連載
» 2017年03月24日 05時00分 UPDATE

Gartner Insights Pickup(13):あらためて、クラウドはどこまで安全か

最高セキュリティ情報責任者(CSIO)は、クラウドコンピューティングをめぐる不確実性を取り除く必要がある。

[Kasey Panetta,Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップ。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 最近では、大企業でセキュリティが破られると、大々的に報道されるようになっている。そうした中、クラウドコンピューティングを取り巻くあいまいさが、企業としてのセキュリティ確保を非常に困難なものにしてしまうように見えることがある。問題は、クラウドのセキュリティ自体ではなく、セキュリティのポリシーと技術、および技術の管理にある。ほとんどの企業はクラウドの利用に馴れてきているか、少なくともクラウドがどのようなものかは理解しているが、クラウド技術が何を提供できるのかについては、誤認や誤解がまん延している。

 「クラウドコンピューティングは、いまだに誇大な宣伝が行われており、広く誤解されている。『クラウドコンピューティングが本当のところ企業に何をもたらすのか』については、さまざまなクラウドモデルにおけるセキュリティや管理についての、現実や想像上の懸念が錯綜(さくそう)しているせいでひどくあいまいになっている」と、ガートナーのリサーチバイスプレジデントを務めるジェイ・ハイザー氏は指摘する。

 どのような技術についても将来を予測するのは難しいが、ハイザー氏は、クラウドセキュリティに関して、次のような展望を示している。

2020年までに、パブリッククラウドIaaS(Infrastructure as a Service)のワークロードが影響を受けるセキュリティインシデントは、従来のデータセンターのワークロードより60%以上少ない

 ガートナーは「大手クラウドプロバイダーのセキュリティに対する体制は、ほとんどの企業データセンターと比べて同等以上であり、セキュリティは、もはやパブリッククラウドサービス導入の主要な阻害要因と考えるべきではない」との結論に達している。

 だからといって、「オンプレミスワークロードをクラウドに移行しさえすればいい」というほど簡単な話ではない。セキュリティチームはパブリッククラウドIaaSのインフラにおけるプログラム性を活用すべきだ。

 一般的に、セキュリティ攻撃が成功する原因を作ってしまうのはヒューマンエラーだが、プロセスをできるだけ自動化すれば、ヒューマンエラーが発生する可能性を最小限に抑えることができる。企業データセンターを自動化することも可能ではあるが、通常は、そのために必要なインフラのプログラム性を備えていない。

 こうした意味でのIaaSインフラの活用は徐々にしか進まないだろう。また、必ずしも全てのIaaSデータセンタープロバイダーがパブリッククラウドIaaS的な特性を備えているとは限らない。セキュリティやリスク管理のリーダーは、クラウドIaaSプロバイダーが備えているセキュリティ機能を利用するとともに、アプリケーションのセキュリティテストや脆弱(ぜいじゃく)性スキャン機能をデプロイサイクルに統合しなければならない。

2018年までに、適切なクラウド可視化および管理ツールを実装している企業の60%で、セキュリティ障害の発生が3分の2に減少する

 ワークロードをクラウドに配置することは、セキュリティとトレードオフではない。実際、IaaSクラウドプロバイダーは、ユーザーが必要な情報にのみアクセスできるように制限する機能を提供し、「誰が」「何を」「いつ」「どこで行ったか」の詳細を追跡している。企業は、クラウドに組み込まれたセキュリティの恩恵を受ける。

 クラウドコンピューティングはセキュリティ対策の範囲を縮小してくれるが、顧客は共有責任モデルに基づいて、コンピューティングスタックの一部を管理しなければならない。これは、情報保護のために新しいアプローチや方法を導入する良い機会になる。クラウドでは、これまでとは異なるセキュリティアプローチが要求される。オンプレミスのセキュリティの慣習や設計は、クラウドに保存された情報にはあまり有効ではない。

 セキュリティやリスク管理のリーダーは、クラウドプロバイダーが提供するネイティブな可視化機能と管理機能につき、セキュリティチームに加えてインフラ/オペレーション(I&O)チームに、アドバイスや教育を行う必要がある。さらに、可視性を向上させるクラウド対応ツールを吟味して導入し、開発者ではなく、セキュリティチームやI&Oチームに日々のセキュリティに関する責任を負わせるべきだ。

出典:Is the Cloud Secure?(Smarter with Gartner)

筆者 Kasey Panetta

Brand Content Manager at Gartner


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。