クラウドセキュリティ予算確保の鉄則とは? 経営層を動かす必勝パターン:クラウドセキュリティ予算取りのこつ【前編】
クラウドサービスの安全利用に欠かせないクラウドセキュリティ。その予算を確保するためには、どのような工夫が必要なのか。重要なポイントをまとめた。
価格高騰を背景にして大半の組織はコスト削減を進めており、サイバーセキュリティもその例外ではない。とはいえ、オンプレミスのシステムからクラウドサービス利用への移行が加速している中、クラウドセキュリティの十分な予算を確保することは組織にとって極めて重要なことだ。最終的に経営層を説得するために、具体的にはどのような準備をすればいいのか。クラウドセキュリティ予算取りのための4つのポイントのうち、本稿は1つ目と2つ目を取り上げる。
1.セキュリティ要件を定義する
リスク評価を徹底的に実施し、クラウドセキュリティにおいて何がリスクの要因になるのかを把握しよう。その際、重要なインフラやアプリケーション、データを特定し、どのような保護策を講じるべきかを明確にすることが大切だ。
リスク評価を踏まえた上で、ビジネスの視点を取り入れてクラウドセキュリティの目標を定めよう。例えば、ランサムウェア(身代金要求型マルウェア)攻撃のリスク軽減や、特定のセキュリティ規制への対応などが考えられる。目標を明確にすることにより、支出の優先順位付けがしやすくなる。
2.必要な技術とツールを選ぶ
一言でクラウドセキュリティと言っても、さまざまな技術やツールがある。組織はセキュリティ要件を定義した後、自社に必要な技術やツールは何かを定め、具体的な製品を検討する必要がある。
必要な技術やツールを選ぶ際、米国国立標準技術研究所(NIST)といったセキュリティ機関のフレームワークやガイドラインを参考にするとよいだろう。クラウドセキュリティに必要になる主な技術やツールは以下の通り。
- IAM(アイデンティティおよびアクセス管理)
- シングルサインオン(SSO)やMFA(多要素認証)、ID管理など、さまざまな機能が含まれる。IAMにはセキュリティ担当者だけではなく、システム運用担当者も関わることがあるので、両者の密な連携が重要だ。ID管理をサービス型で利用できる「IDaaS」(Identity as a Service)もある。
- データ保護
- データの暗号化やバックアップなど、データの盗難や損失を防ぐための対策を講じられる。
- 脅威の検出
- システムを監視しマルウェアといった脅威を検出するために、「SIEM」(Security Information and Event Management)や「CNAPP」(Cloud Native Application Protection Platform)のツールがある。システムの脆弱(ぜいじゃく)性を洗い出し、より的確なリスク評価につなげられる。
- コンプライアンス
- コンプライアンス(法令順守)の観点からクラウドサービスの構成や管理方法をチェックし、問題点を特定できる。
- インシデント対応
- クラウドサービスでセキュリティインシデントが発生したらアラートを出し、迅速に対策を講じられるようにする。
- セキュリティトレーニング
- 定期的なトレーニングによってセキュリティ担当者のスキルを高めたり、エンドユーザーのセキュリティ意識を向上させたりすることが重要だ。
後編は、3つ目と4つ目のポイントを紹介する。
TechTarget発 世界のインサイト&ベストプラクティス
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.