働時間とパフォーマンスの最適化
シャドーITは、多くの組織で問題となっています。 この最も一般的な原因は、企業サービスが従業員のニーズを満たしていないため、従業員が効率的に仕事をするための代替案や回避策を模索することです。 しかし、これらの選択肢は、多くの場合、会社を危険にさらすことにもなります。
シャドーITのリスクを最小限に抑える方法の1つは、従業員が代替案を探す原因となる問題点を取り除くことです。 クラウド サービスのパフォーマンスと稼働時間を最適化すると、従業員はスムーズなエクスペリエンスを確保できるようになり、より使いやすくても安全性の低い代替サービスを探す必要がなくなります。
#4.可視性とオブザーバビリティの重要性を認識する
クラウドでは可視性を実現するのが困難です。 クラウド サービス プロバイダーが基盤となるインフラストラクチャを制御するため、クラウド データセンター内にセキュリティ アプライアンスを展開することができなくなります。
可視性と可観測性は、クラウド環境でもオンプレミスと同様に重要です。 クラウド セキュリティの重要な側面は、組織の IT エコシステム全体にわたって一貫した可視性を実現することです。 これには、オンプレミス環境とクラウド環境の両方をサポートするセキュリティ ソリューションを導入する必要があります。
#5.セキュリティ体制とガバナンス戦略の策定
クラウドへの移行により、組織のサイバー攻撃が表面化し、サイバー脅威にさらされるようになります。 これらの脅威から保護するには、明確に定義されたセキュリティ戦略が必要です。
この戦略を策定する最初のステップは、組織のターゲットとなるセキュリティ体制とガバナンス要件を決定することです。 そこから、企業は、クラウドとオンプレミス環境でこれらの目標を達成できる、クラウド セキュリティ ポスチャ管理(CSPM) ソリューションなどのポリシーとセキュリティ制御の開発と導入に取り組むことができます。
#6.一貫性のあるセキュリティポリシーの適用
クラウドのセキュリティを確保することは、オンプレミス ネットワークよりも難しい場合があります。 クラウドでは、企業は基盤となるインフラストラクチャを制御できなくなります。つまり、ニーズを満たすネットワークを設計し、セキュリティ アプライアンスを導入することがより困難になります。
ただし、これらの困難にもかかわらず、オンプレミス環境とクラウドベース環境の両方を含む組織の IT エコシステム全体にわたって一貫したセキュリティ ポリシーを作成し、適用することが不可欠です。 現代の企業では、オンプレミス環境とクラウド デプロイメントは密接に関連しています。 企業が環境全体にわたって一貫してセキュリティを強化していない場合、攻撃者は企業ネットワークの一部でセキュリティの弱点を悪用して初期アクセスを行い、オンプレミスまたは他のクラウド環境への接続を利用して横方向に移動して他の企業 IT にアクセスする可能性があります。資産。
#7。規制上の義務に従ってコンプライアンスを達成する
ほとんどの企業は、少なくとも 1 つ、場合によっては複数の規制に準拠する必要があります。 近年、 PCI-DSS や HIPAA などの既存の規制は、特定の種類の機密データを保護するように設計された新しい要件 (GDPR、CCPA、CMMC など) の増加によって強化されています。
ほとんどの場合、これらの規制によって保護されるデータは、組織のクラウドベースのインフラストラクチャ上で保存、処理、または送信されます。 これらのクラウド展開もコンプライアンス監査の範囲内であり、コンプライアンス要件を満たす必要があります。
多くの場合、コンプライアンス要件によって、パブリック クラウドやプライベート クラウドなど、組織が使用するクラウド インフラストラクチャの選択が決まります。 さらに、企業はオンプレミスだけでなくクラウドでもこのデータを保護するために必要なセキュリティ制御 (暗号化、アクセス制御など) を特定し、導入する必要があります。
#8.一元化されたID管理の導入
クラウドに拡張すると、組織の IT インフラが大幅に複雑になります。 多くの場合、企業はさまざまなプロバイダーのソリューションを備えたマルチクラウド インフラストラクチャを採用しています。 企業は、SaaS、PaaS、IaaS サービスなど、さまざまなサービス モデルでクラウド ソリューションを展開することもあります。
この複雑さが増すと、これらすべての新しいサービスでユーザーのIDを管理する必要があります。 一元化された ID 管理は、企業がユーザー アカウントを適切にプロビジョニングおよびプロビジョニング解除し、必要に応じて権限を更新できるようにするため、クラウド セキュリティにとって重要です。 各サービスに対してユーザーに個別の認証を強制すると、ユーザビリティが低下し、過剰なアクセス許可が悪用されるリスクが高まります。
#9.インフラストラクチャの保護
クラウドにおけるインフラストラクチャのセキュリティは、クラウド サービス プロバイダーとクラウド顧客との関係により複雑になります。 クラウド責任共有モデルの概要にあるように、クラウド顧客は、選択したクラウド サービス モデル (SaaS、PaaS、IaaS など) に応じて、クラウド内のインフラストラクチャに対して異なる量の責任を負います。
とはいえ、クラウド上でインフラストラクチャを保護することは、その上に構築されたサービスを保護するために不可欠です。 企業は、責任共有モデルに従って自社の管理下にあるインフラストラクチャのレベルを管理することに加えて、ネットワークのセキュリティを確保し、セキュリティ要件に最適なクラウド プラットフォームを選択することにも目を向ける必要があります。 場合によっては、基盤となるインフラストラクチャへのアクセスをより適切に制御できるため、セキュリティ ポリシーや規制要件により、パブリック クラウドではなくプライベート クラウド モデルまたはハイブリッド クラウド モデルの使用が義務付けられる場合があります。
#10. 強力なネットワーク制御を使用する
クラウド インフラストラクチャはパブリック インターネットから直接アクセスでき、従来のネットワーク境界の外側にあります。 さらに、クラウドベースのサービスは、多くの場合、他のクラウド環境やオンプレミス システムと通信します。 これにより、企業がクラウドベースのリソースへのアクセスを制限することがより困難になり、強力なクラウド ネットワーク セキュリティ制御が不可欠になります。
クラウド ネットワークは、さまざまなクラウド リソースの目的、リスク レベル、機密性に基づいてセグメント化する必要があります。 ネットワーク セグメンテーションを実装することにより、組織は、セグメント間の南北のトラフィック フローだけでなく、東西のトラフィックに対してもセキュリティ制御を監視、検査、適用できるようになります。 このより詳細な可視性とセキュリティの強化は、ゼロトラスト セキュリティ戦略にとって不可欠であり、企業はリスクとネットワークへの潜在的な侵入を区分することができます。
#11. ワークロードの保護
クラウドの可能性とメリットを最大限に活用するために、クラウドベースのワークロードを採用する企業が増えています。 サーバーレスおよびコンテナ化されたアプリケーションは、多くの場合、従来のアプリケーションよりも機敏でスケーラブルであるため、迅速な DevOps 開発サイクルに適しています。
これらのクラウド ワークロードには、従来の組み込みのクラウド セキュリティ ソリューションでは満たせない可能性がある独自のセキュリティ ニーズがあります。 クラウド セキュリティ戦略の一環として、企業はクラウド ワークロードに必要なきめ細かな可視性とセキュリティを提供するアプリケーション セキュリティソリューションを展開する必要があります。
#12. アラート疲れからの保護
ほとんどのエンタープライズセキュリティ オペレーションセンター(SOC) は、一連のセキュリティソリューションからのアラートに圧倒されています。 平均的な企業は 1 日あたり 10,000 件のアラートを受信しており、これは SOC チームがトリアージ、調査、対応できる範囲をはるかに超えています。 その結果、真の脅威はノイズに埋もれ、SOCアナリストが誤検知の処理に時間を浪費するため、他の重要な作業は行われません。
クラウドへの移行により、企業のセキュリティ インフラストラクチャはさらに複雑になる可能性があり、アラートの量はさらに増加します。 企業がセキュリティの可視性を維持し、サイバー脅威から身を守ることができるようにするには、アラートの量を管理するための慎重な取り組みが必要です。 人工知能と予防的制御を使用して誤検知アラートを最小限に抑える統合セキュリティソリューションを選択することで、組織はアラートの量を管理しやすくし、アナリストの努力を企業に最も利益をもたらすことができる場所に集中させることができます。
#13. クラウド インテリジェンス、フォレンジック、脅威ハンティングを活用する
ほとんどのクラウド セキュリティ コントロールは保護的かつ検出的であり、脅威を防止したり、ネットワークに侵入した脅威を検出したりできるように設計されています。 ただし、これらの制御は不完全な保護を提供するため、よりプロアクティブなセキュリティによっても強化する必要があります。
即応的かつプロアクティブなクラウド セキュリティには、脅威に関する高品質の情報へのアクセスと、これらの脅威にリアルタイムで対応する能力が必要です。 このため、脅威インテリジェンスのフィードと自動化は、クラウド セキュリティ戦略の重要なコンポーネントです。 自動化された脅威の検出および対応システムは、ログ データと脅威インテリジェンスを取り込み、組織に対する潜在的な脅威を防止、修復、または隔離するための措置を講じることができます。
脅威インテリジェンスと自動化は、脅威ハンティングやフォレンジック調査など、プロアクティブで人間主導のセキュリティへの取り組みもサポートします。 IT環境全体からデータを自動的に収集して処理する機能は、脅威ハンターや調査担当者に貴重なコンテキストを提供し、より迅速でスケーラブルで持続可能な脅威の検出と対応を可能にします。
Feedback