ますます多くの組織が、ミッションクリティカルなシステムとデータをクラウドに移行しています。あらゆる種類のクラウドサービスへの移行、そしてクラウドサービス間の移行はセキュリティ上の課題をもたらしますが、パブリッククラウドサービスへの移行、そしてパブリッククラウドサービス間の移行は、深刻な結果を招く可能性のある、最も大きなセキュリティ上の課題となります。
参照:データ移行テストのチェックリスト: 移行前と移行後(TechRepublic Premium)
このガイドでは、クラウド移行中に企業が直面する最も一般的なセキュリティ上の脅威のいくつかと、これらの脅威に対抗するためのベスト プラクティスについて説明します。
ジャンプ先:
- クラウド移行時のデータは安全ですか?
- クラウド移行におけるデータ保護のヒント
- クラウド移行中にデータ損失を防ぐにはどうすればよいでしょうか?
クラウド移行時のデータは安全ですか?
Flexera社の「クラウドの現状レポート2022」によると、パブリッククラウドの導入は加速し続けており、調査対象者の半数がワークロードとデータをパブリッククラウド上に保存しています。この成長に伴い、クラウド移行中のデータセキュリティに対する懸念も高まっています。
こうしたセキュリティ上の懸念には次のようなものがあります。
APIの脆弱性
クラウドアプリケーション、データ、インフラストラクチャを接続するために使用されるアプリケーションプログラミングインターフェース(API)は、クラウドデータセキュリティにおける大きな脆弱性の原因となる可能性があります。APIには、認証・認可制御の脆弱性、サンドボックス保護の欠如、過剰な権限付与といった問題が潜んでいます。組織は、データをクラウドに移行する際に、これらの脆弱性を慎重に評価する必要があります。
セキュリティの盲点
クラウドデータは、クラウドインフラストラクチャのセキュリティ上の盲点によってもリスクにさらされる可能性があります。機密データにSaaS(Software as a Service)アプリケーションを使用することや、シャドーITネットワークを作成することといった問題は、一部のクラウド環境でよく見られます。組織はクラウドへの移行時にこれらの潜在的な脆弱性を認識し、軽減策を講じる必要があります。
コンプライアンス要件
多くの組織は、データをクラウドに移行する際に規制要件を遵守する必要があります。セキュリティコンプライアンス要件は、特にクラウドプロバイダーがこれらの要件を満たしていない場合、組織にとって大きな課題となる可能性があります。
データ損失
最後に、クラウドへのデータ移行はデータ損失のリスクを高める可能性があります。特に、クラウドプロバイダーがセキュリティインシデント発生時にデータを保護・復旧するための堅牢な管理体制を整備していない場合、リスクは高まります。
クラウド移行におけるデータ保護のヒント
クラウド移行中に発生する可能性のあるセキュリティ上の問題は数多くありますが、アプリケーションとデータをより適切に保護するためにチームが実行できる対策もいくつかあります。クラウド移行中に組織のデータを保護するための7つのヒントをご紹介します。
データを理解する
クラウド移行を準備している企業は、自社のデータとその要件を正確に把握する必要があります。つまり、移行チームは、自社のデータの現在および将来の使用状況、そして企業のデータガバナンスフレームワークによって確立された保存および保持ポリシーを把握している必要があります。
データ重複排除ソフトウェアをはじめ、データの理解と最適化を支援する様々なクラウド管理ツールが利用可能です。クラウドデータのセキュリティ確保は、データに何が含まれているか、そして最終的にどのように使用・廃棄されるかを理解することから始まります。
データコンプライアンス要件を理解する
組織は、データ自体を理解するだけでなく、クラウド移行中にデータセットに適用されるコンプライアンス要件についても認識する必要があります。
参照: GDPR セキュリティパック: データを保護しコンプライアンスを実現するためのポリシー(TechRepublic Premium)
たとえば、多くの企業は、GDPR、PCI-DSS、HIPAA などの規制フレームワークの対象であり、これには、データ移行前の個人識別情報の削除に関する厳格な要件が含まれています。
組織は、クラウド インフラストラクチャ プロバイダーがコンプライアンス要件を満たしていることを確認するか、必要に応じて追加の制御を実装する必要があります。
APIを保護する
データをクラウドに移行する際には、クラウドアプリケーションとインフラストラクチャ間のアクセスを制御する様々なAPIのセキュリティ確保が不可欠です。APIセキュリティを強化するには、まず強力な認証・認可制御を導入し、悪意のある攻撃や自動化された攻撃からAPIを保護し、過剰なユーザーアクセス権限を排除することから始めることができます。
転送中のデータを暗号化する
クラウド移行におけるデータ送信は、新たなセキュリティ上の脆弱性を生み出す可能性があります。機密情報を保護する効果的な方法の一つは、エンドツーエンドの暗号化を使用することです。
このプロセスは通常、トランスポート層セキュリティ(TLS)などの暗号化プロトコルを用いて行われます。TLSは、すべてのデータがソースシステムから送信される前に暗号化し、宛先システムに到着した後に復号化することで、セキュリティをさらに強化します。必要な保護レベルに応じて様々な暗号化アルゴリズムを選択できますが、ほとんどのアルゴリズムはAESやRSAなどの最新の業界標準を使用しています。
参照:採用キット: 暗号技術者(TechRepublic Premium)
企業は、アクセスに必要な暗号化キーと認証情報を安全に保管し、データ損失に備えて定期的にバックアップを取る必要があります。暗号化サービスを内蔵したクラウドプロバイダーを利用すれば、このプロセスを簡素化できます。ただし、移行を開始する前に、適切なツールとセキュリティ対策が講じられていることを確認するためのデューデリジェンスを実施する必要があります。
クラウド移行中のデータアクセスを制限する
クラウド移行中のデータへのアクセス制限は、情報を安全に移転したい企業にとって重要なステップです。必要なユーザーのみがデータにアクセスできるよう、複数の対策を講じる必要があります。具体的には、以下のような対策が挙げられます。
- ユーザーレベルの認証と承認ルールの実装と適用
- 堅牢な二要素認証プロセスの設定
- クラウドプロバイダーの組み込みセキュリティポリシーを使用する
- 転送前にすべてのデータの暗号化を有効にする
- 移行期間中、定期的にアクセス権を持つユーザーを監査する
- 移行中に機密情報を含むシステムの定期的な脆弱性スキャンを実行する
- 解雇された従業員に関連付けられた資格情報やアクセスキーを削除する
段階的な移行戦略を検討する
特に大量の機密情報を扱う場合、データを一度に移行するのは決して賢明ではありません。段階的な移行戦略は、データ損失やその他のセキュリティ問題を回避し、データ転送中の不正アクセスを防止するプロセスを確立するのに役立ちます。
さらに、一般的に、セキュリティ対策を小規模に実装し、必要に応じて時間をかけて拡張する方が簡単なので、企業は潜在的なリスクが大きな問題になる前に積極的に特定して対処することができます。
廃止措置および消毒活動を実施する
廃止とは、データセンターに残っているすべてのデバイス、ドライブ、サーバーを検査することを指します。すべてのハードウェアを記録したチェックリストを用意しておけば、現在のクラウドまたはオンプレミスのストレージサーバーからすべてを確実に削除できます。
参照:チェックリスト: データセンターの構築と廃止(TechRepublic Premium)
また、オフサイトの場所に保存されているデータは安全に削除されていることを確認する必要があります。さらに、クラウドインフラストラクチャプロバイダーのセキュリティ監査を実施し、システムの保護と監視のための強力なセキュリティ対策が講じられていることを確認することも有効です。
クラウド移行中にデータ損失を防ぐにはどうすればよいでしょうか?
クラウド移行中のデータ損失を防ぐために企業が実行できる対策はいくつかあります。
- 転送中のデータに強力な暗号化と認証ツールを活用する
- 移行中に機密データへのアクセスを制限し、定期的にアクセス権を持つユーザーを監査する
- 移行計画の中心ではないシステム内の重要なデータをバックアップする
- 段階的かつ制御された移行を可能にする段階的な移行アプローチを活用する
- すべてのデバイス、ドライブ、サーバーをソースシステムから削除してサニタイズする廃止などのセキュリティ対策を実施する
- 移行プロセス全体を通じてデータが保護されるように、セキュリティ対策とプロトコルが組み込まれたクラウドプロバイダーと連携する
クラウド移行中にデータを保護するための積極的な措置を講じ、規制要件に準拠するように移行プロセスを慎重に計画することで、企業は移行プロセス中に最も重要な資産が失われたり危険にさらされたりすることを防止できます。
次に読む:クラウドとアプリケーションの移行ツールのトップ 10 (TechRepublic)
