テクノロジーリーダーがどのようにアプリにAIを組み込み、複雑なネットワークを保護しているかなどをご覧ください。
クラウドは機会とリスクの両方を提供し、ほとんどの組織にとって、機会はリスクをはるかに上回っています。しかし、リスクの多くは、潜在的なコンプライアンス違反という形で生じます。つまり、データの保存、アクセス、改ざん、または漏洩の危険性で、組織はこれまで以上に複雑化するデータ保護とプライバシー規制の枠組みを遵守できなくなる可能性があります。
さらに悪いことに、多くのITおよびセキュリティの専門家は、そのリスクがどこにあるのかさえ把握できていません。また、大多数の企業で生じているように、データやワークロードが複数のクラウドに分散するにつれ、可視性はますます難しくなります。クラウドは霧のようになり、潜在するコンプライアンスリスクを妨げる存在となりました。一方で、国際企業が遵守しなければならない法域ごとの要件は増え続けています。
このようなコンプライアンスリスクを管理するには、セキュリティの枠組みが不十分であることが判明したため、ITチームとコンプライアンス担当者は、クラウド内のコンプライアンス違反を事前に特定し、軽減できるような新しいアプローチを必要としています。
クラウドホストされたデータが権限のない人物に公開された場合、企業は顧客の信頼を失い、評判の失墜、規制当局から監視の可能性、その他の好ましくない結果に直面することになります。最悪の場合、データ漏洩により、企業がデータを保護するための合理的な対策を講じていないと規制当局が判断すると、罰金を科される可能性があります。
そうした漏洩はどのようにして発生するのでしょうか。ソーシャルエンジニアリング攻撃から不十分なアクセス制御、外部の悪意のある者による厳然たるデータ漏洩まで、さまざまなものが考えられます。しかしながら、クラウドには、データ漏洩を回避するための独自のハードルや課題があります。特に、セキュリティに対する責任をクラウドプロバイダーとクラウド顧客が共有するため、設定ミスは大きなリスクとなります。
クラウドデプロイメントにおける設定ミスと呼ばれる意図しないヒューマンエラーは、クラウド内のデータに対する最大リスクの1つです。パブリッククラウドのデプロイメントを誤ってパブリックインターネットにさらしたり、誤って設定したりすると、2020年にTwilioに生じたように、大規模な侵害につながる可能性があります。
クラウドの設定ミスは増加しています。より多くの企業がクラウドベースのサービスに移行するに伴い、攻撃対象領域が拡大し、リソースの設定ミスによる露出リスクが高まります。Gartnerに調査よると、「2027年までに、クラウド環境で侵害されるデータレコードの99%は、ユーザーの設定ミスやアカウントの侵害の結果であり、クラウドプロバイダーの問題によるものではない」としています。
多くの場合、設定ミスがすでに影響を及ぼした後に初めて、問題が発見されます。これは、クラウドセキュリティポスチャ管理(CSPM)やクラウドネイティブアプリ保護プラットフォーム(CNAPP)サービスなど、広く普及しているタイプのクラウドセキュリティソリューションの多くが、DevOpsチームがこれらのサービスをセットアップしている最中ではなく、事後になってから現象を検出するためです。事後に検出されるとアラートが発せられますが、問題の修正に時間がかかり、クラウドリソースが一時的に危険にさらされることになります。
コンプライアンス違反や設定ミスが原因で攻撃にさらされていると組織が認識しても、その時点で既に手遅れかもしれません。
クラウドにおけるデータセキュリティ、完全性、コンプライアンスに関しては、他にも次のような多くの課題があります。
データ流出:デジタル資産は、資産がクラウドにあるかオンプレミスにあるかにかかわらず、悪意のある当事者にあらゆる種類の攻撃ベクトルを提供します。ただし、マルチクラウド運用では、物理的なインフラストラクチャが組織の直接的な管理と責任の外にあるため、さらなる脅威が加わります。単純なソーシャルエンジニアリング攻撃から、高度にカスタマイズされた脆弱性の悪用まで、攻撃者はクラウドからデータを抽出するさまざまな方法を持っています。
マルチテナンシー:パブリッククラウドは多くの組織によって共有されており、パブリッククラウドを保護する責任はクラウドプロバイダーとクラウド顧客との間で発生します。クラウドホストされたデータは、セキュリティ境界が構成されていない場合、他のクラウドテナントと誤って共有される可能性があることが調査で示されています。
シャドークラウドインフラストラクチャ:企業は最終的に、使われなくなったり忘れられたりするクラウドインスタンスを抱えることがよくあります。これは、組織が移行、変化、拡大し、役割や責任が調整される中で、自然に起こることです。このような事態は、善意の従業員が自分の仕事を遂行するために自ら対処しようとするものの、承認されたIT手順から逸脱する場合に生じることもあります。その結果、シャドーの二次的なマルチクラウドインフラストラクチャが生まれ、機密情報が含まれるにもかかわらず、セキュリティポリシーが適用されておらず保護されていない状態になる可能性があります。
これらのクラウドコンプライアンスとセキュリティの課題は、組織にリアルタイムの影響を及ぼします。クラウドリスクレポートで、CrowdStrikeはクラウドの利用が95%増加したことを詳述しています。さらに、攻撃者がパブリッククラウドサービスを直接狙った例が288%とさらに増加しています。さらに、そのような侵害の発見にさえ、平均207日かかることがわかっており、侵害の封じ込めにはさらに時間がかかります。
クラウドのセキュリティ問題は長引いており、企業は無防備な状態になっています。これは、規制コンプライアンス、財務の健全性、そして企業全体の安全性の面で時限爆弾を抱えているようなものです。さらに財務上のリスクが高まっています。EUの一般データ保護規則(GDPR)だけで課す制裁金は、最大で2,000万ユーロまたは当該企業の全世界における年間売上高の4%のいずれか高い方に達する可能性があります。
加えて、各法域には独自の規制があります。データ保護のために必要なセキュリティとプライバシー対策は世界中で異なります。主な規制には、以下のようなものがあります。
すべてのクラウドインスタンスが関連するすべての規制枠組みに準拠しているかを手作業で確認することは不可能に近いタスクです。また、企業が新たな市場に参入しようとする際に、ビジネスの展開を妨げることもあります。
最後に、すべてのデータおよびシステムの定期的な監査なしにコンプライアンスを実証することは困難です。組織が複数のクラウドプロバイダーにまたがるマルチクラウド展開に依存している場合、これは困難です。
必要なのは予防的な取り組みです。すべてのリスクやエラーを事前に予測して防止することは不可能であるため、予防策は、すでにミスが発生した後ではなく、クラウドインスタンスがデプロイされるときに実施するインラインセキュリティとコンプライアンスチェックの形式を採用する必要があります。エラーは自動的に追跡・軽減され、コンプライアンスは手動ではなく自動的に適用される必要があります。
Cloudflareはまさにこのタイプのお客様向けのインラインクラウドセキュリティチェックを、当社のプラットフォームに組み込んでいます。Cloudflareは、セキュアな設定を自動的に評価して実施することにより、お客様のクラウドセキュリティコンプライアンスを合理化します。これにより、強固なセキュリティと最も一般的な規制枠組みへのコンプライアンスを確保できます。CloudflareはクラウドAPIトラフィックを検査して、高い可視性ときめ細かな制御を実現して、リスク低減とクラウドセキュリティ体制の管理に予防的に取り組むことができます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
この記事では、以下のことがわかるようになります。
クラウドコンピューティングのセキュリティとコンプライアンスリスク
マルチクラウドインフラストラクチャの使用がどのように設定ミスにつながるか
複数のクラウドおよび複数の法域にまたがるデータコンプライアンスに対する潜在的なソリューション
クラウドベースのアプリケーションサービスのセキュリティの詳細については、ホワイトペーパー「アプリケーションサービスの保護と接続における3つの課題」をご覧ください。
ホワイトペーパーを入手する