クラウド セキュリティ ポリシーの作成

クラウド資産を保護したい企業には、クラウド セキュリティ ポリシーが必要です。ポリシーは、クラウド データを安全に保ち、脅威や課題に迅速に対応する能力を付与します。

この記事では、クラウド セキュリティ ポリシーの価値について説明します。これらのポリシーがカバーする内容、提供されるメリット、ビジネス向けのポリシーの作成方法については、以下をお読みください。

クラウド セキュリティ ポリシーとは

クラウド セキュリティ ポリシーは、企業がクラウドで運用するための正式なガイドラインです。これらの指示は、セキュリティ戦略を定義し、クラウド資産の安全性に関するすべての決定を導きます。クラウド セキュリティ ポリシーは次を指定します:

• クラウドに移行できるデータと移行できないデータの種類
• 各データ タイプのリスクにチームが対処する方法
• ワークロードをクラウドに移行する決定を下すのは誰か
• データへのアクセスまたは移行を許可されているのは誰ですか
• 規制条件と現在のコンプライアンス状況
• 脅威、ハッキングの試み、データ侵害に対する適切な対応
• リスクの優先順位付けに関するルール

クラウド セキュリティ ポリシーは、企業のセキュリティ プログラムの重要な要素です。ポリシーは、情報の完全性とプライバシーを確​​保し、チームが適切な決定を迅速に行うのに役立ちます。

クラウド セキュリティ ポリシーの必要性

クラウド コンピューティングには多くの利点がありますが、これらのサービスにはいくつかの安全上の懸念があります。

• サードパーティのセットアップにおけるセキュリティ管理の欠如
• マルチクラウド環境での可視性の低さ
• データの盗難や悪用の余地が十分にあります
• クラウドは DDoS 攻撃の一般的な標的です
• 攻撃はある環境から別の環境に急速に広がります

クラウド コンピューティングのリスクは、ネットワーク上のあらゆる部門とデバイスに影響を及ぼします。したがって、保護は堅牢で、多様で、包括的でなければなりません。信頼できるクラウド セキュリティ ポリシーは、これらすべての品質を提供します。企業がクラウド サービスに依存している場合、概説されたプラクティスにより、クラウド データを保護するために必要なレベルの可視性と制御が付与されます。

クラウド セキュリティ ポリシーと標準

クラウド セキュリティ標準は、セキュリティ ポリシーの実行をサポートするプロセスを定義します。セキュリティ ポリシーと標準は連携して機能し、相互に補完します。

標準は、企業のクラウド コンピューティングの次の側面をカバーしています。

• ワークロードをホストするためのクラウド プラットフォームの使用
• DevOps モデルと、開発中のクラウド アプリケーション、API、サービスの組み込み
• セグメンテーション戦略
• アセットのタグ付けと分類
• アセットの構成とセキュリティ レベルを評価するプロセス

通常、ポリシー ルールは静的です。標準は動的であるため、最新のテクノロジーとサイバー脅威に対応するために頻繁に改訂する必要があります。

これら 2 つの重要な用語の主な違いの詳細な分析については、記事「セキュリティとコンプライアンス」を参照してください。

クラウド セキュリティ ポリシーの作成方法 (8 ステップ)

ポリシーの作成を開始する前に、クラウドの運用を完全に把握してください。システムに対処するためのポリシーを作成する前にシステムを理解することで、不要な改訂を避けることができます。

ステップ 1:関連する法律を考慮する

会社が何らかのプライバシーまたはコンプライアンス規制を遵守する必要がある場合は、それらがクラウド セキュリティ ポリシーにどのように影響するかを検討してください。すべてのクラウドベースの活動は、法的義務に準拠する必要があります。

ステップ 2:クラウド ベンダーのセキュリティ管理を評価する

プロバイダーが異なれば、提供されるセキュリティ制御のレベルも異なります。パートナーのセキュリティ プラクティスを調べて、提供内容に沿ったソリューションを形成してください。

ステップ 3:役割とアクセス権を割り当てる

担当者に明確な役割を指定し、アプリケーションとデータへのアクセスを設定します。従業員がタスクを実行するために必要な資産のみにアクセスできるようにします。さらに、会社がアクセスを記録および確認する方法を定義します。

ステップ 4:データを保護する

会社のデータを保護する方法を決定します。ほとんどの企業は、クラウドとインターネットを介して移動するすべての機密データを暗号化することを選択しています。内部および外部のデータ ストアのセキュリティ ルールも文書化する必要があります。

通常、プロバイダーはサービスの一部としてアプリケーション プログラム インターフェイス (API) を提供します。 API を使用して暗号化とデータ損失防止（DLP）ポリシーを適用することを検討してください。

ステップ 5:エンドポイントを守る

感染した 1 つのエンドポイントが、複数のクラウドでのデータ侵害につながる可能性があります。したがって、この問題を回避するには、クラウドとの接続に関する明確なルールを設定する必要があります。このステップには、セキュア ソケット レイヤー (SSL)、ネットワーク トラフィック スキャン、および監視ルールが含まれます。

ステップ 6:回答を定義する

ポリシーは予防だけを対象とするものではありません。チームがデータ侵害に対処し、報告プロセスを概説し、フォレンジック機能を指定するための理想的な方法を検討してください。また、災害復旧のためのプロトコルを確立する場合にも役立ちます。

ステップ 7:適切な統合を確保する

複数の安全ソリューションがある場合は、チームがそれらを適切に統合していることを確認してください。ソリューションの組み合わせが不十分だと脆弱性が生じるため、会社のセキュリティ デバイスを統合して活用する方法を見つけてください。

ステップ 8:セキュリティ監査を実施する

定期的なレビューを実施し、コンポーネントをアップグレードして最新の脅威に先んじてください。また、ベンダーの SLA の定期的なチェックを実行して、その側で問題のある更新によって盲目的にならないようにします。

遵守すべきクラウド セキュリティ ポリシーの原則

シンプルに

すべての従業員がポリシーを理解できる必要があります。過度に複雑にならないようにし、ガイドラインを明確かつ簡潔にします。シンプルに保つことで、すべての従業員がルールに従うことができ、トレーニング コストも抑えることができます。

意図の定義からすべてのポリシーを開始します。意図は、労働者が規制を理解し、ナビゲートするのを助けるために、ルールの要点を明確に概説する必要があります.

ルールを透明にする

ポリシーの施行と遵守を担当するすべてのチームは、ガイドラインに完全にアクセスできる必要があります。関係者が規則を読み、理解し、遵守することに同意したという記録を確立します。

戦略的にアクセスを制限

内部統制規制により、クラウド資産への不正アクセスが防止されます。ゼロ トラスト モデルに従い、リソースを本当に必要としている個人にのみアクセスを許可します。レポートの実行を担当するワーカーなど、一部のワーカーには読み取り専用アクセスが必要です。他のユーザーは、VM の再起動などの一部の運用タスクを実行できる必要がありますが、VM またはそのリソースを変更する権限を付与する理由はありません。

毎月のデータ暗号化の更新

毎月のデータ暗号化の更新をスケジュールします。定期的な更新によりクラウド リソースの安全性が確保されるため、すべてが最新であることがわかり安心できます。

クラウド環境を監視する

監視は、ポリシーの主要な側面の 1 つにする必要があります。クラウド監視ツールを使用すると、アクティビティ パターンと潜在的な脆弱性を簡単に見つけることができます。

ポリシーを従業員にとって使いやすいものにする

クラウド セキュリティ ポリシーで会社のワークフローを妨害しないでください。文化に沿ったルールを作成し、従業員がよりスムーズに作業できるようにしてください。ポリシーが日常業務に干渉しすぎると、近道をする人が出てくる可能性があります。

会社全体で意見を集める

ポリシーは、単一のチームの責任であってはなりません。最良のガイドラインは、複数の部門が協力して作成されます。

ビジネス ユニット全体の利害関係者からアドバイスを収集します。この戦術は、現在のセキュリティ レベルを明確に示し、保護を改善するための適切な手順を見つけるのに役立ちます。

ポリシーを外部委託しない

ポリシー構築プロセスを第三者に委任するのは間違いです。クラウド サービス プロバイダーがこのタスクを処理できますが、最も安全なクラウド セキュリティ ポリシーは社内の取り組みから生まれます。

個別アクセスではなくグループを使用

管理グループを作成し、個人ではなくそれらに権限を割り当てます。グループ アクセスにより、セキュリティを損なうことなく日常業務が容易になります。

二要素認証を検討

ほとんどの主要なクラウド プロバイダーは、2 要素認証 (2FA) の使用を許可しています。 2FA を使用して新しい展開を保護し、悪意のあるログイン試行からさらに防御します。

厳しい制限

一部のワークロードは、単一の地理的リージョン内の顧客またはクライアントにのみサービスを提供します。これらのシナリオでは、アクセス制限を追加することを検討してください。特定のエリアまたは IP アドレスへのアクセスを制限すると、ハッカー、ワーム、およびその他の脅威への露出が制限されます。

パスワードの代わりにキーを使用

公開鍵基盤 (PKI) の作成を検討する ) クラウド セキュリティ ポリシーの一部。 PKI プロトコルは、公開鍵と秘密鍵を使用して、データを交換する前にユーザー ID を確認します。 PKI に切り替えると、パスワードが盗まれる危険がなくなり、ブルート フォース攻撃を防ぐことができます。

クラウド セキュリティ ポリシーは慎重な企業にとって必須です

データ侵害を修正するための費用は、適切な予防措置の費用をはるかに上回ります。クラウド セキュリティ ポリシーは、クラウド上で運用する際の適切な注意手順を提供します。このポリシーにより、不要なリスクを負うことなくクラウドの利点を活用できます。