第17回
クラウドセキュリティプログラムを一から構築するには
Varonis Systems, Inc. 執筆
私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。
第17回目となる今回は、「クラウドセキュリティプログラムを一から構築するには」と題して、強固なクラウドセキュリティプログラムの基盤を構築しようと考えている方に向けて、段階を踏んでしっかりとセキュリティプログラム構築を始めるための青写真を示す、当社Megan Garzaのブログ記事をご紹介いたします。
クラウドセキュリティプログラムを一から構築することは大変な作業です。どのように始めて、最初に段階では何をすべきなのでしょうか?クラウドセキュリティに対する万能のアプローチはありませんが、強固なプログラム基盤を構築しようと考えている方のために、Varonisより段階を踏んでしっかりとセキュリティプログラム構築を始めるための青写真を以下に示します。
組織全体のクラウドアプリケーションの棚卸しの実施
棚卸しを行う方法はいくつかあります。部門で利用する承認済みアプリケーションを決定することは、財務部門と話し合うだけで簡単にできます。財務部門は、クラウドベンダーの契約書や発注書などをくまなく調べあげて、会社として正式な契約関係を持つSaaSサービスやIaaSサービスを探し出すことができます。
承認されていないアプリケーションを特定するには、別の経路をたどる必要があります。ネットワーク管理部門に協力を仰いで、少しの探偵活動を行う必要があります。例えば、「社内からのネットワーク通信の宛先の上位20箇所はどこですか?」といった質問をすることにより、経理のBobのNetflix視聴習慣や、彼のGitHubレポジトリーの両方を明らかにすることができます。
リスクアセスメントの実施
会社で利用しているクラウドアプリケーションやクラウドサービスを特定できたなら、次の段階は、これらのさまざまなクラウドプロバイダーと連携する際の全体的なリスクを測定することです。「情報漏洩が発生した場合、事業にどんな影響があるか?」という質問に答えられるようにします。
各アプリケーションのリスク評価を「高」「中」「低」のスコアでランク付けすることは、悪意のある人の手に渡った場合に最も被害が大きくなる可能性のあるアプリケーションを判断するのに効果的です。例えば、Salesfoceの場合:この人気のあるCRMアプリケーションは機密性の高い情報、規制対象のデータ、ビジネス上の重要な情報、取引のためのデータが格納されています。これは間違いなく「高」の評価に値するでしょう。
他方では、ソーシャルメディアの投稿を公開するために使用するアプリケーションは、社会保障番号や生年月日などの個人識別情報を保存するアプリケーションほどは重要ではありません。このような種類のアプリケーションは「中」や「低」にランク付けできます。
セキュリティ態勢の測定
クラウドアプリケーションの台帳ができあがり、全体的なリスクを評価したら、各アプリケーションのセキュリティ態勢の見直しを実施します。各アプリケーションの「オーナー」や管理者と協力することにより、各アプリケーションの設定、それぞれの構成をより深く理解し、現在のセキュリティ態勢の強度を把握することができます。
そこから、次のような質問を自問しながら、より詳細な分析を実施していきます。
・これが望ましいセキュリティ態勢だろうか?これら設定の変更を実施するべきか?
・当社のデータやリソースに過剰にアクセス権が設定されていないか?
自動化、自動化、自動化
台帳を作成し、リスク評価を完了し、最初は何から取り組むべきか、部門の焦点を当てるタスクを決定しようとしているとき、自動化を活用することの重要性がすぐにわかるでしょう。これまでに完了した作業は、一度実施したら終わりになるものではありません;継続的な監視と更新を行わなければ、作業はすべて無駄になってしまいます。
しかしながら、これらのクラウドアプリケーションを継続的に保守するには、SaaSアプリケーションの台帳作成、リスク評価、セキュリティ態勢管理の取り組みを支援するために、部門全員の力が必要となります。そのため、これらのタスクを自動化することが、セキュリティ部門に過度の負担を掛けずにクラウドアプリケーション内のデータを保護するための鍵となります。
コンプライアンスをお忘れなく
上記のタスクを実行することにより、内部監査や外部監査の際に有利な、強固なクラウドセキュリティプログラムを実現できます。保有している情報の台帳とクラウド技術環境に存在するリスクとセキュリティの態勢の両方に対する深い理解が必要となる、規制への準拠を示すことができるようになります。
クラウドセキュリティプログラムを一から構築していくと、継続的な監視と検出の必要性が見えてきます。自動化を採用することにより、サードパーティアプリケーションのリスクを監視し、コンプライアンス監査に備え、クラウド全体を跨いだセキュリティリスクに先手を打つことができるようになります。
参考資料
・オリジナルブログ記事(英文)「Building a Cloud Security Program From the Ground Up」
https://www.varonis.com/blog/building-a-cloud-security-program-from-the-ground-up
・Varonisデータリスクアセスメント サンプルレポート
https://view.highspot.com/viewer/66a4d6c0014d9bd019ab08ad?iid=65de07e26d963f0090069f99
・データシート - コンプライアンスリスクアセスメント
https://view.highspot.com/viewer/66a4d6c0014d9bd019ab08ad?iid=60ec4b8ab7b7393283fca396
・SaasとIaaSのためのVaronis
https://www.varonis.com/ja/products/saas-iaas-security
・DSPMソリューション
https://www.varonis.com/ja/use-case/dspm
・当コラム 第9回「クラウドデータセキュリティの未来:DSPM活用法」
https://www.innovations-i.com/column/data-security/9.html
・当コラム 第11回「DSPM購入ガイド:DSPMソリューションの選び方」
https://www.innovations-i.com/column/data-security/11.html
ブログ記事著者の紹介
Megan Garza
MeganはVaronisのコンテンツ編集者で、APスタイルの熱烈なファンです。「サイバーセキュリティ」が1語であるべきか2語であるべきかについて議論していない時、Meganは、夫と旅行をしたり、ピットブルのBearを不健康なほど溺愛しています。
(翻訳:跡部 靖夫)
プロフィール
Varonis Systems, Inc. (NASDAQ: VRNS) はデータセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。Varonisはデータのアクティビティや境界テレメトリー、ユーザーの振る舞いを分析することにより企業のデータを保護し、機密性の高いデータのロックダウンにより事故を防ぎ、また、自動化によりセキュアな状態を効率的に維持します。
Webサイト:Varonis Systems, Inc.
- 第36回 Varonis for ServiceNowのご紹介
- 第35回 CISOの秘密: 2025年に向けた究極のセキュリティ計画
- 第34回 クラウドセキュリティの問題を発見して修正するAWS Access Graphのご紹介
- 第33回 Varonis for Google Cloudのご紹介
- 第32回 Microsoft 365 CopilotへのNIST CSF 2.0の適用
- 第31回 NISTサイバーセキュリティフレームワーク 2.0を紐解く
- 第30回 データセキュリティ最前線: Varonisのいま(2024年10月)
- 第29回 DSPMを利用してシャドーデータベースを見つける方法
- 第28回 サプライチェーン攻撃への対応準備はできていますか?—サプライチェーンリスク管理が不可欠である理由
- 第27回 クラウドの裂け目:大規模学習モデル (LLM) リスクから身を守るには
- 第26回 クラウドの構成ドリフトを防ぐには
- 第25回 データ漏洩に繋がるAWSの構成不備
- 第24回 データ分類製品購入ガイド: データ分類ソリューションの選び方
- 第23回 クラウド領域のデータセキュリティ:DSPMの主な活用方法
- 第22回 米国証券取引委員会(SEC)の新サイバー開示ガイドラインが意味するもの
- 第21回 対談:悪意のある(非)内部関係者
- 第20回 欧州連合人工知能法(EU AI法):その内容と重要ポイント
- 第19回 UEBAとは?ユーザーとエンティティーの振る舞い分析 (UEBA) の完全ガイド
- 第18回 対談:ガバナンス、リスク管理、コンプライアンス (GRC) の原理
- 第17回 クラウドセキュリティプログラムを一から構築するには
- 第16回 Snowflake内の重要データの安全を確保するには
- 第15回 Salesforceの保護:公開リンク作成を防止
- 第14回 ランサムウェアを防止する方法:基本編
- 第13回 クラウドセキュリティの基本:データセキュリティ態勢管理(DSPM)の自動化
- 第12回 職場でのAI活用:ビジネス活用のための準備と安全確保に関する3つのステップ
- 第11回 DSPM購入ガイド:DSPMソリューションの選び方
- 第10回 ISO 27001 (ISMS) 準拠ガイド: 重要なヒントと洞察
- 第9回 クラウドデータセキュリティの未来:DSPM活用法
- 第8回 組織における責任共有モデルの理解と適用
- 第7回 Varonisを活用してMicrosoft Copilot for Microsoft 365の安全な導入を加速する方法
- 第6回 企業向けCopilotに入力して欲しくないプロンプト6選
- 第5回 DSPMとCSPMソリューションの比較:データセキュリティとクラウドセキュリティを橋渡しするには
- 第4回 生成AIセキュリティ:Microsoft Copilotの安全なロールアウトに向けて
- 第3回 Varonisが内部者の脅威との戦いを支援する3つの方法
- 第2回 VaronisがGigaOmの2023年版レーダーレポート「データセキュリティプラットフォーム」でリーダーに選出
- 第1回 Varonis誕生ものがたり