はじめに
"Why Cloud Security Seems So Hard, and How to Overcome These Challenges" という Paloalto Networks のブログ記事を読みましたのでそのメモです。
書いた人
書いた人は、Matthew Chiodi さん。Palo Alto Networks のチーフ・セキュリティ・オフィサーだそうです。
要約
AWS の EC2 が登場してから13年も経つのに、企業はパブリッククラウドのセキュリティやコンプライアンスに悩まされ続けている。クラウドはオンプレミスと比べて目覚ましい速度で新機能が追加され便利になる一方で、複雑さを増すことにもつながる。複雑になればなるほど、セキュリティは難しくなる。
クラウドプロバイダーは顧客に対して責任分界点を明確に示しており、それを顧客も認識しているものの、実際には扱いに苦労している。結果、クラウドセキュリティやコンプライアンスの解決のために、たくさんのセキュリティ製品を導入している。
ツールを入れることはたしかにひとつの解決策ではあるが、まずはセキュリティ戦略を立てることが大切である。戦略をたてるために、The Big Cloud 5 と呼ばれるフレームワークが役に立つだろう。
The Big Cloud 5
こちらは日本語翻訳版の記事も公開されているので良かったら見てみてください。
Big Cloud 5 は、パロアルト社が2019年に発表したセキュリティ戦略を練る際に使えるフレームワークです。
状況を認識してクラウドを詳細に監視する。
クラウドの最も重大な設定ミスを自動で阻止する防壁を設定する。
標準を定めてから自動化に進む。
コーディングするセキュリティ エンジニアをトレーニング/採用する。
開発パイプラインにセキュリティを組み込む。
※図は「Big Cloud 5:包括的クラウド セキュリティ戦略」より転載
これは網羅的なものではありませんが、適切な組織を整えることで、お客様のチームが包括的クラウド セキュリティ戦略を作成する際に役に立ちます。
おわりに
The Big Cloud 5 というフレームは知らなかったので、覚えておこうと思いました。
たしかに、クラウドは便利な反面、オンプレミス時代とは異なるセキュリティが必要になりますし、次々と新しい機能が追加されるため疲弊してしまうと側面もあります。
記事ではクラウドセキュリティに苦しんでいることを「いまだに」みたいな感じで言ってましたが、スピード感から考えれば致し方ないことかなと思いました。
あらゆるセキュリティ製品にあふれている昨今ですが、とにかく入れてみるではなくて、自分の組織にどのようなセキュリティが必要なのか、戦略をもっておくことは大変重要ですよね。
加えて、クラウドの進化のスピードや攻撃者の進化のスピードに対抗するためには、戦略をつくって終わりではなく、継続的に見直してブラッシュアップをかけることが必要です。
以上