コンテンツに移動
セキュリティ & アイデンティティ

クラウド変革はこう進める: 成功企業に学ぶ 5 つのステップ

2024年5月20日
https://storage.googleapis.com/gweb-cloudblog-publish/images/GettyImages-523471482.max-2600x2600.jpg
Marina Kaganovich

Executive Trust Lead, Office of the CISO, Google Cloud

David Stone

Solutions Consultant, Office of the CISO, Google Cloud

※この投稿は米国時間 2024 年 3 月 22 日に、Google Cloud blog に投稿されたものの抄訳です。

クラウドで強固なセキュリティを実現するのは、容易なことではありません。それは、最先端のレーシングカー設計のための精密機械のチューニングに似ています。しかし、データの保護、およびアプリケーションのセキュリティ管理の構成に取り組むことにより、セキュリティ ポスチャーを強化して組織の競争力を一段と高めることができます。

Google Cloud の CISO オフィスでは、ビジネス リーダーの皆様から、機密性の高いアプリケーションをクラウドでホストすることをためらうという声をよく耳にします。クラウドへの移行に伴うセキュリティに関する懸念事項に何とか対応できても、クラウドのセキュリティを確保するためには、継続した取り組みが求められます。特に、クラウド サービス プロバイダの規模を計画的に拡大し、その管理を徹底すること、安全にワークロードをデプロイすること、人材不足という制約を解消することなどが重要となります。

Google Cloud の CISO オフィスでシニア ディレクターを務める Nick Godfrey が公開した最近の記事によると、このような課題は、多くの場合、技術面と運用面のプロセスを組み合わせることで乗り越えることができます。

「サイバーセキュリティは往々にして、問題が起きてから慌てて対処することになりがちです。最新のゼロデイ脆弱性が発見されれば慌てて対応し、発生する大量のアラートから本当に必要なものを見つけ出す作業に追われ、大急ぎで詳しい調査を実施しているのが実態です。ビジネス リーダーや取締役会のもとに馳せ参じてセキュリティの必要性を訴え続ける場合もあるでしょう。しかし、組織のリーダーにとって、先を見越して備えることこそが、強固なサイバーセキュリティを実現する肝となるのです」とNick は述べています。

お客様のお話を伺う中で、クラウド変革を成功させている組織では、サイバー セキュリティを全員の責任としていることがわかりました。

お客様のお話を伺う中で、クラウド変革を成功させている組織では、サイバーセキュリティに関する責任を社員全員が負っていることがわかりました。こうした組織では、全員が協力できる環境を築き、サイロを解消するよう組織のあらゆるリーダーに働きかけていることがわかっています。一般的に、以下の 5 ステップを実施しているリーダーが、クラウド変革に成功していると言えます。

1. 複雑な組織の舵取りをする

組織が取り組むクラウド変革は、IT 部門がリードするプロジェクトだと思われがちです。しかし、実際はそのような単純なものではなく、組織の全員が関与すべき難解な取り組みなのです。組織全体に同意を取り付けて、全員を巻き込むことが求められます。リーダーがこのような根本的な変革を先頭に立って指揮し、成功へ向けて前進させるためには、以下の取り組みが必要です。

  • 主な役割を定めてチームメンバーに権限を持たせ、スキルアップやクロストレーニングの機会を見出し、属人化のリスクに対処すると同時に、イノベーション創出を促進して成長につなげることを積極的に推奨する文化を築きます。
  • 特に、プロダクト、データ ガバナンス、リスク、コンプライアンス、法務など、セキュリティとの関わりの深いチームにおいて、従業員同士のコラボレーションを促進し、信頼関係を構築するための機会を積極的に創出し、セキュリティを第一とする文化を醸成します。
  • 組織のサイバーセキュリティに関する取り組み、およびそのリスク管理体制への影響について、可視性と透明性を確保し、経営幹部や取締役会がリスクに対し実効性のある議論を展開できるようにします。

2. クラウドのガバナンスにおいて中心的な役割を担う

変革をリードすること自体も簡単なことではありません。組織全体の構造やキープレイヤーについて深く理解することが求められます。単に運営委員会のミーティングを開催したり、ポリシーや手順を定めたりするだけでは、効果的なクラウド ガバナンス プログラムとはなり得ません。クラウドベースの優れた機能の活用とともに、戦略的な方向性、リスク選好度、技術スタック、運用まで織り込んだ、組織としてのビジョンを作成する必要があります。

サイバーセキュリティの役割は、持続的かつ広い範囲でイノベーションをサポートできる、強固なガードレールを作成することだと考えることができます。CIO、CTO、CISO、ビジネス リーダーは、デジタル トランスフォーメーションの取り組みを安全に進められるよう緊密に連携する必要があります。昨年のコラムにも書きましたが、可能であれば、新しいシステムやワークフローに最初からセキュリティのベスト プラクティスを組み込むと良いでしょう。

また、サイバーセキュリティのリスクは常に変化し続けており、組織が直面する可能性のあるリスクに関連した重要なメッセージを継続的に伝えることも必要です(しつこいくらいで良いのです)。メッセージを伝え続けることで、トップの姿勢を示すとともに、組織の全員を巻き込みながら、セキュリティやデータ保護についてリスクを軽減するという考え方を育むことができます。

カスタマイズされた管理手法をクラウドにそのまま取り入れようとすると、場合によっては数か月におよぶ開発時間が必要となる場合があります。

3. チームのサイバーセキュリティに関するスキルアップを図る

現在、グローバル規模で脅威が拡大し続けています。このような脅威の状況のなか、サイバーセキュリティのスキルを備えた人材不足が深刻化しており、この現状を鑑みると、チームのサイバーセキュリティに関するスキルアップを図ることが重要です。スキルアップに取り組むことで、チームにおける潜在的な脅威を見極め、軽減する能力を高めることができます。また、実行責任と説明責任を共有する文化を育むことで、それぞれの従業員が責任や権限を分担できるほか、専門的能力の開発を通して仕事の満足度を高め、従業員を定着させることにもつながります。

従業員のサイバーセキュリティに関するスキルアップを図るには、いくつかの方法があります。

  • オンライン コースや認定資格を活用し、サイバーセキュリティのコンセプトやベスト プラクティスなどの基礎を身に付けることができます。ハンズオン ラボや演習を通して学んだ知識をしっかり根付かせることができるコースもあります(Google Cloud 提供のトレーニングも用意されており、これらのトレーニングを通して、プロフェッショナル認定資格取得に向けて学習を進めることができます)。
  • 業界のカンファレンスに参加すると、サイバーセキュリティの最新トレンドを学び、他の専門家たちとの交流を深めることができます。
  • サイバーセキュリティに関する記事を読むことで、最近の脅威やベスト プラクティスについての最新情報を入手できます。ポッドキャストも優れた情報源です。

しかし結局のところ、実践経験に勝るものはありません。

4. 安全にクラウドにデプロイする

ワークロードを安全にクラウドにデプロイすることにより、データ保護とコンプライアンス遵守を確保し、サイバー脅威から保護して、ビジネスの継続性をサポートすることができます。推奨されるセキュリティ プラクティスを導入し、クラウド ファーストのセキュリティ機能を使用することにより、クラウドのメリットを享受しつつリスクを軽減できます。

時折、お客様が(多くの場合オンプレミスの実装や、より広くサードパーティ ベンダーの評価に基づく)既存の管理要件をそのままクラウドに当てはめて、クラウドへのデプロイのセキュリティを管理しようとする場合があります。カスタマイズされた管理手法をクラウドにそのまま取り入れようとすると、場合によっては数か月におよぶ貴重な開発時間を割くことになります。

このように既存の管理手法をクラウドにそのまま取り入れるのではなく、NIST 800-53CSA CCM などの、すでに確立されているクラウドに特化した管理手法の使用をおすすめします。これらのフレームワークを取り入れることで、簡単に管理体制を評価し、包括的なセキュリティ カバレッジを実現できます。Google Cloud は、クラウド アーキテクチャのベスト プラクティス実装ガイダンスやセキュリティ基盤のブループリントと併せて、クラウド変革の成功に向けてお客様を支援します。

5. クラウド プロバイダの管理体制を評価して継続的に監督する

特に金融サービスなどの規制の厳しい業界の組織では、多くの場合、クラウド プロバイダに対するデュー デリジェンスの実施が要件とされています。お客様には、アプリケーション固有の管理体制と、クラウド プラットフォームの管理体制を分けて評価する 2 本柱のレビューの実施をおすすめします。このように分けることで、プラットフォーム全体のベースラインに対する評価を行うとともに、アプリごとの個別の要件も評価することができます。

このアプローチでは、サイバーセキュリティ チームは、特定のワークロードに関係する管理体制のみに絞って関連する規制要件に従いレビューを行います。そのため、デプロイされる特定のアプリケーションに対するリスクの評価や、クラウドに保存されるデータの機密性の評価に集中して取り組むことができます。

クラウドで運用を行う場合は、クラウド ファーストの管理機能を利用すると、広範囲におよぶセキュリティ運用および継続的なリスク管理のためのモニタリングを自動化することができます。Security Command Center などのツールを使用することにより、セキュリティやデータの攻撃対象領域を評価できます。アセットのインベントリと検出の機能が備えられているほか、構成ミス、脆弱性、脅威を特定でき、リスクを見極めて修復するのに役立ちます。

成功のための秘訣

レーシングカーを製造する場合と同じく、クラウド変革を成功させるための唯一絶対の方法はありません。チーム間の効果的な連携を通じて、各自のクラウド環境に必要なセキュリティ管理体制を見極め、導入する必要があります。

さらに詳しいガイダンスについては、広範囲にわたりセキュリティを実現する方法CISO がクラウド セキュリティのメンタルモデルを身に付けるべき理由クラウド移行時に明らかにすべき主な問い、などのブログをご覧ください。

-Google Cloud、CISO オフィス、エグゼクティブ トラスト リード Marina Kaganovich

-Google Cloud、CISO オフィス ソリューション コンサルタント David Stone

投稿先