ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2017/08/01 掲載

クラウド・セキュリティにまつわる3つのリスク、どう克服すればよいのか?

ガートナー イアン・マクシェーン氏が解説

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
クラウドコンピューティングが爆発的に拡がる現在、安全かつ迅速なクラウド導入は、企業にとって喫緊の課題だ。だが、いまだにセキュリティへの懸念を払拭できないまま、導入はおろか具体的な検討にも踏み切れないケースは少なくない。こうした状況下で、企業はどう「クラウド・セキュリティ」を考え、自社の業務システムへの導入を進めていくべきなのか。ガートナー リサーチ部門 リサーチ ディレクター イアン・マクシェーン氏が解説する。
photo
クラウドのセキュリティはどう考えればよいのか
(© bluebay2014 – Fotolia)
※本記事は「ガートナー セキュリティリスク・マネジメント サミット 2017」の講演内容をもとに再構成したものです。

クラウドのセキュリティ対策を考える上での3つのリスクとは?

関連記事

▲ 閉じる ▼ すべて表示

 クラウドコンピューティングは、現在もっとも大きな盛り上がりを見せている。だが、注目度の高まりにもかかわらず、多くの企業はいまだ基幹的なワークロードやデータのクラウド移行に、強い懸念を持っている。

 クラウドコンピューティングは今なお進化中の技術だけに、クラウド・セキュリティにおけるベストプラクティスもいまだ定まっていないからだ。安全を最優先とするエンタープライズのユーザーにしてみれば、こうした危惧はむしろ自然な反応といえる。

 マクシェーン氏は、クラウド・セキュリティとは「クラウドベースのシステムへのアクセスおよび利用方法をセキュアにコントロールすることであり、そのために必要なプロセスとメカニズムを構築する取り組み」だと定義する。そして、取り組みにあたっては、以下の3つのリスクが存在すると指摘する。

1.マルチテナントのリスク

 クラウドサービスプロバイダの提供する環境や仕様、サービスを、ユーザー側がいかにコントロールするかというリスク。

2.仮想化のセキュリティ

 仮想環境下におけるワークロードのセキュリティを、どのようにデザインするかというリスク。

3.SaaSコントロール

 SaaSのアプリケーションに使用するデータを、どのように保護するかというリスクである。

「とりわけSaaSコントロールは、近い将来クラウドファーストモデルが広く普及すれば、非常に重要になる。というのも、クラウドファーストの時代では、顧客が所有するものデータだけになるだろう。そうなった時に、データ保護は最も重要なポイントだ」

画像
クラウド・セキュリティの定義
(出典:ガートナー)

マルチテナントのリスクはティア1~3に分類すべし

 上記3つのリスクとその対応について、それぞれ詳しく見ていこう。

1.マルチテナントのリスク

 クラウドにおけるマルチテナント方式に対しては、さまざまな懸念が持たれている。他の企業や組織とシステムを共有せざるを得ないため、本当にセキュアな状態が保たれているのかどうかがわからない。

 そもそもインフラもネットワークも自分たちで所有しないため、データを物理的に制御できない。カスタマイズが難しく、与えられた契約条件の中でしか使えない、といったことが主な課題だ。

 それでも、クラウド化が拡がる中で、いつまでも頑なに導入しないでいるわけにはいかない。そこで、いよいよ導入に取り組もうと考えた場合、もっとも重要なポイントは、そのクラウドのセキュリティが本当に担保されているのかを、どう評価し判断すればよいかという問題だ。

 実際のところ、マルチテナント型とプライベートクラウドとのセキュリティの違いは客観的に証明されていない。にもかかわらず、一般的にマルチテナント型はプライベートクラウドよりもセキュリティが低いと思われがちだ。

「しかしガートナーの調査によれば、そのことを裏付ける具体的な事実は今のところ存在しない。むしろ現在のパブリッククラウドやSaaSアプリケーションは、ユーザーが独自で構築するデータセンターやアプリケーションのレベルをはるかに超えてセキュアだということができる」

 つまり重要なのは、『マルチテナント型はセキュリティが低い』という世間一般の思い込みに惑わされることなく、自分たちが利用しようとするマルチテナント型クラウドのリスクを正確に評価することなのだ。

 その具体的な手法として、マクシェーン氏は「クラウド サービス プロバイダーのロングテールを理解する」というヒントを掲げる。ここではまず、クラウド サービス プロバイダーを、各々の特性ごとに下の3つの領域に分類する。

1.ティア1

 AWSやGoogle、Microsoftなど、大手のブランドの「クラウドファースト」の組織。世界で100社以下の選ばれた存在で、クラウド技術を始めて5年以上の実績を持っている。またマーケットに対するコミットメントも明示されている。

1.ティア2

 信頼できる企業で規模も相当のものがあるが、ビジネスモデルがクラウドファーストではない組織。実績もティア1に比べると少なく、セキュリティの第三者評価がない場合もある。

3.ティア3

 ティア1、2以外の小さな組織で、セキュリティについても未知数。ティア1、2の提供するプラットフォームに付随するアプリケーションなどを提供することが多い。このセキュリティは確保されていないと考える。

 マクシェーン氏は、この分類をもとに、「クラウドサービスを利用する企業は、この3つのうち、ティア2に対するリスク管理を集中するべきだ」と主張する。

 ティア1は、実績や技術力、資金面で安定しており、セキュリティへの評価はほぼ確立されている。このため、さほど大きな労力をさかずに導入することが可能だ。反対にティア3は最初からリスクの存在が予想されており、それをあえて許容するという判断がなければ使わない。

 その中間であるティア2は、もっとも大きなボリュームゾーンであり、リスクの検証・評価さえ的確に行うことができれば、利用できるリソースは非常に大きい。ユーザー企業はこのティア2にリスク管理のエネルギーを集中することが、選択肢も多くかつセキュアなクラウドサービスの導入・活用につながるとマクシェーン氏は説明する。

画像
クラウド・セキュリティのリソースはティア2に注力すべきという
(出典:ガートナー)

【次ページ】ビジネス部門に一体化していくメリットとデメリット

関連タグ

関連コンテンツ

記事
セキュリティ総論

レッドチーム演習とは何か? セキュリティ対策の「真の実力」を測定する方法

高まるサイバー攻撃の脅威に対抗するため、企業はさまざまなセキュリティ対策を実施している。そうした中、「レッドチーム(演習)」というサービスが少しずつだが注目を集めつつある。現在は、大手金融をはじめとした重要インフラ企業を中心に注目されているが、今後は他の業界・企業・組織にも広がる可能性もある。レッドチームとはいったい何なのか。ここでは注目される背景やそのサービス内容、期待される効果を整理した。(監修:デロイト トーマツ リスクサービス 岩井博樹 氏)(初出:2017/03/08)

記事
IoT・M2M

IoTのセキュリティ対策をガートナーが解説、「困難だが不可能ではない」

IoT(Internet of Things)およびOT(Operational Technology:運用技術)の発達・普及により、デジタルな攻撃が物理的なセキュリティに影響を及ぼすリスクが増している。個人が所有するモノ、法人が使うモノ、あらゆる「モノ」がつながり合う世界で、組織のセキュリティ担当者は攻撃にいかに備え、対抗すべきか。ガートナーのリサーチ ディレクターであるデイヴィッド・アンソニー・マーディ氏が、2017年時点のIoT、OTセキュリティの現状を解説し、今後を予測する。

記事
セキュリティ総論

CSIRTとは何か?5分でわかる日本シーサート協議会に聞いた体制構築のポイント

システムの脆弱性を突いた不正アクセスやマルウェア感染、標的型攻撃による情報漏えいやシステム破壊などは後を絶たず、脅威のレベルも年々増大する傾向にある。これを情報システム部門ですべて対応するには限界がある。このような現状において、今大きく注目されているのが、インスデントに対処するための組織、CSIRT(Computer Security Incident Response Team)だ。CSIRTを自社内に設置すると、他企業、他組織と連携しながらインシデントに効果的に対応できるようにする体制・仕組みが構築できる。このCSIRTの詳細と構築・運用方法について詳しく見ていくことにしよう(監修協力:日本シーサート協議会)。(2012年6月28日公開、2020年5月3日に一部改訂)

記事
標的型攻撃

「ランサムウェア、APT、DDoS、BEC」8割被害、フロスト&サリバン 長竹宏氏が警告

ウェアラブルやIoTが広まるにつれ、サイバー攻撃はあらゆるデバイス・チャネルから発生し得る喫緊の課題となった。最近ではWannaCryをきっかけにサイバーセキュリティに注目が集まり、今まで以上に重要度を増している。フロスト&サリバン ジャパン副社長兼コンサルティング部長の長竹 宏氏は、特に注意すべきサイバー攻撃として、ランサムウェア、APT、DDoS、BECの4つを挙げる。日本企業を取り巻くサイバーセキュリティの現状と、今後の対策を解説する。

記事
セキュリティ総論

東名高速の衝突事故、東神観光バス「13時間の危機管理」から学ぶべきもの

2017年6月10日、東名高速道路にて痛ましい衝突事故が起きてしまった。上り線の新城パーキングエリア付近を走行中の観光バスに、対向車線から乗用車が飛んできて衝突したというものだ。今回注目したいのは、被害にあったバス会社「東神観光バス」が異例の早さで車載カメラ(ドライブレコーダー)の映像を公開し、約13時間後に即日で緊急リリースを出したという点だ。精査してみると、今回の事故でバス側に死者がでなかった背景、同社の危機管理への意識が見えてくる。インシデント対応からも参考になる本事例を掘り下げてみたい。

記事
標的型攻撃

鹿島建設に学ぶセキュリティ対策事例、海外拠点への3つのアプローチ

いまや日本企業の海外進出は特別なことではないが、進出先で情報セキュリティ事故が発生し、その対策が課題となるケースが少なくない。鹿島建設も例外ではなく、アジア、ヨーロッパ、北米、オセアニアに広がる海外現地法人に一定レベルのセキュリティ対策を講じる必要があった。同社 ITソリューション部 次長 大塚暁氏は、2013年から海外拠点に関わるセキュリティ対策に着手したが、さまざまな課題に直面した。それら課題解決の過程で見えてきたノウハウを紹介する。

記事
セキュリティ総論

辻伸弘氏が解説するランサム攻撃動向、「侵入されても発症させない」対策のキモとは

標的型攻撃やランサム攻撃など、企業を標的にしたサイバー攻撃は依然として大きな脅威となっている。さらに、取引関係にあるサプライチェーンや顧客にも攻撃対象は拡大しており、企業はこれらの脅威に対応していかなければならない。そこで、ランサム攻撃をはじめ幅広くサイバー空間の脅威の観測、情報発信を行うSBテクノロジーの辻 伸弘氏と、大興電子通信 セキュリティアドバイザーの中須寛人氏、富士通の斎藤 建氏、丸子正道氏が最新のマルウェア攻撃に対抗するためのポイントを紹介した。

記事
セキュリティ総論

“危険すぎる”国家が主導するサイバー攻撃、ウクライナ侵攻で見えた情報戦の変化とは

ロシア・ウクライナ戦争のさなか、スロバキアのセキュリティベンダーESETが、ロシアによるウクライナへの心理戦や情報操作を目的としたサイバー攻撃を確認・報告している。開戦前後はウクライナのインフラや政府機関を狙う攻撃であったが、戦争が長期化するにつれ、その攻撃にも変化が見られるという。現在は攻撃対象を広げ、その動きは周辺国をも巻き込み始めている。ESET CEOであるリチャード・マルコ氏への取材を交え、ロシアが仕掛けるサイバー攻撃の実態を暴く。

記事
セキュリティ総論

知らなきゃ“大事故”の可能性も、SaaS活用で陥る「6つの落とし穴」回避術

今や一般的になった企業によるSaaS(クラウドサービス)の導入。ユーザー部門にとっては利便性の高いサービスだが、間違った運用によりセキュリティ事故が発生するといったリスクもある。SaaS活用に潜むインシデントとは一体どんなものがあるのか。そしてそれらのインシデントを回避するにはどのような手法が有効なのかを解説する。

記事
セキュリティ総論

ChatGPTの情報漏えいをどう防げばいいのか? 続々登場する新ソリューションの仕組み

生成AIの利用が急増している。しかし、依然として生成AIに関する懸念はつきまとっており、生産性を改善しつつリスクをどう下げるのかが多くの企業のトピックとなっている。特に注目される「情報漏えい」をどう防ぐのか。続々と登場する新ソリューションを紹介しよう。

記事
セキュリティ総論

厳選!「日本のセキュリティ課題凝縮事例」から学ぶ、「インシデントを防ぐ組織」とは

日々、実に多くのセキュリティインシデントが発生している。この危機的な状況を前にして、新たにセキュリティ製品・サービス導入を検討する企業は多いだろう。だがそれ以前に、真の「インシデントが起こらない組織」をつくるためには、まず自社の現状を正確に分析し、既存の資産・資源をフルに活用する姿勢が重要になる。セキュリティの専門家集団として、さまざまな企業・組織に助言やプロジェクト支援を行っている日本シーサート協議会の萩原健太氏が、大阪の病院で発生したインシデント、いわば失敗事例から今すぐ取り組むべきセキュリティ対策の課題について解説する。

記事
セキュリティ総論

中小企業が抱える「セキュリティ対策以前の問題」、XDRやSOCサービス導入の理想と現実

高度化するサイバー攻撃に対して、XDRやSOC、脅威インテリジェンスといったセキュリティ対策が注目されている。しかし、これらの手法やソリューションを導入できる企業は限られている。実際にセキュリティ対策に十分な投資を行えるのは、予算も人員もある大企業だけなのが現状だ。では、いずれも限られる中小規模企業(SMB)はどこまで対応すればよいのだろうか。

イベント・セミナー
オンライン
オンライン

デモでわかる! 脆弱性管理を一元化&効率化しつつセキュリティレベルを向上する方法

脆弱性が放置されると、悪意のある第三者によるサイバー攻撃によってシステムへの侵入をゆるしてしまい情報漏洩やデータ改竄などのインシデントを引き起こす可能性があります。 セキュリティインシデントを回避するために保有するすべてのシステムの脆弱性管理をすることを検討をしても、社内にセキュリティの専門家がいなく人材確保が困難だったり、システムの管理を複数のベンダーに委託しており対応レベルをそろえるのが難しかったり、対応基準を含めて整備しても運用に工数がかかりすぎてしまうなど、さまざまな課題に直面してしまうという声をよく耳にします。 そこで、本セミナーでは、脆弱性対策進捗の記録・管理までを可視化・効率化できる脆弱性管理サービス「SIDfm(エスアイディーエフエム)をご紹介します。 デモで実際の運用のイメージを掴んでいただける内容になっていますので、脆弱性管理を組織で一元化・効率化させる道筋が見えてきます! 無料セミナーですので、ぜひご参加ください!
イベント・セミナー
オンライン
オンライン

Symantec World 2024[アーカイブ]

世界中で高まるサイバーセキュリティの脅威とリスク あらゆるリスクに備える、ゼロトラストの実現 企業のAI・DXによる変革が進展する中、デジタルデバイスやネットワーク、データといった重要なアセットがサイバー攻撃の対象になっています。こうしたリスクに対して、企業はあらゆる攻撃を想定し「ゼロトラスト」で対応することが求められています。こうしたサイバーセキュリティの最新動向とゼロトラストのセキュリティ対策をお届けすべく、オンラインで参加できるシマンテックのサイバーセキュリティセミナーを開催いたします。デバイスセキュリティ、ネットワークセキュリティ、データセキュリティの各セッションをご用意いたしました。シマンテックのゼロトラストの世界をぜひご覧ください。
イベント・セミナー
オンライン
オンライン

DXを加速するゼロトラストセキュリティ 2024 春

世界経済の混乱や、長引くインフレ、依然として残るコロナの影響などの中、企業は生き残りをかけてDXを推進しています。それと同時に、社外から社内のシステムにアクセスすることや、工場外から製造装置に直接アクセスするような機会も増えています。DXの進展やテレワークの普及などによりビジネスのクラウド化がさらに進んだ結果、従来型の「境界型モデル」ではネットワークセキュリティの維持が困難となり、「すべてのトラフィックを疑わしいものとみなす」ゼロトラストセキュリティへの注目が高まっています。境界なきセキュリティが求められる時代にデジタルトラストを確立するにはどうすればよいのでしょうか?当WebセミナーではDXに取り組みながら、企業がゼロトラストセキュリティについて進めるべき方向性を模索し、ゼロトラストセキュリティに関するさまざま情報を提供してまいります。
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample