クラウドセキュリティプログラムを一から構築するには

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第17回目となる今回は、「クラウドセキュリティプログラムを一から構築するには」と題して、強固なクラウドセキュリティプログラムの基盤を構築しようと考えている方に向けて、段階を踏んでしっかりとセキュリティプログラム構築を始めるための青写真を示す、当社Megan Garzaのブログ記事をご紹介いたします。

クラウドセキュリティプログラムを一から構築することは大変な作業です。どのように始めて、最初に段階では何をすべきなのでしょうか？クラウドセキュリティに対する万能のアプローチはありませんが、強固なプログラム基盤を構築しようと考えている方のために、Varonisより段階を踏んでしっかりとセキュリティプログラム構築を始めるための青写真を以下に示します。

組織全体のクラウドアプリケーションの棚卸しの実施

棚卸しを行う方法はいくつかあります。部門で利用する承認済みアプリケーションを決定することは、財務部門と話し合うだけで簡単にできます。財務部門は、クラウドベンダーの契約書や発注書などをくまなく調べあげて、会社として正式な契約関係を持つSaaSサービスやIaaSサービスを探し出すことができます。

承認されていないアプリケーションを特定するには、別の経路をたどる必要があります。ネットワーク管理部門に協力を仰いで、少しの探偵活動を行う必要があります。例えば、「社内からのネットワーク通信の宛先の上位20箇所はどこですか？」といった質問をすることにより、経理のBobのNetflix視聴習慣や、彼のGitHubレポジトリーの両方を明らかにすることができます。

リスクアセスメントの実施

会社で利用しているクラウドアプリケーションやクラウドサービスを特定できたなら、次の段階は、これらのさまざまなクラウドプロバイダーと連携する際の全体的なリスクを測定することです。「情報漏洩が発生した場合、事業にどんな影響があるか？」という質問に答えられるようにします。

各アプリケーションのリスク評価を「高」「中」「低」のスコアでランク付けすることは、悪意のある人の手に渡った場合に最も被害が大きくなる可能性のあるアプリケーションを判断するのに効果的です。例えば、Salesfoceの場合：この人気のあるCRMアプリケーションは機密性の高い情報、規制対象のデータ、ビジネス上の重要な情報、取引のためのデータが格納されています。これは間違いなく「高」の評価に値するでしょう。

他方では、ソーシャルメディアの投稿を公開するために使用するアプリケーションは、社会保障番号や生年月日などの個人識別情報を保存するアプリケーションほどは重要ではありません。このような種類のアプリケーションは「中」や「低」にランク付けできます。

セキュリティ態勢の測定

クラウドアプリケーションの台帳ができあがり、全体的なリスクを評価したら、各アプリケーションのセキュリティ態勢の見直しを実施します。各アプリケーションの「オーナー」や管理者と協力することにより、各アプリケーションの設定、それぞれの構成をより深く理解し、現在のセキュリティ態勢の強度を把握することができます。

そこから、次のような質問を自問しながら、より詳細な分析を実施していきます。

・これが望ましいセキュリティ態勢だろうか？これら設定の変更を実施するべきか？
・当社のデータやリソースに過剰にアクセス権が設定されていないか？

自動化、自動化、自動化

台帳を作成し、リスク評価を完了し、最初は何から取り組むべきか、部門の焦点を当てるタスクを決定しようとしているとき、自動化を活用することの重要性がすぐにわかるでしょう。これまでに完了した作業は、一度実施したら終わりになるものではありません；継続的な監視と更新を行わなければ、作業はすべて無駄になってしまいます。

しかしながら、これらのクラウドアプリケーションを継続的に保守するには、SaaSアプリケーションの台帳作成、リスク評価、セキュリティ態勢管理の取り組みを支援するために、部門全員の力が必要となります。そのため、これらのタスクを自動化することが、セキュリティ部門に過度の負担を掛けずにクラウドアプリケーション内のデータを保護するための鍵となります。

コンプライアンスをお忘れなく

上記のタスクを実行することにより、内部監査や外部監査の際に有利な、強固なクラウドセキュリティプログラムを実現できます。保有している情報の台帳とクラウド技術環境に存在するリスクとセキュリティの態勢の両方に対する深い理解が必要となる、規制への準拠を示すことができるようになります。

クラウドセキュリティプログラムを一から構築していくと、継続的な監視と検出の必要性が見えてきます。自動化を採用することにより、サードパーティアプリケーションのリスクを監視し、コンプライアンス監査に備え、クラウド全体を跨いだセキュリティリスクに先手を打つことができるようになります。

参考資料

・オリジナルブログ記事（英文）「Building a Cloud Security Program From the Ground Up」
https://www.varonis.com/blog/building-a-cloud-security-program-from-the-ground-up

・Varonisデータリスクアセスメント サンプルレポート
https://view.highspot.com/viewer/66a4d6c0014d9bd019ab08ad?iid=65de07e26d963f0090069f99

・データシート - コンプライアンスリスクアセスメント

https://view.highspot.com/viewer/66a4d6c0014d9bd019ab08ad?iid=60ec4b8ab7b7393283fca396

・SaasとIaaSのためのVaronis

https://www.varonis.com/ja/products/saas-iaas-security

・DSPMソリューション
https://www.varonis.com/ja/use-case/dspm

・当コラム 第9回「クラウドデータセキュリティの未来：DSPM活用法」
https://www.innovations-i.com/column/data-security/9.html

・当コラム 第11回「DSPM購入ガイド：DSPMソリューションの選び方」
https://www.innovations-i.com/column/data-security/11.html

ブログ記事著者の紹介

Megan Garza

MeganはVaronisのコンテンツ編集者で、APスタイルの熱烈なファンです。「サイバーセキュリティ」が1語であるべきか2語であるべきかについて議論していない時、Meganは、夫と旅行をしたり、ピットブルのBearを不健康なほど溺愛しています。

（翻訳：跡部 靖夫）