組織がマルチクラウドやハイブリッド環境を導入するにつれ、そのセキュリティ確保は複雑さを増しています。しかし、見過ごされるリスクは、脅威アクターからもたらされるものだけとは限りません。
例えば、組織の優先事項に沿わないセキュリティプロバイダーを選択することもリスクにつながります。最適なセキュリティ戦略は独立性、透明性、組織が合意した優先課題に基づいて構築されるべきです。
本稿では、クラウドセキュリティの選択肢を評価する際に、組織が検討すべき4つの重要な項目を紹介します。
(1)セキュリティは形式的な承認ではなく、確認が必須なものであるべき
クラウドセキュリティプロバイダーは、独立した保護組織として機能し、事業や構造上の問題よりもセキュリティ態勢を優先すべきです。クラウドプロバイダーの主要な収益源を優先させるために、クラウドセキュリティの有効性が損なわれてはなりません。
クラウドサービスとセキュリティの両方を1つの企業が管理する場合、重要なチェックおよびバランス機能が損なわれるおそれがあります。セキュリティをほかのビジネス上の検討事項によって左右されない最優先項目とするためには、独立した評価が不可欠です。
(2)優先事項が変わった場合、セキュリティの重要度はどうなるか
セキュリティベンダーは、しばしば広範なマルチクラウドのサポートを約束しますが、ビジネスの優先事項の変化が投資判断に影響を及ぼすことがあります。
セキュリティに対する投資が、すべての大手クラウドプロバイダーに対して継続的に最適化されるかどうかを評価することが極めて重要です。セキュリティに関する意思決定は、ベンダーの企業目標ではなく、リスクと組織のニーズに基づいて行われるべきです。
(3)セキュリティはポータブルであるべき、ベンダーロックインは避ける
クラウド環境は常に変化しており、組織には柔軟性が求められます。しかし、クラウドプロバイダーはしばしば、自社のエコシステムに顧客を縛りつけるような形でセキュリティソリューションを設計することがあります。その結果、移行コストが高額になったり、移行が煩雑になったりします。
真のセキュリティパートナーはポータビリティを確保し、保護を妥協することなく拡張やプロバイダー変更を可能にします。顧客を特定のプラットフォームに固定することによって利益を得るセキュリティベンダーには注意が必要です。
(4)アタックサーフェス全体をカバーする必要がある
現代のサイバー脅威は従来のクラウド環境の中にだけに存在するわけではありません。組織には、ハイブリッドクラウドやOT(制御、運用技術)を含むデジタルフットプリントの範囲を完全に網羅した包括的なセキュリティ戦略が必要です。
先進的なセキュリティアプローチでは、クラウドベースのリスクにとどまらず、アタックサーフェス(攻撃対象領域)全体をカバーする必要があります。
クラウドセキュリティの未来において「独立性」は譲れない要件
業界が進化する中で、組織はセキュリティパートナーが自社の真の利害に応えられるかどうかを検討する必要があります。クラウドセキュリティプロバイダーを評価する際には、以下の点を重視すべきです。
- 特定のクラウドに依存せず、クラウドプロバイダーと所有権の結びつきがないこと
- インフラの販売ではなく、セキュリティを専業としていること
- セキュリティ研究とイノベーションにおいて確かな実績があること
- マルチクラウドとハイブリッド環境の保護機能とシステムを提供できること
- 製品のロードマップや優先項目について透明性があること
- 長期的な柔軟性と制御を保証していること
クラウドセキュリティは重要な投資であり、各組織は自社のニーズに合ったソリューションを選択すべきです。昨今の変化しつつある環境で、公平性、透明性、そしてセキュリティファーストのアプローチがこれまで以上に重要になっています。
ランサムウェア被害を受けた徳島・半田病院事業管理者が語る、備えておくべきこととは
