ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

会員限定

2017年12月21日

クラウド・セキュリティのリスクを最小化する方法、ガートナー 矢野 薫氏が解説

クラウドを利用するに当たり、依然として多くの企業が「セキュリティは大丈夫か」という漠然とした不安を抱えている。また「クラウド・セキュリティ」の捉え方そのものも、語られる文脈や背景によってさまざまだ。ガートナー リサーチ部門 ITインフラストラクチャ&セキュリティ 主席アナリストの矢野薫氏は、そうした中で陥りがちなクラウド・セキュリティに対する“誤解”を取り上げ、今後のさらなるクラウド活用に向けてリスクを最小化していくためのポイントを説いた。

photo

クラウド・セキュリティのポイント

(© Gorodenkoff – Fotolia)

※本記事は「Gartner Symposium/ITxpo 2017」の講演内容をもとに再構成したものです。

クラウド・セキュリティに欠かせない、3つの柱とは

関連記事
 ガートナーでは国内企業を対象としたユーザー調査を実施し、「クラウドのセキュリティをどの程度理解していますか?」と尋ねてみた。この結果、「十分に理解している」という回答を得られたのは12%のみで、残りの88%は何らかの不安を抱えていることが明らかになった。

 また54.8%の企業が「ある程度は理解しているが、全体として整理できているかは分からない」と回答した。つまり半数以上の企業において、クラウド・セキュリティに対する定義ができていないことになる。

 クラウド・セキュリティがなぜ重要なのか、ガートナーでは「クラウド・セキュリティとは、クラウド環境へのアクセスを制御し、クラウド環境のデータを保護するために必要なプロセスとテクノロジーである」と定義している。そこには大きく3つの柱がある。

 第1は「プロバイダーのリスク評価」だ。クラウドの特徴は他社とシステムや処理を共有する点にあり、どんなセキュリティ機能を提供しているのかもさまざまだ。したがってクラウドを利用する前に、そこにどんなリスクが存在するのかを把握しておく必要がある。

 第2は「ワークロードの保護」である。いまや企業が利用するクラウドは1つだけに限らない。セキュリティの機能もレベルも異なるそれぞれのクラウドに対して、だれがどのような責任を負うのかを見極めておく必要がある。

 そして第3が「データの保護」だ。クラウドのセキュリティ機能はプロバイダーに依存しているため、強化したくてもできない場合がある。ただし、あきらめてしまう前に他の手立てがないのか十分に確認することが必要だ。もし、よりよい選択肢が存在するのであれば、それをきちんと実装すべきである。

 このようにクラウド・セキュリティでは、従来のオンプレミスのセキュリティではなかった取り組みが求められるのである。

クラウドのセキュリティ・リスクは大きいのか?

 クラウド・セキュリティのために押さえておくべきポイントは何か――。よくある“誤解”にフォーカスしながら順に解き明かしていきたい。

 まずは「クラウドのセキュリティ・リスクは大きい」という誤解である。ここでの最大の問題は、クラウドという言葉で一括りにしてすべてのセキュリティを議論してしまっていることだ。的確なプロバイダーの選択とセキュリティ機能の活用により、リスクを最小限に抑制することができるのである。

 クラウド・プロバイダーは規模や実績によって大きく3つの層に分類される。Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft AzureなどのTier 1、その他の大手ソフトウェア・プロバイダーや中規模プロバーダーのTier 2、小規模プロバイダーのTier3である。

 Tier1については主要なセキュリティ機能を実装するほかオプションも用意されており、これらの機能を適切に使いこなしさえすればセキュリティを過度に器具する必要はない。

 逆にTier3については「セキュアではない」ことを前提に、そのリスクを受容できるかできないかを評価すべきである。財務面も安定しているとは限らず、将来的に機能やサービスが打ち切られる可能性も考慮しておいたほうがよい。

 おそらく一番判断に迷うのがTier2だろう。この層のプロバイダーが提供するクラウド・サービスは業務上重要なアプリケーションとして利用されており、他に代替手段がないケースも多い。セキュリティ・リスクをユーザー自身がしっかり評価する必要がある。

 具体的に各プロバイダーのセキュリティ・リスクを評価する方法としてはオンサイト評価、第三者評価、質問票の3つが代表的だ。

photo
(クリックで拡大)

クラウドのセキュリティ・リスクを算定する方法

(出典:ガートナー)


 まずプロバイダーが第三者評価を取得している場合には、その内容を積極的に活用すべきである。第三者評価がない場合に選択するのが質問票で、各業界の監督官庁などが公開しているガイドラインを標準の質問として活用するとよい。

【次ページ】クラウド・セキュリティにまつわる6つの「誤解」

お勧め記事

クラウド ジャンルのセミナー

一覧へ

クラウド ジャンルのトピックス

一覧へ

クラウド ジャンルのIT導入支援情報

一覧へ

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング