クラウドへの移行が企業のリスクを軽減
Google Cloud Japan Team
※この投稿は米国時間 2022 年 4 月 14 日に、Google Cloud blog に投稿されたものの抄訳です。
過去 10 年間、サイバーセキュリティは、企業にとってますます大きなリスクとなっています。実際、最近の Allianz Risk Barometer で、サイバー インシデントが調査史上 2 度目の首位となりました。このようなリスクへの対策は、課題が増える一方です。攻撃者はアジャイルに動く傾向があり、常に新しい方法で貴社のデジタル環境に潜り込むことを狙っています。また、有効な攻撃ベクトルを使用します。このため、企業のリスク管理責任者は、インフラストラクチャやデータを保護する新たな方法の模索を余儀なくされています。
現代のサイバーセキュリティ脅威の状況において、クラウド時代が到来
クラウドのさまざまな提供モデルが初めて登場したとき、何十年にもわたってネットワークを守ってきたセキュリティのフレームワークに、クラウドはうまく当てはまりませんでした。パブリック クラウドは、規模、リソース、セキュリティ機能、予算サイクルの制限など、IT に関する継続的な課題を解決するものでした。現在、パブリック クラウドは、今日のグローバル企業を保護できるサイバーセキュリティのコントロールとフレームワークの導入という、増大する課題に対応しています。
クラウドの導入は、その規模や長年のセキュリティ パラダイムを再分配することから、特に組織がデジタル トランスフォーメーションに取り組む上で、インフラストラクチャとセキュリティにおいて最適な選択といえます。クラウドのスケール、セキュリティ アーキテクチャ、復元力を活用することなしに、デジタル トランスフォーメーションを成功させることは不可能です。
その結果、クラウドの導入は、組織が全体的なリスクを低減するにあたってのロードマップの議論と計画に必要な要素となります。リスクリーダーや企業のサイバーセキュリティ担当責任者は、データ、デジタル プロセス、優先ワークロードをパブリック クラウドに移行することが、企業の現在および将来のデジタルニーズを満たすために重要なステップであることを考慮する必要があります。今後、このデジタル トランスフォーメーションには、オンプレミスのソリューションとクラウドのソリューションの組み合わせによるハイブリッドなインフラストラクチャ環境がますます増えていくでしょう。
脅威の発生場所を特定する
組織内のデジタル環境が複雑化すればするほど、攻撃者にプロアクティブに対抗することは難しくなります。既存のセキュリティや制御のフレームワークを実装し、拡張し、遵守することは難しくなります。また、新しいアプリケーションにフレームワークのガイダンスを適用し、安全な基盤の中でインフラストラクチャを構築してサポートし、デジタル ライフサイクルを通じて優れたサイバー衛生を維持することは、ますます困難になっています。
TechTarget が報じているように、2020 年に発生した IT パフォーマンスのモニタリング システムである「SolarWinds Orion」のハッキングはその代表的な例です。この事件は、「一企業が侵入されたからではなく、より大規模なソフトウェア サプライチェーン事件の引き金となったゆえに」という見出しを飾りました。一般に市販され、広く利用されているソフトウェアの脆弱性は、定型的なソフトウェア更新がバックドア マルウェアであることが判明したときに、何千もの企業のデータ、ネットワーク、システムを危険にさらすものとなりました。
有名なセキュリティ侵害の背後にある根本的な問題をよく見てみると、現代のセキュリティ組織が新たな課題に十分な速さで対応することを妨げているのは、アジリティの欠如とリソースの拡張性の欠如であることがわかります。さらによく見ると、ベスト プラクティスの導入が不十分なことや効果のないソリューションも多く見られ、組織は常に次のツールやソリューションを追い求め、新たな脅威の先を行くために苦戦していることがよくわかります。
個々の企業にとっての代償は大きいものの、ほとんどの企業は、データ セキュリティの基本を厳格に維持し、避けられない攻撃への備えを確実にするために必要なスキルやリソースの確保に苦慮しています。サイバー セキュリティの準備万全な状態を効果的に維持することが、専門知識の継続的な向上、新しいツールの評価、そして継続的な警戒を必要とするコストのかかる作業であることを考えると、上記の説明は特に真実であると言えます。
脅威の可視化は大きな問題です。目に見えないものから会社を守ることはできません。オンプレミス サーバー、多様なエンドポイント、プライベートおよびパブリック クラウド インスタンスを組み合わせて重要なデータ ワークロードを収容している個々の企業にとって、進行中の戦いで優位に立つためには、新しいアプローチが必要です。
実行可能なアラートなどのデータを特定することが、全体的な準備万全状態の向上に貢献します。自律型のセキュリティ運用に関連するソート リーダーシップや議論は、変化するテクノロジー状況に身を任せようとするセキュリティ組織にとって、有望な展望をもたらすものです。現状では、セキュリティ スタックで自動化と機械学習を活用し、そのメリットを享受するようになっています。脆弱性の混入や重要なアラートの見落としを減らすには、ますます拡大し、複雑化する環境を完全に可視化することから始まります。
責任の共有から運命の共有への進化
業界のメガトレンドは、クラウドの導入を促進し、それに伴い、サイバーセキュリティを向上させる道も開かれています。その中で、歴史的な責任共有モデルを発展させたものとして、運命の共有という考え方があります。運命の共有は、より多くの企業がクラウドに移行することで広がる信頼増加のフライホイール効果を促進します。それが、クラウド サービス プロバイダにより高いセキュリティ投資と既得権益を要求することにつながります。
Google Cloud では、運命の共有として、お客様のセキュリティ体制に積極的に関与し、パブリック クラウドでの安全なデプロイと構成を確保するための機能とデフォルトを提供しています。また、クラウド ワークロードのセキュリティ構成方法について経験に基づく指導を行い、リスク管理、低減、移転の支援を行います。
Google Cloud Risk Protection Program は、運命の共有モデルの継続的な進化の象徴です。このプログラムは、現代の企業に、自社セキュリティの現状と、巧みに導入されたクラウド セキュリティのフレームワークとの大まかな比較を提供する実用的なソリューションです。また、Google Cloud のパートナーである Allianz および Munich Re が提供する、お客様のニーズに合わせたサイバー保険についてもご紹介しています。
クラウドの導入に真摯に取り組めば、サイバーセキュリティの全体的な有効性を高めることができます。ハイブリッド アプローチを採用し、オンプレミスに残すデータ資産を着実に減らすことで、全体的なセキュリティ体制を強化し、組織にとってのリスクを低減できます。
クラウド セキュリティとリスク低減能力
個々のプライベート クラウドのデータやワークロードを保護するために企業ごとにセキュリティ対策に奔走するのと比較して、Google Cloud のようなグローバルなパブリック クラウド ソリューションは、確立されたベスト プラクティスに従うことで何倍もの力を発揮できます。つまり、文字通り、インフラストラクチャやソフトウェアからアクセスやデータ セキュリティに至るまで、あらゆるタッチポイントでセキュリティが強化されます。
パブリック クラウドにおける強力なセキュリティは、ハードウェアと設計要素という基礎的な部分から始まります。たとえば、Google では、データセンターと専用コンポーネント自体の両方で、安全性を重視した設計のアプローチを取っています。Google Cloud では、データはデフォルトで暗号化されています(安静時、転送時の両方)。Google の基本的なセキュリティ アーキテクチャは、ゼロトラスト原則に準拠しています。これは、あらゆるネットワーク、デバイス、人、サービスが、最初は信頼されないことを意味しています。
ゼロトラスト アーキテクチャに着手することで、現代のセキュリティ実務担当者は、従来の攻撃ベクトルを体系的に遮断できます。また、ゼロトラストは、急速に拡大する環境において、よりきめ細かい可視性と制御を実現します。最近、米国ホワイトハウスがサイバーセキュリティの復元性向上に関する大統領令でゼロトラストのメリットを強調したことは、このアプローチのメリットについて政府と産業界の両方が広く認識したことを示す例と言えます。
10 年以上前にゼロトラスト アプローチを採用して以来、Google は、社内インフラストラクチャと複数の企業向けプロダクトに反映されるように、認知できるレベルの成熟度を達成し、ゼロトラスト セキュリティのジャーニーのさまざまな側面を可能にします。
クラウド導入サイクルの重要な要素であるコンプライアンスとプライバシー
プライバシー フレームワーク、規制コンプライアンス、データ主権は、クラウド導入サイクルの重要な要素となっています。クラウド プロバイダは、世界中の規制やコンプライアンスを先取りして満たすためのツールを組織に提供するために、必要な管理、証明、監査能力を確保する必要があります。
今では、一貫して、クラウドのジャーニーに組み込まれた設計機能の一部であることが期待されており、単なるアドオン機能では十分ではありません。この傾向は今後のクラウド導入において、より顕著となり、さらに大きな役割を果たすことになるでしょう。これは企業のリスク評価の継続的なコンポーネントであるため、企業はこの重要な局面においてパートナーとして機能するクラウド プロバイダを検討する必要があります。この重要なニーズの高まりに対応するためのリソースがないまま放置するクラウド プロバイダは適切ではありません。
デジタル トランスフォーメーション ジャーニーに信頼を組み込む
デジタル トランスフォーメーションが難しいのは、現代の企業が今日と明日の両方のために構築し、設計しなければならないからです。セキュリティの観点からは、セキュリティ業界の実務者が必ずしも将来を予測できないことがしばしば課題となっています。とはいえ、プロセス全体を通して全方位的なリスクを軽減するための明確な手順はあります。
もちろん、クラウドにどのようにアプローチするかは、お客様のジャーニーに不可欠なものですが、オール オア ナッシングの提案である必要はありません。また、以前のシステムによる技術的負債が今も存在していても、前進は可能です。
Google Cloud では、自分のペースでモダナイズでき、何が現実的なのかを理解できます。今日は、できる限りのデータをより安全なパブリック クラウドに移行し、その後、数か月、数年と段階的に移行していくことをおすすめします。パブリック クラウドにおけるセキュリティのアプローチとして、Google Cloud が重要視しているのは次のことです。
Google Cloud の安全性を重視した設計の姿勢は、ゼロトラスト原則に基づいたアーキテクチャにより、現代の企業によるセキュリティ機能の拡張とリスクの低減を支援する。
Google Cloud のセキュリティと復元力に対するアプローチには、Google の包括的なソリューション スイートを使用して、悪質なサイバー イベントから保護するためのフレームワークが含まれている。
Google Cloud は、拡大し、ますます複雑化する規制やコンプライアンス環境の要件に、お客様の組織が確実に準拠できるよう支援する。
インフラストラクチャの設計とアーキテクチャにおいてクラウドが主要な役割を果たすのが将来の組織の理想的なモデルであり、組織はパブリック クラウドをビジネスのイネーブラーとして、またデジタル トランスフォーメーションのコア コンポーネントとしてとらえる必要がある。
パブリック クラウドへのデータ移行が進むなか、クラウド サービス プロバイダとの信頼関係がすべてのステップに根ざしていることが不可欠です。多くのサービス プロバイダは、セキュリティに関して、お客様の組織と責任を共有する態勢をすでに整えています。Google では、パブリック クラウドにおけるデータ セキュリティを確保するために、さらに数歩踏み込んだ運命共有モデルを採用しています。お客様の未来も Google Cloud の未来も、同じデータ セキュリティ ジャーニーの一部です。
- Google Cloud、CISO オフィス ディレクター M.K. Palmore
- Google Cloud セキュリティ グローバル リード ソリューション マネージャー Wade Holmes