中小企業における情報セキュリティは、大企業を保護する場合と比較して特有の課題を抱えています。中小企業は通常、大企業と同規模の技術リソースを有しておらず、大半がクラウドセキュリティの実装に苦戦し、必要なソリューションを欠いています。過去10年間で中小企業におけるクラウドコンピューティングプラットフォーム導入サービスの成長に伴い、それらの課題の一部は解消されました。とはいえ、クラウドプラットフォームは利点とともに新たな課題ももたらす可能性があります。
とはいえ、クラウドプラットフォームは利点とともに新たな課題ももたらす可能性があります。
クラウドセキュリティへのアプローチ方法を探りながら、従来のオンプレミス型ソリューションとの類似点と相違点を明らかにしましょうそこから、クラウド環境導入におけるセキュリティ上のトレードオフが価値あるものかどうかを判断するお手伝いをします。当社の支援により、中小企業のクラウドセキュリティを最適化し、脅威に備えるために必要なすべてを手に入れられます。
クラウドセキュリティとは?
クラウドセキュリティを検討する際には、セキュリティ対策を3つの主要な柱に分類すると理解しやすくなります。
- プロバイダーベース
- 顧客ベース
- サービスベース
これら3つのカテゴリーはそれぞれ、包括的に安全な技術プラットフォームの構築に寄与します。クラウドプロバイダーの利用方法によっては、いずれかのカテゴリーが自社にとってより重要となる場合があります。各タイプの詳細と中小企業への適用方法を掘り下げてみましょう。
プロバイダーベースのセキュリティとは?
プロバイダーベースのセキュリティとは、クラウドプロバイダーが責任を負うセキュリティの種類を指します。これには、物理的なハードウェアの保護や、インターネット全体へのネットワークインターフェースの保護などが含まれます。AWSやGoogle Cloudといった主要クラウドプロバイダーと契約する場合、プロバイダーベースのセキュリティをどのように扱うかを明確に説明できる体制が整っていることを期待すべきです。これらの企業は規制の厳しい業界での業務に慣れ、政府機能を支える機密性の高いシステム向けのプラットフォームを提供しています。
小規模なクラウドプロバイダーと契約する場合、初期交渉時および継続的に、プロバイダーベースのセキュリティをどのように確保しているかについて透明性が求められるべきです。
顧客ベースのセキュリティとは?
顧客ベースのセキュリティにおける「顧客」とは、御社のビジネスにおける顧客を指すものではありません。むしろ、クラウドプロバイダーの顧客、つまり御社自身を指します。カスタマーベースのセキュリティとは、クラウドプロバイダー上で運用するシステムに導入するセキュリティ対策を指します。ここで役立つのがアイデンティティとアクセス管理(IAM) を検討すると有用です。IAM はユーザーIDを管理しリソースへのアクセスを制御する枠組みであり、お客様ベースのセキュリティは、アプリへのアクセスを保護するIAMサービスのようなシステムと捉えられます。
サービスベースのセキュリティとは?
サービスベースのセキュリティとは、クラウドプロバイダーが導入する技術的なセキュリティシステムです。通常、これらのシステムは自社チームが管理しますが、開発はクラウドプロバイダーが行います。つまり、オンラインアプリケーションへのアクセスを制御するIAMシステムとは異なり、このサービスはクラウド構成へのアクセス制御のために導入したシステムと連携します。例えば、スケーラブルで独自のビジネスニーズに合わせて調整可能な「マネージド検出・ハンティング・対応サービス」などが該当します。
クラウドセキュリティとオンプレミスセキュリティの比較
クラウドセキュリティの一部は、従来のオンプレミスセキュリティソリューションを使用したことのある中小企業にとって馴染み深いものとなるでしょう。クラウドセキュリティもアクセス制御や認可といった要素に焦点を当てています。これらは技術システムだけでなく、事業拠点への物理的アクセス全般において、オンプレミスセキュリティの重要な側面でもあります。物理資産とデジタル資産の保護における基本原則は類似しており、多くの場合同一です。ただし、クラウドセキュリティには特有の要素が存在します。前述の通り、クラウドアプリケーションの保護には複数の側面が関わります。クラウドシステムを3つの柱すべてで効果的に保護しなければ、セキュリティに重大な隙間が生じます。
クラウドセキュリティとオンプレミスセキュリティの主な相違点は以下の通りです:
| クラウドセキュリティ | オンプレミスセキュリティ |
|---|---|
| クラウドベンダーが企業へのセキュリティサービス提供を担当します。 | 企業は自社のセキュリティリソースを完全に実装します。 |
| 初期投資は不要ですが、セキュリティサービスの中断を防ぐため、継続的なサブスクリプションが必要です。セキュリティインフラはクラウドベンダーが所有・提供します。 | 初期投資が高額なため導入コストは高い。しかしソリューションを所有するため運用コストがなく、維持費は低くなります。 |
| カスタマイズはクラウドセキュリティサービスプロバイダー次第です。要求がポリシーやガイドラインに準拠しない場合、承認されません。 | 自由にカスタマイズでき、既存機能の追加・削除が可能です。 |
| オフライン状態やインターネット接続が失われた場合、企業はクラウドセキュリティサービスを利用できません。 | オンプレミス型セキュリティソリューションはオフライン時でも問題なく動作します。 |
クラウドセキュリティの特異性の一つは、3つのカテゴリー全てを自社だけでカバーできない点にあります。これは利点であると同時に欠点でもあります。中小企業の場合、特定のクラウドセキュリティカテゴリを自社で対応しようとすると、投入可能なリソースを超える可能性があります。例えば、AmazonやGoogleのサービスベースのセキュリティ開発チームは、ほぼ間違いなく貴社全体よりもはるかに大規模です。
一方で、クラウドプロバイダーが貴社のリソースを満足のいく形で保護していると信頼する必要があります。中小企業の場合、プロバイダーが最善の努力を尽くしていると確信できないかもしれません。結局は「十分な水準のセキュリティ対策が施されている」と信じるしかないのです。
中小企業におけるクラウドセキュリティの重要性
クラウドプラットフォームを採用する中小企業は、そのプラットフォームのセキュリティ確保に投資する必要があります。10億ドルの売上を上げておらず、1万人を雇用していないからといって、他の企業と同じセキュリティ課題に脆弱ではないわけではありません。中小企業の47%は特権アクセス制御を全く実施しておらず、デジタルサプライチェーン攻撃の格好の標的となっています。
中小企業の73%が過去1年間にデータ侵害を経験しており、多くの企業は最新のランサムウェア対策に適切に対応できていません。二重恐喝攻撃は被害者に圧力をかけ、データ損失を超えた損害(評判毀損、財務損失、事業信頼性・消費者信頼の喪失など)を引き起こします。82%のランサムウェア脅威は、リソース不足を理由に中小企業を標的としています。中小企業が事業継続性を維持し、こうしたインシデントから回復するためには、定期的なバックアップが不可欠です。また、技術的防御を回避する新たなサイバーセキュリティ上の課題や攻撃について、従業員を教育する必要もあります。
CNAPPマーケットガイド中小企業が直面するクラウドセキュリティの主な課題
中小企業がクラウドプラットフォームのセキュリティを確保する際に直面する主な課題をいくつか見ていきましょう。
#1.データ侵害
データ侵害 は、あらゆる企業にとって最も顕著な情報セキュリティ上の失敗のひとつです。多くの場合、データ侵害の被害を受けた大企業がニュースになることが多いですが、侵害はあらゆる規模の企業に損害を与えます。データ侵害とは、システム上の機密データ(通常は顧客データ)に不正アクセスが発生する事態を指します。顧客の機密個人情報が漏洩するため、顧客に実際の損害を与えます。さらに、当初影響を受けなかった顧客にも侵害を公表せざるを得ないため、企業は深刻な評判の低下に見舞われます。
#2. 不正アクセス
不正アクセスは、このリストにある他の問題へと発展することが多い課題です。不正アクセス攻撃とは、文字通り、許可されていない人物がシステムの一部にアクセスすることを指します。攻撃者は通常、ダークウェブでデータを販売するなどの悪意ある目的でこれを行います。あるいは、将来の脅威を仕掛けるためのより深い偵察を行うのに十分な機密情報を収集する場合もあります。不正アクセスは、中小企業と従来型企業では少し異なる形で現れることが多いです。大企業では、社外の人物が従業員の認証情報を悪用して不正アクセスするケースを懸念しがちです。中小企業は、従業員の入社・退職手続きを効率化することで不正アクセスを防止できます。休眠アカウントの削除、秘密保持契約(NDA)の締結、強力なパスワード管理ポリシーの策定といった単純な対策が大きな効果を発揮します。
クラウド環境においては、従来のデータセンターと比較して不正アクセスに付随する追加要素が存在します。これは考慮すべき新たな柱です:単に自社デジタルシステムへのアクセスを保護するだけでは不十分です。クラウドプロバイダーのシステムへのアクセスも保護する必要があります。これを怠ると、不正ユーザーアクセスが本リストの他の項目に発展する可能性が高まります。多要素認証の導入も忘れずに実施しましょう。
#3.ランサムウェアとマルウェア
テクノロジー分野で活動する中小企業にとって、もう一つの核心的なセキュリティ課題はマルウェアです。マルウェアが大企業・中小企業双方に与える最も一般的な影響の一つがランサムウェアによるものですです。ランサムウェアは重要なビジネスデータを暗号化し、復号化のために通常は仮想通貨ウォレットへの支払いを要求します。言うまでもなく、この種の攻撃は業務に深刻な支障をきたすだけでなく、多大な費用も発生させます。
フォグは企業が警戒すべき新たなランサムウェア亜種です。ラトロデクトスのような新興マルウェアは、従来のデータセンター方式を利用する企業に比べ、適切に構成されたクラウドシステムを導入している企業では影響がやや軽減される可能性があります。これはクラウドシステムがプラットフォーム全体のバックアップを容易かつ簡便に実現するためです。従来のデータセンターでは、自動バックアップの設定には多大な労力とリソース投資が必要です。したがって、中小企業はアプリケーションをクラウドでホストすることで、マルウェアやランサムウェア攻撃からの復旧において真の利点を見出す可能性があります。
#4. コンプライアンスと規制上の課題
中小企業にとってコンプライアンスと規制上の課題は複雑な問題の網の目のように絡み合っています。しかし、難しいからといって無視できるわけではありません。顧客の支払いデータや個人情報など、法律が事業者に求める取り扱い方法を確実に把握することがあなたの責務です。
この点においても、クラウド環境とデータセンター環境はほぼ同様です。ただし、クラウド上で事業を展開する企業には若干の利点がある場合があります。例えば、規制で特定の種類の保存データを暗号化することが義務付けられている場合、クラウド環境ではそれがやや容易になる可能性があります。さらに、規制では通常、誰がいつどのリソースにアクセスしたかを監査する能力が求められます。クラウド環境はそうした要件を念頭に構築されているため、要求に応じてそのデータを見つけ提供するための作業は、その機能を自ら構築する必要があるデータセンターよりもはるかに容易です。
中小企業におけるクラウドセキュリティのベストプラクティス
クラウド環境のセキュリティ確保と中小企業の支援に向けた最適なアプローチ方法についてご説明します。クラウド環境のセキュリティ確保lt;/p>
#1. 定期的なセキュリティ監査の実施
クラウドアプリケーションを保護する重要な方法は、定期的なセキュリティ監査を実施することです。クラウド上のセキュリティ侵害の最も一般的な原因の一つは設定ミスです。この種のエラーに対処する方法は、設定を定期的に見直すことです。以下の重要な質問を自問してください:
- どのシステムに誰がアクセスできるのか?
- 前回の監査以降に特定されたセキュリティ脆弱性は何か?それらは修正済みか?
- 前回の監査以降、規制の変更はあったか?それらに準拠しているか?
- 前回の監査以降、設定値の変更はあったか?誰が変更したのか?その理由は?
理想的には、組織内で定期的にこれらの質問に答える習慣を身につけるべきです。これらの質問に十分に答えるための専門知識が不足していると感じる場合は、外部監査チームに初期監査を依頼するのが賢明かもしれません。
#2. 強力なアクセス制御の実装
クラウドベースのアプリケーションを扱う場合、アイデンティティ管理はセキュリティ体制の中核を成します。前述の通り、アプリケーションとクラウドプロバイダーの両方が適切に構成されていることを確認し、ユーザーがアクセスすべきシステムのみにアクセスでき、実行すべき操作のみを行えるようにする必要があります。中小企業では、オンボーディング/オフボーディングプロセスの不備が不正アクセスの原因となる場合があります。これは、退職した従業員のアカウントを削除しないことや、ユーザー間で認証情報を共有することなどが原因で発生し、悪意のあるユーザーが本来アクセスすべきでないリソースにアクセスする結果につながります。そのため、ユーザーアクセスを継続的に監査し、見落としがあった場合にできるだけ早く発見することが極めて重要です。
#3.バックアップとデータ暗号化戦略バックアップは極めて重要です。なぜなら、何らかのデータ損失が発生した場合でも、迅速かつ確実にデータを復旧できることを意味するからです。理想的には、バックアップ復元プロセスを定期的に検証すべきです。定期的な検証により、問題発生時の対応方法が明確になり、プロセスが機能していることを確認できます。データ暗号化も同様の目的を果たしますが、データ損失の防止ではなく、データ漏洩の防止に役立ちます。アプリケーションへの不正アクセスが発生しても、データが暗号化されていれば読み取れないため、被害は発生しません。
クラウドプラットフォームの利点の一つは、データの暗号化やバックアップといったベストプラクティスが通常、直感的で簡便であることです。
#4.従業員のトレーニングと意識向上
従業員のトレーニング データ保護のベストプラクティスに関するトレーニングは、クラウドでもデータセンターでも、あらゆるセキュリティ対策の中核をなすものです。トレーニングは、マルウェアやランサムウェアなどの攻撃を防ぐ上で特に効果的です。研修を改善することで、企業はさまざまなフィッシングやソーシャルエンジニアリングの脅威を排除することができます。悪意のあるメールがどのようなものかを従業員に研修することで、従業員はそれらを識別して回避できるようになり、こうした攻撃の犠牲になるリスクを最小限に抑えることができます。
#5. 監視とインシデント対応
最後に、あらゆるセキュリティシステムは問題発生を検知する必要があります。どのような対策を講じても、問題が発生するリスクは常に存在します。問題が発生した際には、監視とインシデント対応システムが準備されている必要があります。攻撃者が既にシステムに侵入した後に侵害を発見するのは遅すぎます。
ここでクラウドプラットフォームが優位性を発揮することが多いのです。監視およびアラートシステムは、最小限の設定でクラウドプラットフォームに直接接続できます。また、自社でホストするデータセンターとの統合もサポートしています。しかし多くのシステムでは、オンプレミス環境向けに追加費用が必要だったり、大幅な追加設定が求められたりします。顧客の多くがクラウドベースであるため、多くの監視システムはクラウドを最優先の選択肢と見なし、クラウド上での設定が最も容易であることがわかります。
中小企業向けクラウドセキュリティにSentinelOneを選ぶ理由とは?
中小企業がクラウドコンピューティングを採用する決断には多くの利点があります。一方でいくつかの欠点も伴います。クラウド導入を検討しているなら、それに伴う追加のセキュリティ課題を理解することが重要です。しかし、クラウド導入によるメリットはこれらの課題を凌駕する可能性があります。特に従業員50名未満の超小規模企業の場合、クラウド移行の利点は非常に大きいのです。
どのアプローチを選択する場合でも、システムを効果的に保護することが不可欠です。クラウドを採用する場合、以下の3つの主要な柱それぞれを確実に保護する必要があります:
- プロバイダーベース
- 顧客ベース
- サービスベース
SentinelOne Singularity™クラウドセキュリティの詳細をご覧ください。AI搭載のCNAPP(クラウドネイティブアプリケーション保護プラットフォーム)として、クラウドワークロードの保護、コンプライアンスの強化、クラウドセキュリティ態勢の向上を支援します。クラウドに保存したデータを保護し、専門家と連携できます。攻撃をマシン速度で阻止し、複数の検知エンジンを活用して新たな脅威から防御します。詳細はこちら こちら。
結論
中小企業のクラウドセキュリティは軽視すべきではありません。スタートアップだからといって、攻撃者が手を引くことはありません。中小企業は成長と拡大の潜在力が非常に大きいため、標的とされるのです。脅威アクターはこの点を認識しており、そのため彼らは最終的に発見した情報を基に脆弱性を悪用する前に、密かに偵察活動を行います。
新しいクラウドセキュリティソリューションの導入は容易ではありません。多くの変数が関わり、レガシーインフラからの移行時には課題が生じます。
SentinelOneのような堅牢なマルチクラウドセキュリティソリューションは、将来のセキュリティ確保を支援します。これらの課題はもちろん、認識していない問題までも解決します。
FAQs
クラウドを利用する場合も、自社ハードウェアでソフトウェアアプリケーションをホストする場合も、セキュリティ意識を持つ必要があります。中小企業は大企業と同じようなリソースを持っていないため、最も価値の高いセキュリティ対策を選択する必要があります。しかし全体として、顧客は自社のデータを保護するために貴社に依存しており、貴社のビジネスは正常に機能し続けることに依存しています。
クラウドは中小企業にとって有益な場合があります。前述の通り、クラウド環境ではセキュリティ対策の一部が容易になる反面、より困難になる部分もあります。全体として、クラウドプロバイダーの利用は自社アプリケーションの運用よりも設備投資コストが高くなる傾向があり、一方でデータセンターの運営は人件費が高くなる傾向があります。どちらが適切かは、貴社次第です。
これはユースケースに大きく依存します。特定のクラウドプロバイダーに精通した人材がいる場合、それが最も賢明な選択となることが多いでしょう。特定の地域へのサービス提供が必要な場合は、その地域をカバーするクラウドプロバイダーを採用するのが良い選択です。特に制約がない場合は、AWS、Google、Azureなどの主要プロバイダーを採用するのが一般的に賢明です。