クラウドサービスは、現代企業のデジタルトランスフォーメーションやオペレーションにおいて重要な役割を果たしています。しかし、このような取り組みを計画する際に、セキュリティチームが参加していないことが多く、組織が直面するリスクのレベルが高くなっています。セキュリティは、クラウドサービスを採用する際に不可欠な要素であり、イノベーションの妨げになるものではありません。

クラウド導入の加速

データやアプリケーションをクラウドに移行する企業が増えています。企業は、パブリック、プライベート、マルチ、ハイブリッドなど、さまざまなクラウドの構成を選択でき、また、クラウドを利用したサービス（IaaS、PaaS、SaaS）のいずれか、またはすべてを選択することができます。ITセキュリティチームはクラウドサービスを安全に保つために監視しようとしますが、実装や環境の違いは複雑さを生み出します。 　

同時に、クラウド技術はますます複雑化しています。企業はクラウドインフラに投資するだけでなく、コンテナ、オーケストレーションツール、サーバーレスアーキテクチャなどのクラウドネイティブ・テクノロジーを活用して、さらなる効率化とコスト削減を図っています。それに加えて、コロナウイルスの大流行も、クラウド型のソリューションやサービスの導入を加速しています。パンデミックですべてが変わりました。突然、組織は非常に大きな要求と予想外の課題に直面し、ピボットしなければなりませんでした。

セキュリティチームの重要な役割

このような大きな課題に直面したとき、すべての戦略的議論の中でセキュリティは常に考慮されるべきです。しかし、必ずしもそうとは限りません。変革やデジタルトランスフォーメーションの取り組みにおいて、セキュリティが障壁になると考えられていることは珍しくありません。

実際に、そうなってしまっている場合もあります。セキュリティチームは、しばしば「できないとばかり言う人たち」と言われます。「そんな短期間で新しいクラウドサービスを安全に提供することは不可能だ。このサービスが望ましいレベルのセキュリティを備えていることを保証することはできない。」

これらの障壁は、コストを最小限に抑え、市場を破壊し、競争上の優位性を得るためにイノベーションを求める企業の期待とは相反するものです。リーダーシップチームがクラウドファーストの考え方を取り入れるようになったことで、オペレーションチームとセキュリティチームの分裂が深刻化しています。

クラウド導入の課題

クラウドを使った業務が適切に設定または保護されていない場合、企業は新たなリスクに直面することになります。クラウドインスタンスの設定には、多くの場合、複雑で専門的な知識やトレーニングが必要です。クラウドセキュリティの基礎知識がないと、誤った設定をしてしまったり、脆弱なセキュリティ管理で誤ったセキュリティ意識を持ってしまったりします。これらのミスにより、クラウドの導入でデータ漏洩の危険性を生み、顧客データが流出した場合には規制当局から罰せられることになります。

さらに、多くの企業は、オンプレミスの時にはやっていたようなテストを、クラウドに対しては実行していません。セキュリティチームは、クラウド開発のセキュリティをテストするプロセスに参加し、組織のクラウドサービスを適切に監視する必要があります。これらのプロセスは、独立したプロセスとして扱うのではなく、企業全体のセキュリティプログラムに組み込む必要があります。

クラウドセキュリティの仕組みは、従来のオンプレミス型とは異なりますが、リスクの低減とコンプライアンスという最終目標は同じです。リスクはCISOとそのセキュリティチームにあり、それらを翻訳して、クラウドでのリスク低減とコンプライアンス要件を実装する必要があります。

リスクを最小限に抑え、ハイブリッド企業のインフラ全体でコンプライアンスを継続的に維持するためには、全体的かつ統一的なアプローチが不可欠です。そのため、CISOは、デジタルトランスフォーメーションやクラウドへの移行の計画段階から、実施、継続的な管理に至るまで、すべての関係者と密接に連携することが重要です。

効果的なクラウドマイグレーション計画

サイバー攻撃がより巧妙になり、敵対者がAIや機械学習を活用して企業やデータを狙う中、効率を重視し、クラウドに対応したCISOは、クラウドにおける企業の旅を安全にするためのスキルと知識をチーム内に備えている必要があります。以下は、効果的なセキュリティチームが実行しなければならないタスクの包括的なリストです。

ビジネスプロセスと目的を理解し、セキュリティ、リスク、プライバシー、コンプライアンス、データ統合のすべてのニーズに対して信頼できるアドバイザーとなる。

不正行為、データ損失、脅威などのリスクを回避するための戦略を策定する。

従業員、顧客、パートナー、データ、アプリケーション、およびインフラに対する情報セキュリティポリシーおよびプラクティスを実行する。

新たな脅威に対する検知、対応、修復、通知のプログラムを構築する。

セキュリティチームが、クラウドサービスおよびサービスプロバイダーの責任共有型セキュリティモデルを理解し、遵守することを保証する。

企業情報（特に機密データ）にアクセスできる可能性のあるすべてのサードパーティ・プロバイダーの評価を支援する。

規制当局や法務チームと協力して、コンプライアンス要件を満たすためのプロセスやテクノロジーを定義し、導入する。

企業のセキュリティスタンダード、ポリシー、技術スタックを策定し、実施する。

ITチームやDevSecOpsチームと協力して、脆弱性、構成、パッチプログラムを定義し、管理する。

ITやセキュリティの専門家は、これらの作業のいくつかは経験しているかもしれませんが、クラウドセキュリティのアーキテクチャ、設計、運用、サービスオーケストレーションのベストプラクティスを適用するために必要な高度な技術的スキルや知識は持ち合わせていません。

フルタイムの仕事

クラウドセキュリティを軽視することはできません。それはフルタイムの仕事であり、専門知識はあなたのビジネスに不可欠です。かつてセキュリティの専門家がオンプレミスのデータの課題に取り組んだように、クラウドでの保護も同様に、あるいはそれ以上に難しいものです。

しかし、進化し続けるクラウドとそのセキュリティを真に理解したいのであれば、CCSP（Certified Cloud Security Professional）の取得は、その経験をバックアップする手段となり得ます。

CCSPがお手伝いできること

CCSPは、クラウドセキュリティアーキテクチャ・設計・運用・サービスオーケストレーションにベストプラクティスを適用できる知識と能力を持つ、ITおよび情報セキュリティリーダーを認定します。この資格は、CISOとそのチームがクラウドセキュリティの最前線にいることを証明するものです。

CCSPは、クラウドセキュリティに関する専門知識の最高基準を示すグローバルな資格です。CCSP資格が専門知識の習得やキャリアアップにどのように役立つかについては、ホワイトペーパー「Cloud Security Skills Can Take Your Career to Infinity (And Beyond)」をダウンロードしてご確認ください。

ホワイトペーパーを読む

原文記事: https://www.isc2.org/Articles/Is-Your-Security-Team-Cloud-Ready