組織における責任共有モデルの理解と適用

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。

このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第8回目となる今回は、「組織における責任共有モデルの理解と適用」と題して、多くのクラウドサービスプロバイダーが採用している責任共有モデルを理解するためのポイントを紹介する、上級セールスエンジニアであるTristan Grushのブログ記事をご紹介いたします。

重大なセキュリティのギャップや機密性の高いデータに対するリスクを回避するために、組織は多くのSaaSプロバイダーが採用している責任共有モデルを理解する必要があります。

SaaS、IaaS、その他のアプリケーションを自社の環境やアプリケーションに取り入れる企業が増えている中、機密性の高いデータの保護における自分たちの役割を認識できていない組織が見受けられます。

このような組織では、自分たちの情報の保護をSaaSプロバイダーのみに依存することとなり、セキュリティスタックにおいて大きなギャップが生じている可能性があります。

組織がどのセキュリティ側面に対して責任をもつのか、あるいは、どのセキュリティ側面がSaaSアプリケーションの領域に属するのかを理解するためのモデルは、責任共有モデルと呼ばれています。

セキュリティ部門は、今日のサイバー脅威によるリスクを軽減し、機密性の高い情報を保護するために、このモデルを理解しなければなりません。

責任共有モデルとは？

責任共有モデルでは、SaaSプロバイダーはインフラストラクチャーを保護し、可用性の高いソリューションを提供する説明責任を負います。利用者は、プラットフォーム内のデータを保護し、安全を確保する責任がありますが、多くの組織ではそのことを認識していません。

データセキュリティの責任が誰にあるかについて誤解が生じる原因の多くは、社内の部門が、IT部門やセキュリティ部門を巻き込まずにSaaS製品を購入することから起因しています。

Salesforce、AWSやMicrosoftなどのいくつかのクラウドプロバイダーが各組織で遵守している従来の責任共有の内容を以下に示します。

責任共有の実例

Salesforceは、責任共有モデルを実践している良い例です。

Salesforceは自社のインフラストラクチャーにセキュリティ・バイ・デザインを採用していますが、重要なデータを脅威や侵害から守るために正しいセキュリティ管理とベストプラクティスを実装するのはエンドユーザーの責任です。

Varonisは、Salesforceのデータセキュリティ態勢にリアルタイムの可視化を提供し、最も貴重な宝石であるデータに適切な人だけがアクセス権を持つことを確実にし、設定不備を自動的に修正し、疑わしいアクティビティを検出することにより、組織が責任共有モデルを維持できるよう支援します。

Salesforceを購入する組織では、営業部門がCRMツールを管理する傾向があり、ユーザーが情報に簡単にアクセスできるようにすることに重点を置いてしまいます。

しかし、その性質上、SalesforceなどのSaaSプラットフォームは機密性の高いデータを扱っているにも拘わらず、セキュリティ部門による可視性や認識は限られているのが一般的です。

迅速なアクセスの必要性と、セキュリティ監視が無い状況から、データセキュリティとデータガバナンスが脇に追いやられてしまうことがよくあります。これは、IT部門がほとんどあるいはまったく関与していない状況下でSaaSアプリケーションの購入と展開が行われる場合には特に顕著で、データ侵害の可能性が大幅に高まります。

だからこそ、責任共有モデルを適用することがデータ保護にとって最も重要なのです。

組織における責任共有モデルの適用方法

機密性の高いデータが悪意のある人の手に渡らないようにするためには、責任共有モデルの構成要素を、セキュリティ部門とアプリケーション所有者が認識し、理解する必要があります。

管理部門とアプリケーション所有者との協力関係を通じて、ファイルサーバー上のデータと同じぐらいの慎重さで、クラウドデータを適切に保護することができるようになります。

セキュリティ部門とアプリケーション所有者にアクセス権と適切な管理権を与えて、両者が以下の3つの質問に答えられるようにします。

1. このアプリケーションで保存した機密性の高いデータはどこにありますか？

2. 誰がこのデータにアクセスできますか？

3. 誰が私のデータにアクセスしていますか？

チームメンバーは、自社がどのセキュリティ構成要素の保護に責任を負うのか、SaaSプロバイダーが責任を負う側面はどこまでで、具体的にどんなセキュリティ側面に対処しなければならないのかを理解する必要があります。組織が使用するすべてのSaaSプラットフォームを、責任共有モデルを念頭に置いて評価する必要があります。

Varonisは、組織が、機密性の高いデータがどこにあるのかを把握するのを助け、データへのアクセス権をマッピングし、監査および脅威検出機能を提供します。

Varonisは、SaaSデータに対する明確な文脈に基づく理解を提供し、事業継続性に与えることなく自動化された成果によって組織を保護します。SaaS、IaaS、オンプレミスのデータなど、さまざまなものに対応しています。

漏洩事故が発生するのを待ってはいけません。  

組織がSaaSアプリケーションに関する共有責任を適切に定義していない場合には、所有権の欠如や準備不足が原因となって、データ侵害や内部者脅威に適切に対応できなくなる可能性があります。 

機密性の高いデータが保護されているかどうかを知りたいですか？

Varoinsの無償のデータリスクアセスメントから始めましょう。24時間以内に、最も重要なデータを明確にリスクベースで把握し、修正の自動化のための明確な道筋を把握できます。

参考

・オリジナルブログ記事（英文） https://www.varonis.com/blog/understanding-and-applying-the-shared-responsibility-model

・Varonisの統合 https://www.varonis.com/ja/integrations

・DatAdvantage Cloud https://www.varonis.com/ja/products/datadvantage-cloud

ブログ記事著者のご紹介

Tristan Grush

Tristan Grushは、Varonisでニューヨーク市内とニューヨーク州西部地区を担当する上級セールスエンジニアです。2020年にVaronisに入社し、組織があらゆるデータ領域にわたってデータを保護することを支援しています。

（翻訳：跡部 靖夫）