クラウドセキュリティは共有責任
目次
責任共有モデルとは?
責任共有モデルは、クラウドサービスプロバイダ(CSP)と顧客の間でセキュリティとコンプライアンスの責任を分担するクラウドコンピューティングのフレームワークです。このモデルは、組織とCSPがクラウドインフラストラクチャのセキュリティ確保とコンプライアンス維持に積極的に貢献することを保証するものです。責任共有モデルでは
- クラウドのセキュリティに責任を持つCSP
- クラウドのセキュリティに責任を持つ顧客
責任共有モデルの説明
責任共有モデルは、組織とCSPがクラウドインフラストラクチャのセキュリティ確保とコンプライアンス維持に積極的に貢献することを保証します。責任共有モデルを理解し遵守することで、CSPと顧客の双方が協力してセキュアなクラウド環境を構築し、リスクを効果的に軽減し、業界の規制やベストプラクティスのコンプライアンスを確保することができます。
このモデルでは、CSPがクラウドのセキュリティに責任を負い、これには物理インフラ、ネットワーク、ハードウェアのセキュリティ確保も含まれます。クラウドサービス(クラウドコンピューティング、ストレージ、データベースなど)が脅威から保護されていることを保証し、顧客のために安全で信頼性の高い環境を維持します。CSPはまた、顧客がセキュリティ設定を管理するためのツールや機能も提供します。
クラウド環境内にデプロイする データ、アプリケーション、 ワークロードの セキュリティを確保する必要があります。これには、データの暗号化、アクセス管理、ソフトウェアのパッチ適用とアップデート、特定のニーズやコンプライアンス要件に応じたセキュリティ設定の構成などのタスクが含まれます。
責任共有モデルの具体的な内容は、 サービスとしてのインフラ(IaaS)、 サービスとしてのプラットフォーム(PaaS)、 サービスとしてのソフトウェア(SaaS)など、使用するクラウドサービスモデルによって異なります。IaaSモデルでは、顧客はオペレーティング・システムやアプリケーションの管理など、より多くのセキュリティ責任を負います。一方、SaaSモデルでは、CSPはアプリケーション・レベルのセキュリティなど、より多くの責任を負います。
データ流出への懸念から、 クラウドのセキュリティは 優先事項となっています。課題は、組織が求める俊敏性と、さまざまなクラウド間を移動するアプリケーションやデータのセキュリティを向上させる必要性とのバランスを取ることにあります。アプリケーションとデータが存在するすべての場所において、可視性を確保し、外部からのデータ流出や横方向からの攻撃に対抗することは不可欠です。
組織内には、ネットワーク・チーム、セキュリティ・チーム、アプリケーション・チーム、コンプライアンス・チーム、インフラ・チームなど、クラウド・セキュリティを担当するさまざまなチームがあります。しかし、クラウドセキュリティは、より広範な組織とクラウドベンダーの間で共有される責任でもあります。その内訳は、クラウドサービスの性質によって異なります:
- プライベートクラウド:プライベートクラウドは組織内のデータセンターでホストされるため、組織はセキュリティのあらゆる側面に責任を負います。これには、物理ネットワーク、インフラ、ハイパーバイザー、仮想ネットワーク、オペレーティングシステム、ファイアウォール、サービス構成、アイデンティティとアクセス管理などが含まれます。組織はデータとそのセキュリティも所有します。
- 一般人です:Amazon Web Services (AWS®)やMicrosoft Azure®などのパブリッククラウドでは、インフラ、物理ネットワーク、ハイパーバイザーはクラウドベンダーが所有します。 ワークロードの OS、アプリケーション、仮想ネットワーク、テナント環境/アカウントへのアクセス、そしてデータは、依然として顧客が所有しています。
- SaaS: SaaS ベンダーは、物理的セキュリティ、インフラストラクチャ・セキュリティ、アプリケーション・セキュリティなど、自社のプラットフォームのセキュリティに第一義的な責任を負っています。これらのベンダーは、顧客データを所有したり、顧客がアプリケーションをどのように使用するかについて責任を負うことはありません。そのため、お客様は、データ流出、偶発的な暴露、マルウェアの挿入のリスクを予防または最小化する責任を負います。
組織がプライベートクラウドからパブリッククラウドやSaaSアプリケーションに移行する際、データ、アプリケーション、インフラのセキュリティをベンダーに依存することがあります。プラットフォームのセキュリティ対策がどのようなものであっても、組織自身のデータのセキュリティに対する責任は組織にあります。
クラウドセキュリティ
アプリケーションを安全に実装するためには、ITセキュリティは、クラウドベンダーがアプリケーションとデータを安全に保つための適切なセキュリティ対策を実装していることを確信しなければなりません。クラウドベンダーのセキュリティ不足を補うには、組織はリスクを効果的に管理し、保護するための適切なツールを導入する必要があります。これらのツールは提供しなければなりません:
- SaaSアプリケーション内のアクティビティの可視化
- データリスクやコンプライアンス違反を防止するための利用状況に関する詳細な分析
- コンテキストを考慮したポリシー制御により、違反が発生した場合の強制および隔離を実行します。
- 既知の脅威に関するリアルタイムの脅威インテリジェンスと未知の脅威の脅威検知により、新たなマルウェアの侵入を防止します。
責任分担に関するFAQ
責任共有とは、安全でコンプライアンスに準拠したクラウド環境を維持するための、CSPと顧客の間の協調的なアプローチを指します。各当事者は、クラウドサービスのモデル(IaaS、PaaS、SaaS)に応じて、リスクを軽減し、データを保護し、業界の規制を遵守するために、特定のセキュリティ責任を負います。
責任分担の原則には、各当事者の義務についての明確な理解、積極的な協力、継続的なコミュニケーションが含まれます。CSPは基盤となるインフラ、ネットワーク、ハードウェアを保護し、顧客はクラウド内にデプロイされたデータ、アプリケーション、ワークロードを保護します。これらの原則を遵守することで、強固なセキュリティ体制を確保し、クラウド環境における潜在的な脆弱性を防ぐことができます。
責任共有の第一の目標は、CSPと顧客双方の専門知識とリソースを活用して、クラウド・セキュリティに対する協調的かつ包括的なアプローチを確立することです。セキュリティ責任を分担することで、全体的なセキュリティ体制を強化し、脆弱性を最小限に抑え、関連する業界規制へのコンプライアンスを確保することを目的としています。
クラウド環境を効果的に保護し、コンプライアンスを維持するためには、責任共有モデルを理解することが極めて重要です。これは、組織が特定のセキュリティ業務を特定し、リソースを効率的に割り当て、適切なセキュリティ管理を実装するのに役立ちます。このモデルを明確に理解することで、CSPと顧客のコラボレーションが促進され、両者が協力してセキュアでコンプライアンスに準拠したクラウド環境を構築し、リスクを軽減して潜在的な脅威に対処できるようになります。
