「クラウドセキュリティ」の5大脅威 「API」「IoT」から人的ミスまで2018年に注目すべき脅威をチェック(1/2 ページ)

2018年も、ITセキュリティチームはクラウド導入の安全性確保に引き続き心を砕くことになるだろう。本稿ではAPI、IoT、人間がかかわるミスに関連する共通のリスクを取り上げる。

2018年05月28日 09時00分 公開
[Stephen J. BigelowTechTarget]
画像

 企業のクラウド使用状況が変化する中、セキュリティモデルが複雑化し、ユーザー企業とベンダーの双方に新たなリスクが生まれている。本稿では、2018年に企業を脅かすクラウドセキュリティの脅威を5つ取り上げる。同時に、この脅威に対抗するベストプラクティスも紹介する。

1.曖昧な責任の所在

 「ワークロード(システム)はクラウドにあるのだから、自社には保護責任がない」と考えるユーザー企業もあるが、その認識は誤っている。実際には、ベンダーがユーザー企業のワークロードやデータを保護する義務は、サービス品質契約(SLA)に明記されている範囲に限定される。データの保持や回復、セキュリティに関する責任は、ベンダーではなく主にユーザー企業側にある。

 肝心なのは、ベンダーとユーザー企業の責任範囲を明示した「責任共有モデル」と、クラウドのワークロードを保護するのに必要な手順を理解しておくことだ。これに加え、ワークロードやストレージサービスを2カ所以上のリージョン(地域)に分散させる冗長構成によって、データが失われるリスクを軽減する必要がある。ある時点でのストレージ内容を取得する「スナップショット」をはじめとするバックアップ、リカバリーといった強力なデータ保護手段の導入は、有力な選択肢となる。データを暗号化したり、暗号化鍵を適切に管理/保護したりすることも重要だ。

2.不十分なセキュリティツールとテスト

 パブリッククラウドベンダーが提供するツールやサービスは、以下を目的として設計されていることが少なくない。

  • クラウドセキュリティの強化
  • クラウドリソースのセキュリティ状況の検証
  • 攻撃の緩和

 例えばAmazon Web Services(AWS)は、

  • プライベートネットワーク空間を構築できる「Amazon VPC」
  • Webアプリケーションファイアウォールの「AWS WAF」
  • パブリックインターネットを避けるための専用線接続を実現する「AWS Direct Connect」

といったセキュリティ関連サービスを提供している。こうしたサービスを利用すると同時に、Googleの「Stackdriver Monitoring」やMicrosoftの「Azure Monitor」といった監視ツールを活用して、クラウドの潜在的な脅威を特定することが重要だ。

 ペネトレーションテスト(侵入テスト)を実施して、システムが攻撃にどのように反応するかを確認し、脆弱(ぜいじゃく)性を明らかにしておく必要がある。ペネトレーションテストは、基本的にはシステムに意図的な攻撃を仕掛けて、脆弱な点を特定する。クラウドベンダーは、承認済みのリソースに対する侵入テストを許可し、支援する。

 分散型サービス拒否(DDoS)攻撃など、攻撃の進行中にはクラウドのユーザー企業がほぼ対処できない攻撃もある。こうした種類の攻撃は、クラウドのワークロードを応答不能に陥れてしまうためだ。DDoS攻撃による悪意のあるトラフィックは、クラウドリソースを大量に消費するため、ユーザー企業のコスト増につながる可能性がある。クラウドのこうした脅威を自動的に特定して軽減するには、クラウドベンダーが提供するDDoS保護サービスを使用することが重要だ。

3.人がかかわるミス

 人がかかわる要素が、セキュリティにおいて最も脆弱な要素の1つであることは今も変わらない。クラウドでは、こうした人的ミスによるリスクが増大する。

会員登録(無料)が必要です

Copyright © ITmedia, Inc. All Rights Reserved.

       1|2 次のページへ

新着ホワイトペーパー

製品資料 株式会社MONO-X

IBM i の資産を生かし、着実に DX へとつなげるモダナイゼーションの進め方

IBM i 基幹システムを運用する企業でモダナイゼーションが喫緊の課題となる中、推進の課題も多い。そこで、「クラウド」「ノーコード開発」「API」「AI」を主軸とするIBM i ユーザー向けモダナイゼーションサービスを紹介する。

製品資料 富士通株式会社

小売業のDXを加速する次世代のプラットフォームとは

小売業界にとって、顧客体験(CX)、従業員体験(EX)の向上ならびにDX推進は重要度の高い課題である。多拠点、多店舗、他業態を展開する小売業でCXとEXをグローバルに向上する次世代のリテールコマースプラットフォームとは。

事例 株式会社BeeX

わずか4カ月でデータ分析基盤の内製化に成功、ロッテに学ぶDX推進の秘訣

ロッテはシステムのAWS移行を進める中、DX推進の鍵は内製化比率の向上にあると考え、内製化の強化に踏み切った。本資料では、内製化の実現に向け、支援を受けながら、初めて取り組んだAWS開発と人材育成を成功させた事例を紹介する。

製品資料 株式会社AIT

国際間の映像データ配信や拠点間での動画共有も高速で、ファイル転送の注目手法

大容量データの送受信には、通信遅延や帯域制限の課題がある。本資料では、高速で安全なデータ送信を実現できるファイル転送プラットフォームを紹介する。導入時に気になるポイントとともに、料金プランも分かりやすく解説している。

製品資料 発注ナビ株式会社

リードが商談化できない? SaaS導入のベンダー側と企業側の悩みを一掃する方法

SaaSの利用が拡大する中、ベンダー側と企業側の両方がさまざまな課題を抱えている。ベンダー側は商談につながるリードが獲得しにくいと感じており、企業側は製品の選定に困難さを感じているという。双方の課題を一掃する方法とは?

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...