目次
定義
機密データを第三者のクラウドサーバーに保存する場合、この第三者ホストがすべてのデータプライバシーと保護の規制基準に準拠していることが不可欠です。クラウドホストは、サイバーセキュリティを保証するために合格しなければならない特定のコンプライアンス認証と監査を持っていますが、ビジネス業界のサイバーセキュリティ要件に基づいて適切なプロバイダを見つけることは組織の責任です。例えば、医療機関、金融機関、政府機関は、さまざまな業界標準に準拠したクラウドプロバイダを見つける必要があります。もしプロバイダが非準拠のホストを使用した場合、データ漏洩後に高額の違約金や手数料を負担することになりかねません。
無料トライアル
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
クラウドコンピューティングとデータセキュリティ
大規模な組織では、マルチクラウドインフラは珍しいことではありません。組織は、効果的で高速かつ手頃な価格のクラウドストレージを活用しますが、その分、攻撃対象が増加します。リスクの多くは、クラウドコンピューティングが現在の環境にどのように統合されているかに依存します。パブリッククラウドは、境界外のユーザー(顧客のアプリケーションや出張中の社員など)にも開放されている可能性があり、悪意のある行為者のターゲットになりやすいのです。ハイブリッドクラウドインフラは、プライベートクラウドとパブリッククラウドを組み合わせたもので、このセットアップにも、軽減しなければならない独自のセキュリティリスクが存在します。
クラウドプロバイダは、サービスレベル契約(SLA)にコンプライアンスの保証を記載しますが、プロバイダを監査し、サードパーティーソリューションに転送されるデータの安全性を確認することは、企業次第です。従わなければならない要件は、活用を計画しているインフラストラクチャによって異なります。クラウドストレージのみを扱う予定であれば、プロバイダはデータの漏洩から保護するためのセキュリティを備えていなければなりません。しかし、IaaS(Infrastructure as a Service)を利用する場合は、クラウドのリソースが日常業務に組み込まれるため、適切なアクセス管理、監視、侵入検知を行わなければなりません。
クラウドコンプライアンスの課題とセキュリティ対策
ほとんどの規制基準では、セキュリティ侵害の後に過失が見つかった組織に対して罰則を設けています。例えば、HIPAAに違反した場合、フォレンジック調査における監査人の分析に応じて、違反1件(1レコード)あたり100ドルから5万ドルの罰金が科せられます。 PCI-DSSは加盟店取引(オンラインでのクレジットカード決済など)を監視するもので、加盟店がすべての違反を是正するまで、企業に対して毎月5000ドルから10万ドルの罰金が課されます。 多くの企業にとって最大の課題は、適切なクラウドコンプライアンスを指導できる専門家が社内にいないことです。最初のステップは、保存しているデータ、またはクラウドホストに転送する予定のデータが、どのクラウドコンプライアンス規格に対応しているかを理解することです。検討すべき項目はいくつかありますが、ここでは最も一般的なものをいくつか紹介します。
- サーベンス・オクスリー法(SOX法): 企業が商取引や財務記録を保存し、記録するための方法に焦点を当てています。
- CAN-SPAM法: マーケティング用電子メールの送信を希望する企業にとって、この法律は、オプトインとオプトアウトのオプションの機能方法と、未承諾電子メールを受信できる人を決定するものです。
- 医療保険の相互運用性と説明責任に関する法律(HIPAA): 機密性の高い医療・ヘルスケアデータおよびその保存、アクセス、監視の方法に焦点を当てています。
- PCI-DSS: クレジットカードや銀行の決済を扱う加盟店やサイトを統括しています。
- 連邦情報セキュリティ管理法(FISMA): 金融機関や政府機関に対し、機密性の高い顧客データを保護するための情報セキュリティの開発、文書化、配備を要求しています。
データおよびビジネスに関連するコンプライアンス標準を特定したら、次のステップは、データの保存、転送、表示、アーカイブの方法を決定することです。すべてのコンプライアンス基準の重要な側面の1つは、どのようなシステムにも監視が必要であるということです。また、誰が、いつデータにアクセスしたかを確認するための監査証跡も不可欠です。例えば、ユーザーが財務記録や医療記録にアクセスするたびに、ユーザーのアカウント名、アクセスしたデータ、使用したデバイスのIPアドレス、アクセスした時刻が監査証跡として記録される必要があります。
Proofpointの次世代型コンプライアンスソリューション
最新の情報に対応するためのコンプライアンスとアーカイブソリューションをご紹介します。データを管理しコンプライアンスに遵守する方法、リソースを強化しデータ量の急増に対処する方法を解説します。
クラウドプロバイダの選び方と注意点
適切なクラウドコンピューティングプロバイダは、クラウドコンプライアンスのために必要なあらゆる情報セキュリティ機能を備えています。ほとんどのクラウドプロバイダは、共有責任を採用しています。つまり、プロバイダはインフラを安全に保つことを約束し、適切なセキュリティツールを提供しますが、データの設定と保護は顧客の責任で行うということです。
クラウドプロバイダには、従わなければならない独自のコンプライアンス基準がありますが、組織は適切なツールを提供するプロバイダを探さなければなりません。これらのツールにより、コンプライアンス基準に従った適切な情報セキュリティ、ストレージ基準、監視機能、ロギング構造を導入することができます。
IDとアクセス管理
データへのアクセスは最小特権の原則に従うべきですが、それでもユーザーアクセスを管理する方法が必要です。データへの物理的なアクセスも含め、ユーザーアクセスは必要に応じて付与され、取り消されなければなりません。物理的なアクセスと仮想的なアクセスは同じように重要です。クラウドプロバイダは物理的なセキュリティ管理を行いますが、クラウドの管理機能を用いて権限とデータアクセスを適切に管理するのは組織の責任です。これらの管理は、ユーザーがシステムに認証され、データにアクセスし、認証に失敗するたびにログを記録する必要があります。
監視と通知
クラウドプロバイダは、ネットワークトラフィックを監視するための規定を設けています。機密性の高いデータに何度もアクセスしたり、アクセス・リクエストに何度も失敗したりした場合は、管理者にアラートが送信され、管理者は問題を確認し分析することができます。大規模な企業環境では、複数のコンポーネントが相互に作用することがあります。これらのコンポーネントも、データ侵害の際の潜在的な攻撃経路として監視する必要があります。
侵入検知とその防御
高度な持続的脅威では、攻撃者はインフラへのアクセスを数ヶ月間維持します。攻撃者がデータを流出させるには数分しかかからないため、さまざまなシステムを侵害するのに数ヶ月かかるということは、組織にとって壊滅的な打撃を与えられることになります。侵入検知・防御を行えば、侵入が発生する前に阻止することができます。
これらのシステムを導入するだけでは十分ではありません。必要な情報セキュリティコンポーネントをすべて用意し、設定することは可能ですが、それらが実際の攻撃に対して有効であると、どのように確認するのでしょうか。組織は、自動テストと手動テストを使って侵入テストを行い、セキュリティ機能が適切に設定され、実装されていることを確認する必要があります。ソフトウェアは、内部アプリケーションの脆弱性からの侵害を避けるために、侵入テストを行う必要があります。
Proofpointのクラウドセキュリティ
プルーフポイントのクラウド セキュリティ ソリューションを使えば、Web、クラウドサービス、プライベート アプリケーションへのアクセスを管理できます。
クラウドコンプライアンスに重要な追加のソリューション
優れたクラウドプロバイダは、信頼性と完全性のために世界中に複数のデータセンターを有しています。これらのデータセンターが物理的にどこにあり、データがどこに保存されているかもコンプライアンスの要因の一つですが、データセンターは組織の主要な顧客基盤や従業員が働く場所の近くにあることも必要です。ほとんどのユーザーに最も近いジオロケーションは、それらのユーザーの速度を向上させます。
また、複数のデータセンターを持つことで信頼性も向上し、多くのクラウド事業者はデータセンター間の複数のフェイルオーバー制御により100%のアップタイムを提供しています。しかし、クラウド事業者が提供する信頼性と安定性をもってしても、データの破損やセキュリティの欠陥により、ディザスターリカバリーが必要となる場合があります。ディザスターリカバリープランは、ディザスター時にデータを失うことなく、スムーズかつ迅速に復旧できるよう、すべてのステップを記述したものです。クラウドのコンプライアンス基準の中には、ディザスターリカバリープランが義務付けられているものもあります。
最後に、データの転送や保存において、暗号化は主要なセキュリティ要因のひとつであるべきです。保存されるデータによっては、ストレージデバイスを暗号化する必要があります。ネットワーク上のデータ転送は、中間者(MitM)攻撃や漏洩を避けるため、常に暗号化されている必要があります。パスワード、機密情報、アクセストークン、APIキー、およびシステムへのアクセスを提供するあらゆるプライベートデータも暗号化する必要があります。これらのデータは、アプリケーションディレクトリやコードベースリポジトリ内の暗号化されていないファイルに保存しないようにします。
SLAを確認しプロバイダに相談
プロバイダのサービスレベルアグリーメント(SLA)には、顧客に提供されるすべての補償とその詳細が記載されていますが、特定の保護が必要な場合は、プロバイダに連絡して、特定のセキュリティ機能を提供しているかどうかを尋ねるのが最善策です。プロバイダは、お客様の組織と責任を共有しています。プロバイダはお客様にツールと信頼性を提供しますが、適切な設定は組織のITスタッフの責任であることを覚えておいてください。
すべてのリソースを配置した後、手動および自動化ツールを使用して、常にセキュリティコンポーネントの侵入テストを行います。これにより、一般的な悪用や複雑な悪用からデータを確実に保護することができます。監視を行えば、不正アクセスを行った攻撃者を検知し、管理者に通知を送ることができるはずです。