複数のクラウド? 複数のリスク。

ほとんどの組織は、自社のオンプレミス プライベート クラウドに加えて、複数のクラウド プロパティで運用しています。 過去 3 年間、私たちは IT 部門のあらゆる役割を担うプロフェッショナルがこのモードで業務を行う際に経験する課題や不満について質問してきました。

毎年、最も多かった答えは「一貫性」です。

これは驚くことではありません。 組織は依然として大部分がサイロ化されたチームとして機能しており、パブリック クラウドの導入によっても状況は変わっていません。 実際、クラウドに特化したチームが各パブリック クラウドの固有のダッシュボード、コンソール、運用方法に適切に適応する必要があることが多く、サイロの数は大幅に増加しています。

この現実により、クラウド プロバイダーではなく組織が責任を負うアプリケーションのセキュリティを確保することが難しくなります。 課題の一部は、企業の期待に応じてアプリケーションを十分に保護するために必要なポリシーのパリティを提供できるかどうかわからない異種のセキュリティ サービスを使用することから生じます。 あるセキュリティ サービスの機能は、他のセキュリティ サービスの機能と同じではない場合があります。 アプリケーションを保護するために依存している機能が 1 つのクラウドでは利用可能で、他のクラウドでは利用できない場合は、一貫したセキュリティを実現できません。

そのため、 Sophos の 2020 年クラウド セキュリティの現状に関するレポートで、複数のクラウド プロパティで運用している組織でセキュリティ インシデントの数が多いことが判明したのは驚くことではありません。

「マルチクラウド組織では、過去 12 か月間にセキュリティ インシデントがさらに多く報告されています。 調査対象となった組織の 73% が 2 つ以上のパブリック クラウド プロバイダーを使用しており、単一のプラットフォームを使用している組織よりも多くのセキュリティ インシデントを報告しています。」

報告書では、これらのインシデントの原因をさらに明らかにし、誤った設定によるセキュリティのギャップが攻撃の 66% で悪用され、さらに次の 3 つのカテゴリに分類されていることがわかりました。 

• 33% クラウド アカウントの認証情報が盗まれる
  
• 22% クラウド リソースの誤った構成 
• 44% ウェブ アプリケーション ファイアウォールの設定ミス

誤った構成はさまざまな原因で発生する可能性があります。 タイプミスはよくあることです。 用語の誤解やポリシー モデルの誤解も原因の 1 つです。

タイプミスやその他の人為的エラーを減らすために、自動化が頻繁に活用されます。 しかし、後者の場合は、ポリシー モデルと言語の違いが混乱の原因となり、誤った構成につながる可能性があるため、役に立ちません。

現在、誤った構成の問題を解決するための最善の答えは標準化です。 必要なあらゆる環境で動作するセキュリティ サービスの標準セットを選択すると、誤った構成を排除するのに大いに役立ちます。 単一のセキュリティ サービス セットに重点を置くことで、獲得したスキルはクラウド プロパティ全体で保持されます。 専門知識は経験に基づいて構築され、より狭い範囲のポリシー言語とモデルに重点を置くことで、組織はあらゆる環境でアプリケーションのセキュリティ保護に自信を持って取り組むことができます。

標準化は、複数のクラウドにわたってセキュリティ サービスをプロビジョニング、展開、管理するコード、スクリプト、テンプレートの再利用を可能にすることで、自動化の力を高める役割も果たします。 自動化成果物は使用と再利用によって強化され、最適化されるため、クラウドの使用に対する信頼が高まります。

クラウドは今後も存在し続け、組織ごとに複数のクラウドが存在するのも現実です。 しかし、だからといって、セキュリティ インシデントの増加という現実を受け入れる必要があるというわけではありません。 標準化を念頭に置き、コラボレーションを妨げている可能性のある内部組織構造に注意しながらセキュリティ サービスに意図的に取り組むことで、組織はセキュリティの向上、自動化の拡大、そして最も貴重な資産である従業員のスキルと専門知識の最適化に向けて前向きな一歩を踏み出すことができます。