クラウド管理手法「FinOps」のメリットはなぜ“これほど多彩”なのか：FinOpsとセキュリティの関係【後編】

FinOpsチームとセキュリティ部門の連携は、企業システムにさまざまなセキュリティ面のメリットをもたらす。データ侵害、アカウント不正利用、設定ミスに対して、FinOpsはどう貢献するのか。

[Will Kelly，TechTarget]

　「FinOps」は、企業におけるクラウドサービスの財務管理を最適化する手法だ。IT部門、財務部門、事業部門が連携し、クラウドサービス利用の効率化とコスト削減を図ることが主な取り組みとなる。FinOpsチームとセキュリティ部門の協業により、企業はより強固で効率的なクラウド運用体制を確立できる。両者の連携は、さまざまな効果をもたらす。具体的な効果を詳しく見ていこう。

クラウド管理手法「FinOps」による多彩なメリット

併せて読みたいお薦め記事

連載：FinOpsとセキュリティの関係

• 前編：結局「FinOps」とは何か？　なぜコストにもセキュリティにも効果があるのか

FinOpsについて知る

• クラウドが「高過ぎる」なら、次は脱クラウドじゃなくてFinOps？
• 「FinOps」がうまくいかない理由とは？　クラウドコスト削減には何が必要か

　FinOpsチームとセキュリティ部門の協業体制は、企業を「財政的に健全で安全なクラウド運用」に導く。クラウドサービスへの支出パターンに対する企業の理解が進むほど、より適切なリソース配分や予算の組み立てができるようになり、クラウドセキュリティに割り当てられる予算や人員を増やせる見込みが生まれる。

　運用中のクラウドサービスを一元的に把握し、クラウドサービスの使用法や予算の使い方と、コンプライアンスの整合性を高めるのに役立つのが、FinOpsツールの予算管理機能とアラートだ。そうした改善は、企業システムのセキュリティと財務説明責任の向上につながる。会計書類を作成する機能は監査に欠かせない。作成した書類は、財務管理と規制要件へのコンプライアンスを実証できる。

　以下では、FinOpsがセキュリティに関する各問題でどう活躍するのかを解説する。

データ侵害

　FinOpsツールの導入やFinOpsの実践によって、企業はデータ侵害に対するセキュリティを強化できる。以下に例を示す。

• FinOpsツールは、クラウドサービスのコスト管理、特にデータ侵害の可能性を示す、想定外の支出の急増に関する分析を提供する。
• セキュリティ部門は、FinOpsチームが各部門やプロジェクトの支出を追跡するために使っているメタデータを活用して、機密情報へのアクセスを監視、制御できる。
• FinOpsチームとセキュリティ部門が連携することで、FinOpsツールの予算アラートがデータ侵害の兆候を示せるようになる。
• セキュリティポリシーに財務統制を組み込むことで、承認済みのリソースおよび構成のみの使用に限定し、脆弱性やデータ侵害につながりかねない設定ミスを防げる。
• FinOpsツールは、エンドユーザーアクティビティーとリソースの利用状況に関する洞察を提供することがある。こうしたツールは、脅威の可能性がある異常なアクティビティーや不正なアクティビティーを監視する上で重要な情報源だ。

なりすましとアカウント不正利用

　FinOpsチームは、FinOpsの取り組みを通じて、なりすましやアカウントへの不正アクセスの兆候を検出できる場合がある。企業がこのような攻撃に備え、不正行為を検出して対処するためには、クラウドサービスの監視とログの取得を継続的に改善することが欠かせない。

• クラウドサービスのアカウントに不正アクセスした攻撃者は、アカウント所有者が知らないうちに財務設定を操作したり、不正なサービスを開始したりできる。
  • 成熟したFinOpsは、このような異常がレポートに現れるタイミングを示すのに役立つ。
• 攻撃者はCFO（最高財務責任者）やFinOpsチームなど財務に関する権限を持つ正規ユーザーになりすますことで、クラウドサービスを不正に変更できる。
• 攻撃者は、クラウドサービス内のVM（仮想マシン）やクラウドストレージに不正なリソースを割り当て、攻撃活動の踏み台や暗号資産のマイニングに悪用する。
  • こうした攻撃は、FinOpsツールの活用やツールへのポリシー適用で防ぐことができる。
  • 攻撃者がクラウドサービスへの課金情報を操作するスキミング攻撃を防御するのにも役立つ。

設定ミス

　クラウドサービスの設定ミスは、コスト超過やクラウドセキュリティ問題の主要な要因だ。FinOpsツールは財務部門とDevOps（開発と運用の融合）チームの両方の視点で、設定ミスへの対処に活用できる。以下のFinOpsデータは、設定ミスを軽減する際に有用な可能性がある。

• ショーバックとチャージバックに関するデータ
  • ショーバックは、クラウドサービスのリソース使用量やコストを事業部門に提示するコスト可視化方法。
  • チャージバックは、クラウドサービスのコストを事業部門に請求する支払いモデル。
  • どのチームやプロジェクトにクラウドサービスの設定ミスがあるのかを突き止めるのに役立つ。
• コストの可視化とレポート作成
  • 潜在的な設定ミスを示す異常を特定できる。
• 支出がしきい値に達すると予算アラートを出す仕組み
  • クラウドサービスの潜在的な誤設定を警告する。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。