セキュリティとストレージのリーディングカンパニー|バラクーダ > ブログ > バラクーダネットワークス > パブリッククラウドの共有責任モデルを理解していないユーザが多数 - バラクーダネットワークスの調査で判明

パブリッククラウドの共有責任モデルを理解していないユーザが多数 - バラクーダネットワークスの調査で判明
Phil Muncaster

2017年07月28日

誰もが、パブリッククラウドは今後も普及を続けると考えています。ところが、ITの効率化、ビジネスアジリティ、スケーラビリティ、コスト節約などさまざまなメリットがあるにもかかわらず、セキュリティを懸念して導入を躊躇する企業が多いのも事実です。企業は、データ窃取を目的としたマルウェア、ランサムウェア、標的型攻撃など、幅広い攻撃にさらされています。バラクーダネットワークスが新たに実施した調査によると、EMEAの企業の60%がサイバー攻撃を受けたことがあり、26%が今後も攻撃は続くと予測しています。

この調査では、大きな問題が明らかになりました。それは、「クラウドセキュリティの責任者は誰か」という点で、ITの購入担当者が混乱しているということです。「大きな責任を負うのはクラウドプロバイダだ」という誤解は、パブリッククラウド導入の阻害要因になるだけでなく、最悪の場合は企業が攻撃にさらされるリスクが高くなってしまいます。

セキュリティに対する不安が成長阻害要因

EMEAでパブリックIaaSを使用している企業のIT意思決定者550人を対象にした調査では、クラウドにインストールしているインフラは今後5年間で35%から63%に増加すると予測しています(英国は導入率が最低の29%)。クラウドでは、データストレージ、リカバリ、アナリティクス、CRM、テストなど、外部向けのアプリ(60%)と内部向けのアプリ(38%)が使用されています。

ただし、「パブリッククラウドへの移行が安全だ」という回答は半分以下(43%)であり、英国では3分の1を切っています(31%)。また、3分の2(64%)が「セキュリティがパブリッククラウド移行の阻害要因になっている」と回答しており、非常に保守的な英国では70%を占めます。サイバー攻撃が及ぼす影響は、セキュリティの懸念だけではありません。法規制コンプライアンスも心配の種です。特に、5月に適用が開始されるGDPRに向けて、シャドーITや専門知識を持ったセキュリティパートナーの不在といった懸案事項が浮上しています。

責任を負うのは誰?

このようにパブリッククラウドにはさまざまな懸案事項がありますが、その根源は共有責任モデルが明確に理解されていない点にあります。「インフラの運用を信頼できる第三者にアウトソースしているのだから、プロバイダがすべての責任を負ってくれるだろう」と想定するIT購入担当者は、数多く存在します。もちろん、それだけではありません。Amazon Web Servicesは、クラウド「の」セキュリティ対策を講じることを明確に示しています。これには、コンピューティング、ストレージ、データベース、ネットワーキング、グローバルインフラ(ネットワークエッジや可用性ゾーンなど)のセキュリティ保護が含まれます。

ところがバラクーダネットワークスの調査では、多くのITリーダーが「パブリッククラウドのセキュリティ保護について責任を負うのはパブリックIaaSプロバイダである」とし、クラウド内のデータ(64%)、アプリケーション(61%)、オペレーティングシステム(60%)のセキュリティ保護について責任があると回答しているのです。この考え方は、AWSやMicrosoftをはじめとするベンダと完全に食い違っており、その結果、ユーザである企業はリスクにさらされることになります。実際、61%が「クラウドでの義務を完全に理解している」と回答していることを考えれば、パブリッククラウドのセキュリティには想定と現実との間に危険なギャップが存在することがわかります。

ユーザの責任を果たすには

パブリッククラウドセキュリティの役割と責任にはこのような誤解があるものの、半分以上(57%)が、クラウド環境へのアクセスを保護する目的でセキュリティ機能を追加しています。ただしITの意思決定者は、セキュリティ管理を全体的に捉える必要があります。

では、どのような基準でプロバイダを選定すればよいでしょうか。もちろん、できる限りのデューデリジェンスを実施する必要があります。たとえば、一元管理ツール、24時間365日体制のサポート、クラウドベンダから直接簡単に実行できるプロビジョニング、設定、導入などを提供できることが基準になるでしょう。これにより、統合にかかる時間やコストを節約し、ハイブリッドクラウド環境の運用も簡単になります。

セキュリティ管理では、全方向の保護(検知、保護、リカバリ)が必須であり、この3つの柱によって重要な資産を保護しなければなりません。

バラクーダネットワークスは、次のようなオプションを推奨します。

• WAF(Web Application Firewall)
• 強力なデータ暗号化
• IDおよびアクセス制御
• NGFW(次世代ファイアウォール)
• メッセージアーカイブ
• IDS/IPS
• DDoSの軽減
• ログ記録とモニタ
• SIEM
• エンドポイント保護
• データ保護とアーカイブ

7月18日(10:00AM BST)に、バラクーダネットワークスのクラウドエキスパートであるクリス・昼(Chris Hill)とCloud Industry ForumのCEOであるアレックス・クルトン(Alex Hilton)が、調査結果について詳しく解説します。今すぐご登録ください!

https://www.brighttalk.com/webcast/15609/268987


コラム(バラクーダブログ)一覧へ

お問い合わせ

CONTACT