ライアン・グラント氏は、グローバルサイバーセキュリティ企業ESETの米国・カナダ担当カントリーマネージャーである。
クラウドアプリケーションは、多くの中小企業にとって不可欠なものとなっている。給与計算から顧客サービスまで、クラウドアプリケーションによって、より迅速に動き、大企業と競争することが可能になる。しかし、利便性には落とし穴がある。これらのアプリケーションは、企業の最も機密性の高いデータを保持する可能性があるのだ。
IT資源が限られている中小企業にとって、クラウドのセキュリティ確保は困難に思えるかもしれないが、そうである必要はない。サイバーセキュリティ業界での私の経験では、クラウドセキュリティは、プロバイダーと企業の間の共同責任として機能するのが最善である。ベンダーの責任がどこで終わり、自社の責任がどこから始まり、どこで交差するかを知ることは、機密情報を保護し、コンプライアンスを維持し、顧客の信頼を維持するために重要である。
クラウドセキュリティリスクの理解
サイバー犯罪者にとって、クラウドアプリケーションは、ビジネスの宝物が詰まった金庫のようなものだ。顧客記録、支払い詳細、健康データ、知的財産などである。そして犯罪者は、必ずしもドアを壊す必要はない。多くの攻撃は、フィッシングメールから得られた盗まれたパスワードや、複数のアプリで再利用される弱いパスワードなど、単純なことから始まる。そこから、攻撃者はアカウントに侵入し、封じ込めが困難なサイバーインシデントを引き起こす可能性がある。従業員が間違った相手にファイルを送信したり、保護されていないデバイスにデータをダウンロードしたりするなど、内部者のミスが加わると、リスクは倍増する。
信頼できるソフトウェアでさえ、免疫があるわけではない。マルウェアがクラウドサービスプロバイダー、信頼できるアプリ、または定期的な更新のインフラに忍び込むサプライチェーン攻撃は、サービスを使用するすべての企業に影響を与える可能性がある。規制対象業界の企業にとって、リスクはサイバー攻撃を超えて、潜在的なコンプライアンス違反にまで及ぶ。
これらの例は、ベンダーが基盤となるインフラを保護する一方で、中小企業は、自社の人材、プロセス、データがクラウドプラットフォームとどのように相互作用するかを積極的に管理すべきであることを示している。自社でこのバランスを達成するためのいくつかの方法を見てみよう。
共同セキュリティのビジネス側
• ヒューマンエラーを減らす方法
従業員は、セキュリティにおける最大の変数の1つであり続けている。フィッシングリンクをクリックしたり、機密ファイルを誤って取り扱ったりすることで、ヒューマンエラーはデータ侵害の最大60%に関連している。このようなエラーは、認証情報の盗難、不正アクセス、および/または偶発的なデータ漏洩への扉を開く可能性がある。
アクセス認証情報は、これらのリスクの中心にあることが多い。弱いログインセキュリティや再利用されたパスワードは、攻撃者が侵入しやすくする。アカウント乗っ取りや不正アクセスを防ぐために、多要素認証(MFA)の使用を強く推奨する。MFAと、社内およびクラウドサービスプロバイダー全体でのシングルサインオン(SSO)を組み合わせることで、アプリ全体でのログインを簡素化し、認証情報を再利用する誘惑を減らすこともできる。従業員が本当に必要とするデータとシステムにのみアクセスできるように、権限を定期的に見直し、侵害されたアカウントの影響を制限する。
人間の行動に関連するもう1つのリスクは「シャドーIT」である。これは、スタッフが会社の知らないうちに未承認のアプリケーションや生成AIツールを使用することである。これらのツールは、機密データを公開したり、セキュリティ制御をバイパスしたりする可能性がある。従業員に承認されたサービスを提供し、未承認の代替手段を使用するリスクについて教育することで、シャドーITが見えない脆弱性を生み出す前に抑制できる。
トレーニングと意識向上は、これらすべての対策をまとめる。フィッシングがどのように機能するか、安全なログインが重要な理由、どのツールが安全に使用できるかを従業員が理解すると、彼らは弱点ではなく、セキュリティ戦略の延長となることを私は発見した。明確なポリシーと適切な保護措置により、サイバー犯罪者が最も頻繁に悪用するリスクを大幅に減らすことができる。
• 監視と検出の活用
本格的な社内セキュリティオペレーションセンター(SOC)を構築することは、ほとんどの中小企業にとって非現実的であるが、効果的な代替手段は存在する。例えば、マネージドディテクションアンドレスポンス(MDR)サービスは、社内チームのオーバーヘッドなしに、24時間体制の監視とインシデント対応を提供できる。クラウドアプリケーションに接続する前にエンドポイントがクリーンであることを確認することも、マルウェアが共有環境に拡散するリスクを減らすのに役立つ。
• 新たなトレンドの先を行く
セキュリティの状況は進化し続けており、新しい技術は、中小企業が多額の投資なしに保護を改善する機会を生み出している。AIと機械学習は脅威検出を強化し、異常をより速く、より正確に発見している。自動化は、報告や監視などのコンプライアンスタスクを簡素化し、手作業を削減している。一方、プライバシー強化技術(PET)は、機密データを安全に共同作業することを容易にしている。これらのトレンドを認識し続けることで、中小企業は堅固なサイバーセキュリティ態勢を維持できる。
ベンダーのデューデリジェンス
共同責任とは、ベンダーに責任を負わせることも意味する。適切なクラウドプロバイダーを選択することは、機能と同じくらいセキュリティに関するものである。情報セキュリティ管理の国際基準を設定するISO 27001や、サービスプロバイダーがプライバシーとセキュリティを保護するために顧客データをどのように管理するかを評価するSOC 2などのベンダーセキュリティ認証を慎重に評価する。業界規制への準拠とセキュリティ慣行の透明性も同様に重要である。稼働時間、インシデント対応、コミュニケーションに関する期待が満たされていることを確認するために、サービスレベル契約(SLA)を確認する。
ベンダーに尋ねるべきいくつかの重要な質問を以下に示す。
• 「バックアップと災害復旧の手順は何ですか?」
• 「インシデント通知はどのように処理しますか?」
• 「どのコンプライアンス基準を満たしていますか?」
• 「顧客データをどのように保護し、どの制御が私の責任で、どれがあなたの責任ですか?」
重要インフラなどの規制対象セクターで事業を行う中小企業は、クラウドの使用が米国重要インフラ法などに詳述されている法的義務を満たしていることも確認する必要がある。カリフォルニア州プライバシー権法、一般データ保護規則(GDPR)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、ペイメントカード業界データセキュリティ基準(PCI DSS)など、業界セクター、企業、顧客の所在地に応じた多くのデータプライバシー規制も存在する可能性がある。
さらに、クラウドサービスの保護に関するガイドラインを提供するISO/IEC 27017や、クラウド内の個人データの保護に焦点を当てたISO/IEC 27018などの国際基準は、ベンダーの慣行を強力なセキュリティとプライバシー制御とさらに整合させるのに役立つ。適切な質問をすることで、ベンダーが共同責任モデルの自分の側を守っていることを確認できる。
結論
クラウドセキュリティは、中小企業が完全に外部委託できるものではない。ベンダーはインフラを保護するが、企業側の人材、ポリシー、プロセスを管理するのは企業次第である。両者が自分の役割を果たすとき、中小企業はリスクを減らすだけでなく、レジリエンスを構築することもできる。つまり、ますますデジタル化する世界で、データ、顧客、評判を保護することができるのだ。
