【セキュリティ初心者と学ぶ】クラウド利用の魅力と怖さ

IT業界歴は長いがセキュリティは初心者のA子さんシリーズ第2弾。そもそもクラウドって何で良くて、何故注意が必要なんだっけ？ということを、A子さんが過去の経験を元にまとめます。

「クラウドファースト」が叫ばれる今だからこそ、改めてクラウドの魅力と怖さを整理しましょう。

過去の経験から振り返る　クラウド利用の魅力

皆様こんにちは。A子でございます。前回のブログから少し間が空いてしまいました。また思い出話をしてしまいます。私が担当していた案件で、システム障害が発生すると、私のところに電話が入ったものでした。

例えば、私は夜中に飛び起きて、SEさんを叩き起こし、当該拠点に急行してもらって、様々な手続きを踏んで、障害対応を行ってもらう。そんな時は、実物の機器を確認し、管理者ユーザとしてログインし作業し、障害箇所が特定できたら、必要な措置を行う、もし機器が壊れていたら交換作業を行う、設定を入れなおす、といったことになるために、対応完了までに最短でも半日は掛かっていました。

あの時は、SEの皆さん本当に申し訳なかったです・・・と心の底から思っておりますが、復旧に半日もかかるなんて・・・どうでしょうか。しかも、複数拠点や海外拠点をご担当されているシステム管理者の皆様、または“一人情シス”の方、駆けつけ・・・できそうでしょうか？

やっぱりこれはクラウド化ですよね！障害対応もどこからでも対応可能だから、働き手が減っていくなかでも安定稼働と働き方改革の両立できます！その先、いわゆる2025年の崖に向けたデジタル変革を行いたい場合にも、柔軟に対応できるし！

クラウド利用の怖さと対策

・・・なんですが、この前、怖いお話を聞きました。やはり魅力だけとはいかないようです。

あるお客様のもとに、某クラウドコンピューティングサービス会社から身に覚えのない高額の請求書が突然やってきたそうです。気が付くのが遅かったのですが、そのクラウドコンピューティングサービスの管理者ID情報が盗まれてしまっていたのです。犯人は、仮想通貨のマイニング用に、当該ID情報でできる限りのエリア拡張を行っていました。

もう正直、「こんなにちゃんとID情報を管理していても、管理者ID情報が盗まれちゃったら元も子もない」、という感覚はありますが、実はこういったときにForcepoint CASBならばお役に立てるのです。例えば、

1. 平日9-17時以外のログインは認めない
2. 日本以外の国からはログインさせない
3. リモート作業は特定の端末からしかアクセスさせない
4. リブートなどの重要作業は二要素認証が必要

といった是正アクションを設定することで、リスクを低減することができるのです。

先日、IPAから“情報セキュリティ10大脅威 2020”が発表されましたhttps://www.ipa.go.jp/security/vuln/10threats2020.html

この中の順位付けに関しては、いろいろと触れたい内容があるのですが、ザクっとした印象として“組織に関するセキュリティ脅威は、価値ある情報を持っている人が狙われている”と思います。明らかに、意図的に、そして高度な悪い技術を持った人、もしくは犯罪組織のようなところから、セキュリティ脅威を仕掛けられているような。価値ある情報を持っている人と持っていない人、リスクにさらされている人とらされていない人、制裁を受けている国と受けていない国、どちらがセキュリティ的により危険でしょうか？

Forcepointは自社セキュリティソリューションに対してヒューマンセントリックアプローチ、を取っています。人が中心。人が巻き起こすであろうセキュリティリスクをアクティビティやロケーションなどを分析・評価し、ダイナミックなセキュリティポリシーにより防御します。1つのソリューションプラットフォームでサイバー・ビヘイビア・アナリティクスによる強みをSaaS・Hybridで提供できる唯一の会社です。そんな会社のソリューション、気になりませんか？まず、ご自身の会社のシステムで試してみませんか？合うか合わないかは、そこからスタートです！

また、NVCではForcepointの提供を開始しました。ぜひ、ご興味のある方はご連絡いただければ幸いです。