クラウドセキュリティに対する不安からクラウド移行に踏み切れない企業や、クラウド移行したもののクラウドセキュリティに依然として懸念がある企業に向けて、クラウドで実現するセキュリティ対策を事例とともに解説する本連載。今回は、クラウドセキュリティ管理基準の策定〜実装〜運用で得た気付きとポイントについて。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
クラウドセキュリティに対する不安からクラウド移行に踏み切れない企業や、クラウド移行したもののセキュリティに依然として懸念がある企業に向けて、クラウドで実現するセキュリティ対策を事例とともに解説する本連載。今回は、クラウドセキュリティ管理基準の実装から運用について、事例とともに留意点を解説します。
本稿では、顧客環境や自社の共用インフラ環境において、クラウドセキュリティ管理基準の策定から実装、運用に至るまでさまざまなフェーズで関わってきた筆者の経験を基に、その事例およびポイントを解説します。
既に各事業部や部門でクラウドの利活用が進んでいる一方で、クラウドサービスの利用指針や管理基準の策定、管理態勢の整備が追い付いていないと感じている企業も少なくないと推察します。管理基準がない、または管理態勢の構築がまだ十分でない顧客を担当したときの気付きを2つご紹介します。
1つ目は、企業としての一定の基準がないことから、各組織やチームの意識や認識の差で、セキュリティの取り組みレベルに差が生じていたことです。そのため、セキュリティに関する意識が低い部門が利用しているサービス経由でセキュリティ侵害が発生しかねない状態でした。
2つ目は、クラウドに関する管理基準がなく、PDCAサイクルがスタートできていないことから、課題を整理できていないことです。経営層やITセキュリティ部門が漠然とした不安や懸念を感じており、「なんとなく不安」や「いつかうちもA社と同じようなことが起きるのではないか……」といった課題意識はお持ちでした。しかし、課題が整理できていないため、クラウドセキュリティの取り組みが進んでいませんでした。
このような気付きを踏まえ、クラウドセキュリティに関する管理基準の策定、実装、運用におけるポイントを紹介します。
Copyright © ITmedia, Inc. All Rights Reserved.