- 投稿するには今すぐ登録するかサインインしてください
- 最近のアクティビティ
- よくある質問
- ガイドライン
一般的な議論
-
サイバーセキュリティポリシーをクラウド戦略と整合させる方法
セキュリティチームが「コンプライアンスレビュー」を口にするよりも早く、開発チームがクラウドリソースを立ち上げているのを目の当たりにしているなら、あなただけではありません。私はこのような状況を数え切れないほど見てきました。エンジニアリングチームが猛スピードでクラウドに移行する一方で、セキュリティポリシーは過去10年間のオンプレミス環境向けに設計されたSharePointフォルダーの中で埃をかぶっているのです。
この乖離は、多くのチームが認める以上に一般的です。企業がクラウドソリューションの導入を急ぐ中、多くの企業は依然として、静的なオンプレミス環境向けに策定された従来のセキュリティポリシーに依存しています。その結果、多くの混乱、リスク、そして後戻りが生じています。
クラウドエンジニアが数分でサービスを開始したものの、後になって物理データセンター向けに何年も前に策定されたセキュリティ管理策に違反していたと指摘されるケースは少なくありません。どちら側にも非があったわけではありません。ただ、同じ手順で作業を進めていなかっただけなのです。
サイバーセキュリティポリシーとクラウド戦略の整合性を図るには、まず重要な転換点から始めます。それは、クラウドが単なるデータセンターではないという認識です。クラウドは、インフラストラクチャの構築方法、アクセス管理方法、そして物事のスピードを変革します。
ポリシーは、包括的な制限ではなく、成果に焦点を当てる必要があります。例えば、「公開ストレージバケットは禁止」とするのではなく、暗号化、アクセスログ、リスクベースの例外設定をポリシーで義務付けることができます。これにより、チームはセキュリティを維持しながら、より迅速に開発を進めることができます。
もう一つのステップは、クラウド計画の早期段階からセキュリティを考慮に入れることです。アーキテクチャの議論に最初からセキュリティを組み込むことで、ガイダンスがより実践的になり、無視される可能性が低くなることを実感しています。また、「セキュリティが障害」というレッテルを貼られるのを避けることにも役立ちます。
クラウドネイティブツールも役立ちます。手動監査に頼るのではなく、ポリシーを自動適用するために活用しましょう。ID管理、アクセス管理、脅威検出、ログ管理は、クラウドの機能とリスク管理体制の両方を反映させる必要があります。
何よりも、ポリシーを常に最新の状態に保ち、柔軟性を保つことが重要です。クラウドは急速に進化するため、厳格なルールは破られたり、無視されたりすることがよくあります。特に新しいサービスが導入されるたびに、四半期ごとにポリシーを見直し、改善することをお勧めします。
貴社のセキュリティポリシーはクラウド対応ですか、それともクラウド非対応ですか?そのギャップが広がる前に、今こそ埋めるべき時かもしれません。ぜひ、以下のページで皆様の体験を共有してください。
