Akamai Technologiesは8月7日(米国時間)、「TOP 10 BEST PRACTICES FOR SECURING CLOUD WORKFLOWS - The Akamai Blog」において、クラウドプラットフォームを活用する時に役立つ10のセキュリティベストプラクティスを紹介した。
クラウドプラットフォームは利用が増えているが、同時にセキュリティ・インシデントの発生も広がっている。Akamai Technologiesはそうした問題に対処するため、次のプラクティスを紹介している。
- マニュアルを読む。クラウドプロバイダーはセキュリティ・インフラストラクチャの設計とアプリケーションの構成などに関するベストプラクティスをドキュメントで公開している。こうしたドキュメントを入手して管理や運用に活用する
- 責任の所在を理解する。クラウドベンダーはプラットフォームが稼動することを保証する責任があるが、アプリケーションとデータの保護に関してはユーザーに責任がある。ほとんどのデータ侵害はユーザーが原因で発生している。どこに責任があるのかを理解しておく必要がある
- 設定を誤ったり、DDoS攻撃を受けたりと、想定していない状況が起こることを前提とする。そうした事態において被害を最小限に抑えることができる、セキュリティ・インシデント発生時の行動をマニュアルとしてまとめておき、各人の行動と責任を明らかにしておく
- 安全性を確保するためにどのような選択肢を取るべきか、評価する。適切な選択肢は状況や要望によって異なる。評価を行い、適切な選択肢を利用する
- セキュリティはイノベーションを抑制するものではなく、ビジネスを可能にするものでなければならない。開発段階の早い段階でセキュリティを取り込み、かつ、クラウドを活用できる開発方法論を採用する
- 後から適切な設定を行うことを前提に一時的に設定を変更した場合、そのまま本番稼動させてしまうことがあることを知る。一時的にアクセスを緩くするといった対応はセキュリティの問題を引き起こしやすいので、適切に設定するように努める
- 誰も信じないというゼロトラスト・アプローチを採用する。ゼロトラスト・アプローチを取るとすべての要求を検証する必要があり、セキュリティが向上する
- インバウンド・トラフィックを監視し、それが常に正当なものであるかどうかをチェックする
- 何をするにしても要件に対応するために柔軟性を持たせておく。1つのアプローチに固まるのではなく、複数の方法で対応できるようにしておく
- 社内からの実施にせよ、社外の第三者に依頼するにせよ、定期的に組織のセキュリティをテストする演習を実施する
クラウドプラットフォームの利用が当たり前となり、単一の組織において複数のアカウントを利用するようになると、状況はさらに複雑になってくる。クラウドプラットフォームは便利な半面、ちょっとした設定の変更でデータ漏洩などの穴が生まれてしまうなどの危険性も存在している。状況を理解して適切な運用を行っていくことが望まれる。