1990年代は、データのある場所を見つけるのは簡単でした。自宅であればPC、企業に勤めている場合はエンタープライズサーバーに限られていました。
クラウドの登場をきっかけとして、すべてが変わりました。データはあらゆるところに存在する可能性があり、それはアプリケーションにも言えることです。スマートフォンでGoogleドキュメントにアクセスしているなら、またはSalesforceソフトウェアを使用して顧客管理をしているなら、そのデータあらゆる場所に保存されている可能性があります。無関係なユーザーがネットワークにアクセスできないようにするだけでよかった頃よりも、データの保護は難しくなっています。
クラウドセキュリティとは、技術、プロトコル、ベストプラクティスを総動員して、クラウドコンピューティング環境、クラウドで実行されるアプリケーション、クラウドに保存されているデータを保護することです。現在は大企業の90%でクラウドコンピューティングが使用されているため、クラウドセキュリティは企業のサイバーセキュリティの極めて重要な部分となっています。
クラウドコンピューティングのセキュリティリスクは、個人消費者にも影響があります。消費者は、ファイルの保存とバックアップ(Dropboxなどのサービスを利用)、メールやオフィスアプリケーションなどのサービス、納税申告書やアカウントの作成にクラウドを利用しているからです。
大きな組織は、独自のオフィスビルやキャンパスを所有することに等しいインターネット、プライベートクラウドを構築することができますが、個人や小規模企業はパブリッククラウドサービスを利用しなければなりません。これはオフィスをシェアしたり、他の複数の住居者とアパートに住んだりするようなものなので、セキュリティを何よりも優先する必要があります。個別に暗号化するか、個別のストレージ用に論理的にセグメント化するかは別として、自分のデータと顧客データを分離する必要があります。
クラウドの最大のリスクは、境界がないことです。従来のサイバーセキュリティは境界の保護に重点を置いていました。ところがクラウド環境は接続性が高く、安全ではないAPI(アプリケーションプログラミングインターフェイス)やアカウントハイジャックが大きな問題を引き起こす可能性があるということです。クラウドコンピューティングのセキュリティリスクに直面している今、サイバーセキュリティ専門家はデータ中心のアプローチに移行する必要があります。
相互接続性もネットワークに問題を引き起こします。漏洩した、または脆弱なログイン情報を利用し侵入したハッカーは、クラウド上の保護の甘いインターフェイスを簡単に開いて利用し、さまざまなデータベースやノードにあるデータを見つけることができます。ハッカーは独自のクラウドサーバーを、盗んだデータのエクスポートおよび保存先として利用することさえ可能です。セキュリティは、クラウドデータへのアクセスを保護するために使用されるだけでなく、クラウドの「中」にも必要です。
データの保存をサードパーティに依存し、データへのアクセスをインターネット接続に依存していることに付随するリスク要因もあります。何らかの理由でこれらのサービスが中断すると、データにアクセスできなくなります。モバイルネットワークが停止するとクラウドにアクセスできない可能性があります。停電によって、データの保存先であるデータセンターが影響を受けることもあります。
このような中断の影響は長期にわたるかもしれません。最近では、Amazonのクラウドデータファシリティの停電で、サーバーがハードウェアの損傷を受け、一部の顧客のデータが失われました。これは、少なくとも一部のデータとアプリケーションのローカルバックアップが必要である理由を、現実的に示している例となりました。
クラウドのセキュリティリスクを念頭に置くと、クラウドプロバイダを選択するときに考慮すべき重要な点の1つがセキュリティです。サイバーセキュリティはもはや自分の仕事ではありません。クラウドプロバイダが安全なクラウド環境を構築し、データセキュリティの責任を共有する役割を果たす必要があります。
次のような質問をすることが必要です。
また、利用規約をよく読む必要もあります。利用規約を理解することなく、望むサービスが得られなくても文句を言うことはできません。
銀行が金庫室の設計図を金庫の番号とともに顧客に提供しないように、クラウド企業はネットワークのセキュリティに対する詳細な計画をユーザーに教えたりしません。ただし、上記のような質問に対してしっかりした回答を得られれば、クラウド資産が安全でプロバイダがクラウドの明らかなセキュリティリスクに適切に対処している、という確信を高められます。
ユーザーはサプライチェーン全体を把握していることを確認する必要もあります。ファイルがDropboxにあるか、iCloud(Appleのストレージクラウド)にバックアップされている場合、恐らく実際はAmazonのサーバーに保持されています。したがって、AWSと、直接使用しているサービスの両方を確認する必要があります。
クラウドで自分のデータを保護するためにできることも、たくさんあります。そのための最善の方法の1つは、セキュリティの手段として暗号化を使用することです。
暗号化には次のようにさまざまな利用方法があり、クラウドプロバイダまたは別のクラウドセキュリティソリューションプロバイダによって提供されることもあります。
暗号化でデータをスクランブルして、暗号化キーを持っている人だけが読み取れるようにします。データが紛失したり盗まれたりしても、暗号化キーがなければ読み取ることはできません。財務情報、機密情報、ビジネス上慎重な扱いを要する情報の場合はこれが不可欠です。クラウドを利用して企業のグラフィックやビデオなどの機密性の低いデータを格納するだけの場合は、エンドトゥエンドの暗号化は過剰かもしれません。
クラウド内では、データの移動中に傍受されるリスクが高くなります。1つの保管場所から別の保管場所に移動するとき、またはオンサイトのアプリケーションに送信されるときに、脆弱になります。これが、重要なデータにとってエンドツーエンドの暗号化が最適なクラウドセキュリティソリューションである理由です。
暗号化を使用している場合は、暗号化キーの安全な管理が重要であることを忘れないようにしましょう。キーのバックアップを保管してください。できれば、クラウドでは保管しないでください。また、暗号化キーは定期的に変更しましょう。誰かがアクセスしても、変更したときにシステムから締め出すことができます。
以下はクラウドの実装に組み込むべき、いくつかの基本的なサイバーセキュリティのヒントです。クラウドのデータ漏洩の多くは、設定ミスなどの基本的な脆弱性が原因です。それを防げば、クラウドのセキュリティリスクを大幅に削減できます。
これだけでは不安な場合は、個別にクラウドセキュリティソリューションプロバイダを利用することをお勧めします。
クラウドデータを他者とどれだけ共有しているかも、考える必要があります。コンサルタントやフリーランサーとして仕事をしている場合は、特に必要です。Google Driveや別のサービスでファイルを共有するのは、クライアントと仕事を共有する手軽な方法かもしれませんが、自分が権限を適切に管理していることを確認する必要があります。たとえば、異なるクライアントがお互いの名前やディレクトリを参照したり、お互いのファイルを変更したりすることか可能であることは絶対あってはなりません。
クラウトストレージサービスを利用する場合は、データを暗号化していないことを忘れないでください。暗号化を利用してデータの安全を確保するため、データをアップロードする前に、自分で暗号化ソフトウェアを使用して暗号化する必要があります。クライアントにキーを渡すことによって初めて、クライアントがファイルを読むことができる、ということが重要です。
クラウドを使用している場合でも、標準的なサイバーセキュリティ対策を無視するべきではありません。オンラインで最大限に安全であるためには、次のことを考慮してください。
最後に、接続しているデバイスごとに個別のセキュリティサービスを利用するのではなく、Kaspersky Security Cloud,などの保護製品を購入することをご検討ください。コンピュータとスマートフォンのすべてが管理されます。さらに、VPNも付属しているため、オンラインでの保護に必要なものがすべて揃います。