複数法域が存在する世界におけるマルチクラウドコンプライアンス
霧のようなクラウド:重大な結果をもたらしかねない不確実なリスク
クラウドがもたらす機会は、依然としてリスクを大幅に上回っています。そして、リスクの多くは規制関連です。データ保護とプライバシーに関する規制フレームワークが増えて複雑化しており、データの保存、アクセス、改ざん、漏洩がコンプライアンス違反になる可能性があるためです。
さらに悪いことに、多くのIT・セキュリティ担当者は、そのリスクがどこにあるのかさえ把握できていません。データとワークロードがマルチクラウド環境全体に分散するにつれ、可視化が難しくなっています。クラウドがフォグ化し、潜在するコンプライアンスリスクを見えにくくしています。一方で、国際企業が遵守しなければならない法域ごとの要件は増え続けています。
従来のセキュリティフレームワークでは、これらのコンプライアンスリスクの管理に不十分であることが判明しているため、ITチームとコンプライアンス担当者は、クラウド内のコンプライアンス違反を発生前に特定して軽減できる新しいアプローチが必要です。
クラウドコンプライアンスの課題
クラウド上のデータが露出すると、顧客の信頼が失われ、評判が低下し、規制当局による監視の対象となります。最悪の場合、データ漏洩があって、合理的なデータ保護対策を講じていなかったと規制当局が判断すれば、制裁金を科される可能性があります。
露出はソーシャルエンジニアリング、不十分なアクセス制御、明白なデータ侵害などさまざまな経路で発生します。しかしながら、クラウドには、データ漏洩を回避するための独自のハードルや課題があります。特に、セキュリティに対する責任をクラウドプロバイダーとクラウド顧客が共有するため、設定ミスは大きなリスクとなります。
意図しないヒューマンエラー(特に設定ミス)は、クラウド内のデータに対する最大のリスクの1つです。パブリッククラウドのデプロイメントを誤ってパブリックインターネットに公開するなどの設定ミスが、大規模な漏洩につながりかねません。
クラウドの設定ミスは増加しています。より多くの企業がクラウドベースのサービスに移行するに伴い、攻撃対象領域が拡大し、リソースの設定ミスによる露出リスクが高まります。
多くの場合、問題が検出されるのは設定ミスが悪影響を及ぼした後です。これは、クラウドセキュリティポスチャ管理(CSPM)やクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)サービスなど、広く使用されているタイプのクラウドセキュリティソリューションの多くが、事後に現象を特定するためです。
事後に検出される�とアラートが発せられますが、問題の修正に時間がかかり、クラウドリソースは一時的に危険にさらされます。設定ミスが原因でコンプライアンス違反になっていることや攻撃に対して脆弱になっていることを認識した時点では、既に手遅れかもしれません。
クラウド上のデータのセキュリティ、完全性、コンプライアンスを確保する上では、他にも次のような多くの課題があります:
データ流出:デジタル資産は、資産がクラウドにあるかオンプレミスにあるかにかかわらず、悪意のある当事者にあらゆる種類の攻撃ベクトルを提供します。ただし、マルチクラウド運用では、物理的なインフラストラクチャが組織の直接的な管理と責任の外にあるため、さらなる脅威が加わります。単純なソーシャルエンジニアリング攻撃から、高度にカスタマイズされた脆弱性の悪用まで、攻撃者はクラウドからデータを抽出するさまざまな方法を持っています。
シャドークラウドインフラストラクチャ:企業は最終的に、使われなくなったり忘れられたりするクラウドインスタンスを抱��えることがよくあります。これは、組織が移行、変化、拡大し、役割や責任が調整される中で、自然に起こることです。また、善意の従業員が業務を遂行するために自ら対処しようとし、承認されたIT手順から逸脱する場合に生じることもあります。その結果、把握も管理もされずセキュリティポリシーによる保護もないシャドークラウドインフラストラクチャが生まれる可能性があります。
マルチテナンシー:パブリッククラウドは多くの組織によって共有されており、パブリッククラウドを保護する責任はクラウドプロバイダーとクラウド顧客との間で発生します。セキュリティ境界が適用されなければ、クラウド上のデータが他のクラウドテナントと誤って共有される可能性があります。
これらのクラウドセキュリティの問題は長引く可能性があり、企業は無防備な状態になります。規制コンプライアンス、財務の健全性、組織全体の安全性に関しても、リスクは非常に高くなっています。EUの一般データ保護規則(GDPR)だけで課す制裁金は、最大で2,000万ユーロまたは当該企業の全世界における年間売上高の4%のいずれか高い方に達する可能性があります。
複数の司法管轄区��が存在する
セキュリティとコンプライアンスをさらに複雑にする要因として、各法域が独自の規制を設けていることが挙げられます。セキュリティ対策とプライバシー対策は地域によって異なります。主な規制には、以下のようなものがあります。
すべてのクラウドインスタンスが関連するすべての規制フレームワークに準拠していることを確認するには、手作業だけではほぼ不可能です。また、すべてのデータとシステムの定期的な監査なし��にコンプライアンスを実証することは困難です。複数のクラウドプロバイダーにまたがるマルチクラウドデプロイメントに依存している場合は、さらに困難になります。このような時間のかかる作業は、新市場参入を検討する際に、事業拡大やビジネス開発の妨げになる可能性があります。
クラウドセキュリティソリューション
高くつく設定ミスを減らすためには、予防的アプローチとして、クラウドやSaaSのアクティビティのほぼすべてが行われるコントロールポイント、API呼び出しを保護する必要があります。すべての設定ミスを事前に防ぐことは不可能ですが、被害発生後だけでなく、新しいクラウドインスタンスがデプロイされる際にすべてのAPI呼び出しをインライン検査できるようにしておく必要があります。さらに、手作業の操作を追加しないために、エラー検出・軽減とコンプライアンス適用の自動化も必要です。
クラウドベースのセキュリティプラットフォームを使ってエッジでルール設定と制御ができれば、その予防的アプローチの実装に役立ちます。
Cloudflareは、セキュアな設定を自動的に評価して実施することにより、お客様のクラウドセキュリティコンプライアンスを合理化�します。これにより、強固なセキュリティと最も一般的な規制枠組みへのコンプライアンスを確保できます。CloudflareはクラウドAPIトラフィックを検査して、高い可視性ときめ細かな制御を実現して、リスク低減とクラウドセキュリティ体制の管理に予防的に取り組むことができます。
各リージョンのロケーションで制御とガードレールを提供することにより、Cloudflareは、脆弱性を招き、コンプライアンスを損なう可能性のある多くのクラウド設定ミスを防止するのに役立ちます。これらの機能をインライン(組織と使用しているクラウドの間)に配置することで、Cloudflareプラットフォームはセキュリティとパフォーマンスの制御を一元的に管理します。その結果、複数の法域でマルチクラウドを最大限に活用しつつ、効率を高め、リスクを軽減することができます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
この記事では、以��下のことがわかるようになります。
クラウドコンピューティングのセキュリティとコンプライアンスリスク
マルチクラウドインフラストラクチャの使用がどのように設定ミスにつながるか
複数のクラウドおよび複数の法域にまたがるデータコンプライアンスに対する潜在的なソリューション
関連リソース
このトピックを深く掘りさげてみましょう。
クラウドベースのアプリケーションサービスのセキュリティの詳細については、ホワイトペーパー「アプリケーションサービスの保護と接続における3つの課題」をご覧ください。