Close

クラウド セキュリティの理解

クラウド セキュリティとは何か?

クラウド セキュリティとは、クラウド インフラストラクチャ、データ、アプリケーションを保護するための技術とプロセスです。物理的なセキュリティ対策 (セキュア ドア ロック、警備員、建物チェックイン プロセスなど) はオフィスの建物のセキュリティを確保しますが、クラウド セキュリティ対策 (ゼロ トラスト セキュリティ、シングル サインオンなど) はデジタル侵害に対するセキュリティを確保します。

パブリック クラウド (共有サーバーでホストされる)、プライベート クラウド (プライベート サーバーでホストされる)、またはハイブリッド クラウド (パブリック クラウドとプライベート クラウドの組み合わせ) のいずれを選択しても、セキュリティはほとんどの企業にとって最優先事項であり、それにはもっともな理由があります。2019 年前半だけでも、3,800 回を超える侵害によって 41 億件のデータ漏洩が発生しました。データ漏洩の平均コストは 392 万ドルです。

クラウド セキュリティとオンプレミス セキュリティ

多くの企業にとって、「クラウドはオンプレミスと同レベルのセキュリティを確保できるのか?」は大きな疑問になっています。クラウドの黎明期にはその答えは「いいえ」でした。しかし、それから長い時間を経て、現在では驚くような答えに至っています。

データによれば、今ではクラウドの方がオンプレミスよりもセキュリティに優れている可能性が高くなっています。事実、クラウドに移行した企業の 94% が、クラウドへの移行によってセキュリティが改善したと答えているのです。クラウドに移行した Atlassian のお客様 300 社を対象とした TechValidate 調査によれば、Atlassian のお客様の 92% がクラウド セキュリティはオンプレミス セキュリティと同等か、それより優れていると述べています。

Rollercoaster Digital でリード エンジニアを務める Jarrett Prosser 氏は、同社の Atlassian クラウドへの移行について、クラウドの安定性とセキュリティは、私たちがオンプレミスよりも大幅に優れています。個々のユーザー ライセンスで拡張できれば、コスト効率が大幅に向上します」と語っています。

オンプレミスとクラウド セキュリティの主な違い

クラウド セキュリティがそれほど優れているのはなぜでしょうか? 答えは、ベスト プラクティスの中でも特に綿密なセキュリティ テストディザスタ リカバリ計画転送中の暗号化、保存時の暗号化を実践していることです。もちろん、クラウドはゼロ トラスト セキュリティを採用しており、複数回のセキュリティ チェックが行われます。一方、オンプレミスは通常 1 回のみです。

オンプレミス: 城の堀のようなセキュリティ

オンプレミスがシングル セキュリティ チェックを好むと言う場合、ほとんどのオンプレミス システムは城の堀のように機能することを意味しています。システムは城であり、堀はセキュリティ チェック (通常は全社 VPN およびファイアウォール) です。このシステムは、堀が破られない限りは有効です。しかし、堀が破られたとたん、問題が発生します。悪意のある者がシステムに侵入するだけでなく、すべてのものにアクセスできるようになってしまうためです。城全体が危機にさらされるのです。

クラウド: ゼロ トラスト セキュリティ

ゼロ トラスト セキュリティは、1 回限りのセキュリティ チェックよりも継続的な検証を重視するセキュリティです。原則は次のとおりです。

  • 認証情報、デバイスなどに基づく頻繁な認証
  • 必要なものだけへのアクセスの制限
  • エンドツーエンドからのセッションの暗号化

これは、ファイアウォールを置いておけば必ず安全だとは想定せず、ゼロ トラストはすべてのアクセス要求に対して認証、承認、暗号化を行うことを意味します。

つまり、ゼロ トラスト セキュリティによって、クラウドは一連の島々のように機能します。オンプレミスの 1 つしか堀がないアプローチとは異なり、それぞれに堀があります。1 つに侵入しても、他のものにはアクセスできません。つまり、1 回のログインで 1 つのシステムまたは課題に脆弱性があったとしても、島のエコシステム全体が危機にさらされるわけではないということです。

クラウド: ID 管理

クラウドにおける ID 管理は、単一のクラウド システム内および複数のクラウド システム間における個別のユーザーの役割とアクセスの定義と管理を行うことです。優れた ID 管理プログラムは、単一の ID を各ユーザーに割り当て、各ユーザーに割り当てられた権限に基づいてツールとシステムへのアクセス権を付与する必要があります。

クラウド ID マネージャーのコア機能には、次のものが含まれている必要があります。

  • ユーザーが単一のセキュアなログインによって複数の製品とシステム間を移動できるようにする SAML シングル サインオン
  • ユーザー認証のための 2 段階認証
  • パスワード ベスト プラクティスに基づくパスワード ポリシー
  • セキュリティの課題の早期解決に役立つ優先サポート

クラウド セキュリティへの鍵

クラウドへの移行を計画している場合、セキュリティを最大限に高める方法に関する以下の 3 つのヒントが有用です。

1. 正しいベンダーを選択する

クラウドに移行した Atlassian のお客様 300 社を対象とした TechValidate 調査によれば、Atlassian のお客様の 92% がクラウド移行後のセキュリティは移行前と同等か、それ以上であると述べています。しかし、これはすべてのクラウド ベンダーに当てはまるわけではありません。そのため、セキュリティに関してはベンダーの選択が重要です。

幸い、規制を遵守したクラウド ベンダーは数多く存在します。多くの場合、クラウド ベンダーは、平均的な IT 組織に可能な水準を超えるリソースをセキュリティ、プライバシー、コンプライアンスに投資しています。もちろん、多くのクラウド ベンダーが最先端のセキュリティ ベスト プラクティスを熟知した専門性のあるチームを抱えています。結局のところ、ベンダーの評判と全体のプラットフォームは顧客からの信頼の上に成り立っています。

では、クラウド ベンダーがセキュリティおよびプライバシー要件を満たしているかどうかは、どのように判断しますか? クラウド ベンダーを評価するコツは次のようなものです。

  • どのコンプライアンス証明書を取得しているか確認しましょう。
  • (必要なリスク管理の水準はデータによって異なるため) チームがアプリケーションに含めるデータの種類と、データがさらされる実際のビジネス リスクを検討しましょう。
  • ベンダーが権限とシステム上のデータへの各人のアクセスをどのように管理しているかを確認しましょう。

2. 責任を共有する

クラウド ベンダーはあなたのチームのため多くのセキュリティ タスクを引き受けますが、あなたが一切の責任を免れるわけではありません。最もセキュリティの高い企業は、連携することでシステムとデータを安全に保ちます。

優れたクラウド ベンダーは、アプリケーション自体、アプリケーションが実行されるシステムおよびそれらがホストされる環境のセキュリティに責任を持ちます。通常、そのようなベンダーは、あなたのチームは作業不要な自動更新とバグ修正を提供します。

あなたのチームは、アカウント内の情報の管理、必要なユーザーと権限、インストールして信頼する Marketplace アプリに責任を負います。

3. 継続的なガバナンスを計画する

セキュリティには、クラウド ベンダーとチームの両方による継続的なガバナンスが必要です。チームは、クラウド プロバイダーとアプリからのセキュリティ更新やポリシーを随時確認するだけでなく、定期的に監査を行い、セキュリティ部門に持ち込む必要があるシステム外のシャドー IT または不適切なデータ ストレージなどの要素を確認する必要があります。

クラウド セキュリティ リスク (およびその軽減方法)

シャドー IT

シャドー IT は、IT の承認を得ていない、または IT の監視外にあるシステムまたはツールの使用です。安価に、場合によっては無料で利用可能なツールが急速に増えてきているため、シャドー IT のリスクも日増しに大きくなっています。事実、McAfee によれば、企業が自社のシャドー IT を調査すると、通常、元々の想定の 10 倍のシャドー IT が検出されます。

これは、クラウド セキュリティにとって何を意味するでしょうか? Gartner 氏は、「CIO は、「クラウドはセキュアか?」ではなく、「私はクラウドをセキュアに使えているか?」とたずねるようにすべきです」と述べています。

データから、オンプレミスで運用していると考えている企業ですら、実際にはクラウド ツールを使用していることが分かっています。IT が必ずしもそれを把握しているわけではありません。

シャドー IT がもたらすリスクを軽減するための最初のステップは、自社で実際に使用しているツールの監査です。シャドー IT エコシステムは実際にはどのように見えるでしょうか? 以降のステップは以下のとおりです。

  • それらのツールのセキュリティの評価
  • セキュリティの追加と IT 部門へのそれらのツールの持ち込み
  • セキュアではないツールの使用の停止と従業員に対する実行可能な代替案の提供

文書化されたシャドー IT ポリシーを導入し、従業員に求められることとその理由を従業員にも理解させることも重要です。

デバイス & 私有デバイスの業務利用 (BYOD) ポリシー

クラウドの大きな利点の 1 つが、従業員がどこからでも複数のデバイスで作業できるようになることです。しかし、そのためには、すべてのデバイスがセキュリティ標準に準拠していることを確認する必要があります。従業員がセキュアではないデバイスを業務に使用するリスクを軽減するには、以下の事項を示す BYOD ポリシーを導入する必要があります。

  • 従業員が会社から支給されたデバイス以外で行えることと行えないこと (アクセスまたはダウンロードしてはいけないデータはありますか? 会社から支給されたセキュアなデバイスでしか使用できないアプリはありますか?)
  • 制限されている (またはセキュアではない) Web サイト、アプリケーション、または用途
  • 会社のデータが保存された従業員のデバイスが盗まれた場合、またはそのデバイスのデータを削除する必要がある場合はどうなるか
  • 会社のデータにアクセスするデバイスのセキュリティ要件 (パスワード要件など)
  • 支払いポリシー (従業員が業務にデバイスを使用している場合、貴社は代金の一部またはすべてを支払いますか?)

データ公開設定とセキュリティ

GDPR とカリフォルニア州プライバシー規制法に加え、毎年新たな規制が施行されているため、データ プライバシーは日増しに重要度を増しています。もちろん、あなたの従業員と顧客はあなたの機密情報の取り扱いに対する要求は高いものです。

データ漏洩または GDPR 違反のリスクを軽減することは、転送中および保存時にデータを暗号化しており、サードパーティ アプリに厳しいデータ プライバシー標準を求め、デフォルトでプライバシー法を順守したクラウド製品を提供しているベンダーを探すことを意味します。

アプリのセキュリティ

優れたベンダーは必ずサードパーティ アプリにもセキュリティ要件を適用しています。厳しいセキュリティ要件を適用し、GDPR を順守し、バグ報奨金プログラムを導入しているベンダーを探しましょう。また、ベンダーによって入念に監査されていない外部のアプリまたは統合を使用することを選択した場合、専門家にセキュリティ リスクの評価を依頼することを推奨します。

アトラシアンのセキュリティ

アトラシアン社員の 92% がクラウドに移行してもセキュリティは以前と同様の水準を保てる、または改善すると述べているのは理由があります。それは、当社のクラウド製品、インフラストラクチャ、およびプロセスに組み込まれており、当社は日々その改善にコミットしています。

透明性は、当社のセキュリティ理念の鍵となるものです。そこで当社は Cloud Security Alliance (CSA) とパートナー関係を結び、当社のプラクティス、方針などをすべて公開しています。

Atlassian によるシステムとデータの保護方法の詳細については、Trust Center を利用するか、以下の追加セキュリティ リソースを参照してください。

* 320 社を超える Atlassian のお客様を対象とした TechValidate 調査に基づいています。


Security Center のご案内


次の記事

Cloud プラットフォーム

Atlassian Trust Center を確認してください

アトラシアンの製品やサービスのセキュリティ、信頼性、プライバシー、コンプライアンスに関する最新情報を提供しています。

クラウド移行

クラウド移行について

クラウドが組織に適しているかどうかの評価を開始するために必要なすべてのリソース、ツール、サポートをご利用いただけます。