地政学的緊張が高まる中、組織はクラウド上のデータを保護するための新たな課題に直面している: 変化し続ける規制と高まるサイバーリスクだ。これは場合によっては、米国に本社を置く主要クラウドプロバイダーの代替手段を検討することを意味する。
ソブリンなローカルまたはリージョナルクラウドプロバイダーを利用することで特定の地政学的リスクは軽減されるが、CISOは共有責任モデルの両側面においてそれらが持つセキュリティ上の課題を考慮しなければならない。クラウド主権の提供を迫られているクラウドプロバイダーは、多くの場合、他のビジネス・技術的能力を犠牲にしてそれを実現している。ハイパースケールプロバイダーと比べてクラウドインフラのセキュリティが脆弱な傾向があり、ネイティブなガバナンス、レジリエンス、セキュリティ機能、またセキュリティコントロールを補完するサードパーティのエコシステムが不足していることが多い。
したがってCISOは、クラウドのセキュリティとクラウド内のセキュリティの両面に注目することで、これらの代替プロバイダーの利用をクラウドワークロードの配置において適切に制限する必要がある。
クラウドセキュリティの確保
クラウドプロバイダーはデータセンターの施設、ハードウェア、ソフトウェア、サービスを保護しなければならない。また、外部からのサイバー脅威に対して防御するとともに、悪意のある内部関係者に対しても強固な防衛体制を持つ必要がある。なぜなら国家を背景とする脅威アクターが、スパイ活動やサイバー戦争を目的としてクラウドプロバイダーに工作員を潜入させる可能性があるためだ。
多くの代替クラウドプロバイダーはISO 27001認証を取得しているが、これはプロバイダーがセキュリティに誠実に取り組んでいることを証明するに過ぎない。プロバイダーが自社環境の保護のために実際に採用しているセキュリティコントロールを認証するものではない。
そのためCISOは、ISO 27001、ドイツのBSI C5 Type 1監査、またはそれに類する監査を、クラウドのセキュリティが十分であることの保証として扱うべきではない — 特に、その認証がコントロール監査(BSI C5 Type 2など)と組み合わされていない場合はなおさらだ。
代替クラウドプロバイダーを選定する際に監査認証を考慮するほか、CISOはそのプロバイダーがインフラにファームウェア保護、内部アクセスの保護、データ破棄の仕組みを備えているかどうかも確認すべきだ。
クラウド内のセキュリティ
クラウドのIaaSとPaaSはいずれも共有責任モデルで運用される。クラウドプロバイダーがクラウド自体のセキュリティに責任を持つ一方、顧客はクラウド上の自社環境とデータのセキュリティに責任を持つ。
つまりクラウド利用者は、適切なガバナンス、クラウドワークロードの保護、その他のセキュリティ対策を実装しなければならない。また、必要なコントロールの決定とその正確な実装も組織の責任である。
クラウドの設定ミスは侵害につながる可能性がある。プロバイダーネイティブのコントロールが理想的であることが多いが、多くの組織は サードパーティによる多層的・補完的コントロールの導入も選択しており、それ自体が新たなリスクをはらんでいる。これがトレードオフだ: CISOはしばしば代替クラウドサービスをオンプレミス運用と同様に扱わざるを得なくなり、結果として組織のセキュリティ体制が弱まり、クラウドの恩恵が損なわれてしまう。
残念ながら、すべての代替クラウドソリューションがエンタープライズ用途を想定して設計されているわけではない。多くは単一のIT管理者を持つ中小企業向けに作られており、公開Webサイトをホストする用途を前提としている。そのため、複数の管理パーティションではなく単一アカウントモデル、プライベートネットワークではなく完全なインターネット公開、限定的なネットワークセキュリティといった欠点を抱えていることが多い。
ソブリンクラウドプロバイダーと連携するためのCISOプレイブック
CISOは、特に機密性の高いまたは重要なワークロードについて、ソブリンクラウドプラットフォームの承認に直接関与し続けなければならない。目標は導入を阻止することではなく、「賛成、そしてその方法はこうだ」というアプローチを取り、複数のホスティング選択肢を組み合わせながらサイバーリスクを可視化・管理可能な状態に保つことだ。
以下にいくつかのヒントを示す:
ソブリン要件と法的要件を明確に理解する
法務部門と連携して適用される規制フレームワークを特定し、各アプリケーションおよびワークロードに関連するセキュリティ、データ保護、レジリエンスの要件を把握する。この評価は主権のみに留まらないものでなければならない。
ワークロードの目録作成とグループ化
対象となるすべてのワークロードを特定し、規制上の義務、内部のセキュリティおよびレジリエンス要件、機密性、重要度、ビジネスへの影響に基づいてグループ化する。環境の複雑さを反映しつつも、ワークロード階層の数を最小限に抑えることを目指す。
各ワークロードグループに必要なコントロールを定義する
すべての階層について最低限有効なコントロールを文書化する。これには、組織が実装するコントロール、ホスティングプロバイダーに期待するコントロール、主権・ローカライゼーション・レジリエンスに関する要件が含まれる。複数チームからのインプットは不可欠だが、アウトプットは現実的かつ実施可能なものでなければならない。
コントロール要件に基づきリージョナル・ソブリンプロバイダーを評価する
構造化されたプロバイダーリスクフレームワークを出発点とし、代替プラットフォームが各ワークロードグループに定義されたコントロールベースラインを満たせるかどうかを詳細に評価する。
ワークロード配置マトリクスの構築
グローバルハイパースケーラー、ハイパースケールのソブリン提供、リージョナルクラウドプロバイダー、オンプレミス環境など、すべての実行可能なホスティング選択肢を含むマトリクスを作成する。主権、セキュリティ、レジリエンスなどの交渉不可能なコントロールが利用可能かどうかを判断する。
プロバイダーを許容されるワークロードタイプにマッピングする
ワークロード配置の意思決定の指針としてマトリクスを活用する。一部のソブリンワークロードはリージョナルクラウドプラットフォームに適しているかもしれないが、要件によっては多くがオンプレミスでホストするのが最も効果的となる。
結論:効果的なソブリンクラウドの意思決定には、主権目標が長期的なセキュリティ、レジリエンス、能力を犠牲にしないようCISOが確保することが求められる。
チャーリー・ウィンクレスはGartnerのサイバーセキュリティリーダーシップチームのVPアナリストである。Gartnerのアナリストたちは、6月1日〜3日にメリーランド州ナショナルハーバー、7月22日〜24日に東京、8月4日〜5日にサンパウロ、9月22日〜24日にロンドンで開催されるGartner Security & Risk Management Summitにて、セキュリティおよびリスク管理リーダー向けにさらなる知見を提供する予定だ。カンファレンスのニュースや最新情報はXおよびLinkedInで #GartnerSECを使ってフォローできる。
翻訳元: https://www.cybersecuritydive.com/news/how-cisos-can-manage-sovereign-cloud-security-risks/821323/
