クラウドセキュリティの責任共有モデル

クラウドセキュリティには多くの側面がありますが、一般的にはあまりそれが認識されておらず、単純な見方をすることで問題の重要性を見逃しているような状況が発生しやすくなっています。たとえば、特定のクラウドサービスプロバイダーを信頼し、すべてのセキュリティ責任は彼らにあると考えるかもしれませんし、一部の人々は、技術的な側面(データが暗号化されている)または認証(ISO 27xxxに準拠している)といった面だけを見て、人為的なミスなどの側面を忘れる場合があります。残念ながら、これらの見方はいずれも、企業にとって安全ではないクラウドの使用状況とそれによるデータ損失を招いてしまう可能性があります。

クラウドのセキュリティ保護の範囲を説明するために、クラウドセキュリティ要件を9つの領域に分割し、各領域が確実に対処されるようにする方法を説明する新しいホワイトペーパー「クラウドセキュリティの共有責任モデルの全容」を作成しました。

私たちの生活の中では、たとえそれに通常明確な区切りがないとしても、私たちは責任を共有しています。たとえばレンタカーを借りるときなど、責任範囲についてあまり考えていないと思いますが、実際は責任を共有しています。

まず自動車が新品の場合、メーカー側には道路を走行するに耐えるものであるという責任があります。良いブレーキとタイヤがあり、エアバッグが機能し、最初のコーナーでバラバラになることはありません。生涯の間、レンタル会社と賃借人はエアバッグのテストを行わないことを望みます。彼らは、彼らが最初に設置された通りに機能すると仮定しています。

車が古くなると、所有者(レンタル会社)がタイヤ、ブレーキの点検、車の整備、走行性の維持に責任を負います。借主は、これが事実であると想定します。賃借人は車両の適切な運転免許証を持っている必要があり、これは車が引き渡される前にレンタル会社によってチェックされます。

車には、メーカーが取り付けたシートベルトが含まれていますが、自分で装着するのはドライバーの責任であり、家族全員など、同乗者が装着することを確認する必要があります。幼児の場合、適切なチャイルドシートを確保することはドライバーの責任であり、年長の子供の場合、親はシートベルトが外れないようにする必要があります。

損害保険は、レンタル会社と借主(おそらく、唯一の運転手ではない)との間で共有されます。最終的に、ドライバーは状況に応じて車を適切に運転する責任があり、雨や雪の中でよりゆっくりと運転し、角を急に曲がらないようにします。

自動車を安全に借りることは、自動車メーカー、レンタカー会社、賃借人、乗客、ドライバーの5つのグループすべてが参加する責任を負います。ある領域が無視されると、悲劇的な結果をもたらす事故が発生する可能性がありますが、”他の責任領域を確認しました”と言っても意味がありません。すべてを考慮する必要があります。

クラウドサービスの利用についても同様です。クラウドサービスプロバイダーがセキュリティに多大な投資をしているからといって、安全ではありません。マルウェア対策システムがインストールされているからといって、安全ではないのです。サービスプロバイダー、企業、ITセキュリティチーム、およびユーザーはすべて、果たすべき役割を担っており、いずれかの領域の対処が不十分な場合、セキュリティが侵害されてしまうのです。

図の各レベルでクラウドサービスの利用における責任範囲を検討する必要があります。クラウドサービスプロバイダー(事業者側)は、基本となるセキュリティ(電力、接続、サーバーインフラストラクチャなど)を担当し、いくつかのセキュリティ機能を提供します。企業はこれらを”オン”に設定する責任があります。(たとえば、S3バケットの構成の設定ミスにより発生したデータ損失インシデントの数を思い起こしてください。)どのデータが機密であるかを真に決定できるのは企業だけであり、クラウドを介して外部と共有および共同作業することを決定するのは通常ユーザーです。

公開したホワイトペーパーでは、これらすべてについて詳細に説明し、各段階に対処するためのアイデアと技術を提案しています。車を借りるのと同じように、安全を確保するためにすべての段階を理解し対処することが重要です。

※本ページの内容は、2020年2月10日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Cloud Security is like Renting a Car!
著者: