マイクロソフトが、クラウド利用を踏まえた自社のセキュリティ状況を把握し、対策するヒントになる「セキュリティチェックリスト」を公開。「これらを継続的なプロセスとして実施すべき」だという。
米マイクロソフトは2016年8月15日(米国時間)、企業がクラウド利用におけるセキュリティ状況を自己評価するための「セキュリティチェックリスト」を公開した。
同社は「クラウドコンピューティングやIoT(Internet of Things)がグローバル経済の変革を続ける中、企業はクラウドセキュリティ対策を“継続的なプロセスとして実施”しなければならない」と提言。そのためには、クラウドコンピューティングおよびIoTシステムにおける主要なリスクを正しく把握するとともに、自社のクラウド利用におけるセキュリティ状況を定期的にレビューし、その結果に基づいてセキュリティ対策を調整していく必要があると述べている。ここでは全8項目のうち、すぐ実践すべきとする4項目の解説を抄訳する。
企業のセキュリティチームは、日々多数のセキュリティソリューションを管理し、平常時であっても数千に上るセキュリティアラートを監視している。同時に、インシデントが発生したら迅速な対応が取れる体制を整えておく必要がある。
企業は、こうした日々のセキュリティ業務と緊急体制、チームの整備に、十分な資金が投資されているかどうかを定期的に点検しなければならない。
近年は、たった1回の情報漏えい事故で数千万ドル規模の損害になる可能性がある。このため、情報漏えい防止対策はクラウドセキュリティ戦略の柱となる。
具体的には、「いつ、どこで、誰が、どのように」ビジネスデータにアクセスしているかを常に監視し、定期的にレビューする必要がある。ユーザーに与えられている権限が、ユーザーの職務や責任から見て適切かどうかを監視することが重要だ。また、各種のデータにおける権限の与え方も一貫していなければならない。
2016年現在、会社員は平均17種類のクラウドアプリケーションを使っているという。オフィスだけでなく、さまざまな場所から、時には自身のデバイスで企業のリソースにアクセスしてくるので、これまでのオンプレミス型セキュリティツールやポリシーでは現状把握や管理が難しくなっている。
このために、ネットワーク上のモバイルデバイスやクラウドアプリケーションのユーザーを特定できるかどうかをチェックし、それらの利用行動の変化を監視できるようにするツールやポリシーの導入が必要となる。また、不注意によるデータ流出のリスクを軽減するには、プライベートで使うSNSなどのアプリケーションやサイトアクセスに関する「自社のルールや方針」の周知徹底も必要となる。
従来のリモートアクセス手段は、VPN(Virtual Private Network)を用いて、社外にいるユーザーと企業ネットワークを結んでいた。社外ユーザーに対する社内アプリケーションの公開はリスクがあるものの、利用は限られるので、管理は行えた。しかし昨今のクラウドソリューション、プラットフォーム、インフラが進化する中で、ユーザーの業務ニーズも大きく変わっている。
そのため企業は、企業リソースの管理と保護に役立つ「新世代の安全なリモートアクセス戦略」が必要とされている。具体的には、リスクの特定と検証に必要な時間とリソースを減らすための「自動化された適応型ポリシーの採用」などを検討する必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.