クラウド・データの保護:2022年のベスト・プラクティス
クラウドは迅速かつ安全にビジネスを行う手段を提供しますが、クラウド・ストレージの課題が、リモート・ワーク環境とハイブリッド・ワーク環境のセキュリティとコンプライアンスに新しい障害をもたらしています。
ベスト・プラクティスとは、従業員への教育、すべてのレベルでのベスト・プラクティスとセキュリティ・ポリシーの適用、クラウド・パートナーとその能力の調査、保管されているデータと既存のポリシーの公正な評価、適用される法規制の詳細な知識を組み合わせたものです。容易に乗り切れるハードルではありませんが、これらを実施するのは重要なことです。
クラウド・データの保護とは
クラウド・データの保護とは、クラウド環境内の企業データを守ることです。しかし、克服すべきクラウド・データ・セキュリティの課題は山積しているため、クラウド・データの保護は口で言うほど簡単なことではありません。
クラウド・データのセキュリティが重要な理由
保護されていない建物や施錠されていない金庫が犯罪者にとって恰好の機会であるように、保護されていないクラウド・データは、年を追うごとに大胆かつ活発になっているハッカーとサイバー犯罪者にとって機密情報の宝庫です。クラウド・データのセキュリティを強化すると、攻撃者に対する防御に役立ちます。
クラウド・データのセキュリティはプロアクティブ
適切なクラウド・セキュリティは一度限りのソリューションではありません。サイバー犯罪者は毎日のように企業とその従業員を攻撃する新しい手法を編み出しています。優れたクラウド・セキュリティのベスト・プラクティスは、新種の攻撃を発生前に阻止するために、新たに登場する技術や将来も通用するオンライン手法に順応します。
クラウド・データのセキュリティはスケーラブル
セキュリティのニーズは、企業の成長や使用するデータ量とともに増大します。クラウド・ストレージは、企業のストレージのニーズに合わせて容易に拡張しますので、データ保護インフラストラクチャは、それに応じて拡張する必要があります。
クラウド・データのセキュリティはGDPRや米クラウド法のようなデータ・ガバナンス・プログラムへの準拠に役立つ
世界の政治家は、市民のデータのプライバシーおよび保護の重要性を認識し始めており、企業のデータの安全性を保証する強力な法規制を制定しています。
企業にこれらの厳格な(しかし必須の)要件の侵害、違反、および不適合があれば、罰金が科され、徹底的な調査が行われ、消費者の信頼を失うことになります。データ・プライバシー関連の法律とガバナンス関連の法規制は年々増加しており、以下のようなものが制定されています。
- 一般データ保護規則 (GDPR)
- 海外のデータの合法的使用を明確化する法律(クラウド法)
- 医療保険の携行性と責任に関する法律 (HIPAA)
- カリフォルニア州消費者プライバシー法
- カリフォルニア州プライバシー権法
- 消費者データ保護法
- コロラド州プライバシー法
クラウド・データのセキュリティはコスト・パフォーマンスが高い
必須のセキュリティを提供する成長中のクラウド保護サービス業界は、競争できる体制を整備し、クラウド・ストレージ自体の使いやすさと手頃な料金にマッチするコスト・パフォーマンスに優れたソリューションを提供しています。
クラウド・データ保護の課題
大半の企業は、クラウド・ストレージ・ソリューションとして、サードパーティのサービスを使用しています。専門家に任せるのは賢明ですが、脆弱性を認識しておくことも同様に賢明なことです。
企業側は自分たちの顧客データがどこに保管されているかを把握できない可能性があり、データは所定の場所に安全に保管されているというプロバイダの言葉を信頼しなければなりません。
企業とプロバイダ間の意思の疎通が不十分であったり、プロバイダ側のコンプライアンス基準に欠陥があったりすれば、脆弱性が生まれ、顧客である企業自らが対処しなければなりません。企業のデータ保護は企業の責任になります。
2022年のクラウド・データの保護の動向
幸いにも、新しいサービスとベスト・プラクティスは次々に開発されています。犯罪者は常に進化していますが、犯罪者に対抗する私たちも常に進化しています。
標的にされるサプライ・チェーン とサードパーティ・ツール
どんなに頑張っても独力で何から何まで対処できる企業はありません。支払いプロセスからサプライ・チェーンまでに至るプロセスでサードパーティと連携することは、ビジネスを行う上でのコストの1つです。しかし、クラウド・プロバイダと同様に、こうしたサードパーティも法規制についての知識や、企業に求められている注意義務が欠如していることがあります。
パートナーは企業の日常業務に関与しているため、企業は少なくとも連携するための情報をパートナーに提供する必要があります。しかし、企業が内部でセキュリティ対策を講じているにもかかわらず、パートナーが脆弱で侵害の被害に遭うことがあります。
パートナーに提供する情報量を減らし、連携に必要な情報だけを与えるようにすれば、自社の責任とパートナーのリスクを制限し、両方のシステムの安全性を維持することができます。
オフィス再開に伴うオンプレミスのセキュリティへの投資
オフィスの再開は多大な労力と時間がかかるプロセスであるため、多くの企業は当面、あるいは数年間は部分的または全面的にリモート・ワークを継続することを選択しています。この数年で、ITセキュリティはリモート・デバイスの保護に焦点をシフトしたため、これからは両方の保護を行う必要があります。
犯罪者は、今こそ攻撃の好機であることを理解しています。企業にとっては、新しいデータや機密データを追加する前に、オンサイト・ネットワークの脆弱性をなくすことが不可欠です。現在の動向を反映してファイアウォールとマルウェア・スキャナが最新の状態に更新されていることを確認するとともに、フィッシングやその他の詐欺の危険性について従業員を再教育してください。
セキュリティ負債の解消
セキュリティは投資ですが、一度侵害が発生すると、投じる資金を工面するのが難しくなることがあります。罰金によって、思いがけずに年間予算の大部分がなくなり、侵害が広く公表されることによって、収益に影響が及ぶからです。
顧客はデータが保護されることを望んでいるため、企業に信頼を踏みにじられたと感じれば、他の企業に乗り換えるでしょう。今は、成長できずに苦しんでいる場合ではありません。
プロアクティブに行動して侵害の被害に遭わないことに越したことはありませんが、侵害が発生した後に、投資を継続して追加のコストを払うことには十分な価値があります。これにより、企業が教訓を学び、これから改善を目指している姿勢を示すことができるため、顧客には安心感を与え、ハッカーには二度と脆弱にならないという意思を提示できます。
クラウド成熟度の低い企業が攻撃の標的に
攻撃を受けるリスクが最も高いのは、攻撃に備えていない企業です。サイバー犯罪者は、企業の防御を徹底的に調査して脆弱性を見つける方法を知っています。
クラウドへの移行を始めたばかりの場合、最も脆弱な状態です。以下に示すような、ビジネスをリスクにさらしうる他の事柄を検討する以前の段階にあります。
- 現在もオンプレミスのデータ・ストレージに大きく依存している。
- 自動バックアップが導入されていない。
- ビジネス継続性およびバックアップ計画を立てていない。
- 重要なデータにアクセスできるユーザーを制限するためのポリシーをカスタマイズしていない。
データの保存場所の移動に伴う変更によって混乱が生じると、顧客の機密データを脆弱な状態に置くことになります。気を緩めることなく、移動やアップグレードを実施する前に調査を実施してください。
ハッカーは、クラウド・ストレージへの移行と保護を開始したばかりの企業を探し出します。サイバーセキュリティの侵害の主要な原因は、依然として人的な失策です。移行に取り掛かる前に、調査を実施して発生するあらゆる侵害に反応して遮断する準備を整えてください。
2022年のクラウド・セキュリティのベスト・プラクティス
最高のクラウド・セキュリティ・ソリューションは、99.999%のアップタイムを保証し、企業のデータを脆弱な状態にする可能性がある無秩序なダウンタイムを制限します。重要なデータ・コンプライアンスの認定を受けたクラウド・ストレージ・ソリューションを調査し、ファイルの暗号化、2要素認証の使用、出入りするトラフィックの監視を継続してください。
新しいハイブリッド・ワーク環境では新たな警戒感を持ち、定期的に強力なパスワードに変更する、エンドポイントへのアクセスをロックダウンする、アクセス権を制限して不正なアカウントによる損害を抑制するなどの対策を実施してください。
ビジネスの成長に合わせてクラウド・サービスを拡張
ビジネスが成長すると、保管データ量は明らかに増加します。エンタープライズ・クラウド・ストレージを使用する場合、この情報には、非常に機密性が高いデータから、ランサムウェア攻撃の発生時にビジネスを継続するために必要な重要データまで幅広い情報が含まれます。ストレージの帯域幅不足によってデータを脆弱な状態にすることがないようにしてください。
Seagate Lyve Cloudなどのクラウド・ストレージ・サービスは データの使用量に応じて自動的に拡張されるため、手動で慌てて拡張する必要がなく、保護を継続するのに必要な柔軟性が得られます。
オブジェクト・ストレージ・ポリシーの定期的な設定と更新
S3ストレージを使用する場合は、個別のオブジェクトやバケットにポリシーを設定し、特定の情報を表示できる、あるいはできないユーザーをカスタマイズできます。ポリシーを設定することで、データにアクセスできるユーザーだけでなく、データを編集または削除できるユーザーも制限できるため、保護のレイヤーを追加することができます。Lyve Cloudは既存のS3ストレージと互換性があり、ユーザーがこれらのポリシーを設定、管理するための直観的なインターフェイスを提供します。
既存のクラウド・データ・サービスとストレージ・サービスの連携
クラウド・ストレージやディザスタ・リカバリのニーズを満たすためにVeeamやCommvaultなどのソフトウェアをすでに使用している場合は、これらの既存のサービスと追加のクラウド・ストレージを組み合わせることで セキュリティを強化できます。
ビジネス継続性計画の継続的な改善とトレーニングの実施
データ保護ツールとソフトウェアのアップグレードは、十分なレベルのセキュリティを維持してビジネスを行うための第一歩です。また、クラウドのアップグレードに応じて、社内のディザスタ・リカバリおよびビジネス継続性計画を策定するだけでなく、 更新することも重要です。また、時間を費やしてこれらの計画に基づいたトレーニングを作成し、全社的にトレーニングを実施してすべての従業員に同じ認識を持たせるようにしてください。
Lyve Cloudがどのようにして御社の2022年のクラウド・データ保護のベスト・プラクティスを強化できるかをご確認ください。
