Rubrik Zero Labsの調査によると、組織がバックエンドの機密データをクラウドに保存する量は、2028年には平均1231.8テラバイトになると見込まれます。保存先としてクラウドの採用が普及しているのもうなずけます。クラウドコンピューティングは、拡張性がありオンデマンドで利用できる、設備投資ゼロのイノベーション基盤を実現するからです。
しかし、クラウドでデータを保存すると、企業はそれまで経験していなかったようなリスクに晒されます。それはどのようなリスクでしょうか? そのようなリスクに対処するにはどうしたらよいでしょうか?
クラウドデータセキュリティは、データセキュリティ全体を捉えた全体像の一部です。組織がますますデータドリブンになるにつれて、データ侵害によってもたらされる潜在的な損害の深刻度も増しています。自社データが削除や流出に見舞われたり、侵害を受けたりしたら、データドリブンの企業として成功するのは至難の業です。したがってデータ保護は最優先すべきです。
クラウドセキュリティは、前述の全体像のもう一つ要素です。クラウドにおけるセキュリティはオンプレミスのセキュリティとは異なります。一つには、社外チームがクラウドインフラストラクチャを管理していることが挙げられます。そして、クラウドインフラストラクチャを運用している社外チームがセキュリティに関して卓越している(おそらく社内チームより優れている)とはいえ、どういう人たちかを知ることはできないうえに、その人たちを統制することもできません。そのため、自社のクラウドデータの状況や安全性について不安が生じます。
実は、クラウドに対するセキュリティの脅威はほとんどがよく知られたもので、フィッシング攻撃、サプライチェーン攻撃、悪意のあるインサイダー、構成が不十分なデータストアなど、聞きなれた手法や経路が使われています。確かに、最悪のクラウドデータのリスクは、一部にはずさんなセキュリティ設定やデータセキュリティポリシーの不十分な遵守から生じています。
クラウドでのデータ保存は、魅力的な攻撃対象領域を生み出します。企業は個人を特定できる情報(PII)、知的財産(IP)、顧客情報など、ありとあらゆる機密データをクラウドに保存します。
こういったデータセットは、販売や個人情報窃盗をするハッカーにとって価値の高いものです。データに基づいて事業を運営している企業を混乱に陥れる可能性ももたらします。また、データがクラウドから漏洩した場合、GDPRやCCPAなどに関するコンプライアンス問題も引き起こす可能性があります。これらのリスクはバックアップインスタンスにも当てはまり、予期せぬデータ漏洩につながることがあります。
クラウドの共有セキュリティモデルは、クラウドデータのリスクを悪化させることもあります。通常、クラウドサービスプロバイダー(CSP)は、クラウドプラットフォームを動かす物理データセンターや、ネットワーク、ハードウェアといった自社のインフラストラクチャの安全を確保する責任を負っています。自社データの安全を確保する責任は顧客にあります。顧客がデータ保護に対して独自のポリシーや対策を持っていることを考えると、それも当然です。ところが、共有を特性とするクラウドセキュリティは、利害関係者の責任の把握が曖昧になるという溝を残す場合があります。
クラウドプラットフォームは多様な慣行やテクノロジーを利用してデータを安全に保護しています。しかし、クラウドプラットフォームが安全であるとみなされるためには、次のようないくつかの重要な要素が整っていなければなりません。
クラウドのデータは暗号化されるべきです。暗号化は、エンドツーエンドで保存中と転送中の両方のデータを対象にする必要があります。そうすれば、悪意のある攻撃者がクラウドデータのストレージインフラストラクチャやデータベースに侵入できたとしても、中に含まれる情報は攻撃者にとって役に立たなくなります。
暗号化をさらに高度にしたアプローチとして、ハッシュ技法を用いて、暗号化したデータセットを書き換え不可にするという方法もあります。書き換え不可のスナップショットは誰も変更したり削除したりできません。このスナップショットはランサムウェアというマルウェアによる再暗号化ができないため、ランサムウェア攻撃に耐えることができます。
高度な脅威検知メカニズムは、クラウドプラットフォームがセキュリティの脅威を見つけ出して緩和するのに役立ちます。たとえば、異常検知エンジンでは、ストレージマネージャーとセキュリティ運用(SecOps)パートナーは、クラウドに保存されているデータに対する脅威を調査して探し出し、バックアップインスタンスからデータを復元するときにマルウェアに再感染しないようにすることができます。異常検知エンジンは、機械学習(ML)を活用して正常な振る舞いの基準値を定め、その値を基に悪意のあるアクティビティを検知できます。そこから攻撃の開始点、タイミング、範囲を特定できます。
さらに、脅威の監視では、情報共有分析センター(ISAC)やその他の脅威フィードや独自のインテリジェンスなどの第三者から得たインテリジェンスを活用します。このテクノロジーは、バックアップスナップショット内の侵害の兆候(IOC)を突き止めることができます。このようなツールを使用することで、事後対応的な手動による脅威の検知や対応のワークフローの必要性が軽減されます。Rubrikは既存データに対するこれらのプロセスを「帯域外」で実行し、本番システムのパフォーマンスを維持します。
CIO.comから引用した2021年のVMwareの調査によると、企業の約4分の3が2つのパブリッククラウドプラットフォームでデータを保存しています。同調査では、回答した企業の26%が、Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)をはじめとする3つ以上のクラウドを使用していると述べています。したがって、クラウドデータ保護ソリューションを実用的なものにするには、マルチクラウドのアーキテクチャをサポートする必要があります。
クラウドに保存されたデータには、オンプレミスに保存されたデータとまったく同じガバナンスとコンプライアンスの要件が適用されます。そのため、クラウドデータセキュリティソリューションは、ほとんどのコンプライアンスフレームワークを構成している管理とポリシーをサポートする必要があります。これにはISO 27001、SOC2 Type 2、SOC 3、GDPR、CCPA、HIPAAで指定されているアクセス制御と暗号化標準が含まれます。コンプライアンスマネージャーは、クラウドに保存されているデータに関連するコンプライアンスに関して、比較的容易に監査と報告ができる必要があります。
インシデント対応と復旧は、クラウドデータセキュリティの重要な要素です。機能停止が生じた場合、その原因がサイバー攻撃か、機械的な故障か、それとも自然災害かを問わず、企業は可能な限り最も近い目標復旧ポイント(RPO)まで、できるだけ迅速にデータを復元したいと考えます。
つまり、インスタントリカバリ(「リカバリインプレース」)などのテクノロジーを使用するということです。これはワークロードをバックアップサーバーに直接リダイレクトして、これまで必要だった復旧時間をなくそうという試みです。スナップショットを作成し、ユーザーの書き込み操作のすべてをスナップショットにリダイレクトして、バックアップデータの純粋なコピーを作成します。次に、ユーザーがバックアップの仮想マシン(VM)からのデータを使用するときに、バックグラウンドで復旧プロセスを開始できます。このプロセスはユーザーには見えませんが、ユーザーは最終的に元のシステムに戻ります。
データにアクセスできるユーザーを管理することは、クラウドデータの保護の極めて重要な側面です。確かに、ユーザーアクセス制御はほぼすべてのサイバーセキュリティ制御の基盤です。そのため、不正なユーザーが機密データにアクセスするリスクを軽減する、徹底したアクセス制御を行う必要があります。たとえば、ロールベースアクセス制御(RBAC)では、ロールに基づいて定義された一連のアクセス権限を各ユーザーに割り当てます。したがって、たとえば経理チームメンバーは会計データにはアクセスできますが、IPデータにはアクセスできないようにします。こうすることで「最小権限」のゼロトラストの原則が有効になります。
クラウドデータセキュリティソリューションを採用した企業にはさまざまなメリットがもたらされます。このメリットは、データプライバシーの強化からセキュリティ対策の所有コストの削減などに至るまで、あらゆる範囲にわたります。ITマネージャーはしばしば、Rubrikを使用するとセキュリティ管理を簡素化できると感じています。
クラウドデータセキュリティは、クラウドのどこにあろうとデータを保護して、データプライバシーを強化します。ストレージおよびバックアップを担当するマネージャーは、データの種類と場所を絶えず把握して、顧客などのプライバシーを脅かすデータ漏洩を徹底的に防ぐことができます。同様に、エンドツーエンドの暗号化と書き換え不可のスナップショットにより、プライバシーに影響するデータ漏洩の可能性と影響が大幅に軽減されます。
クラウドデータセキュリティは、他のセキュリティ分野と同様、予算に組み込まれている項目です。ですから、総保有コスト(TCO)を低減できることはソリューションの強みとなります。クラウドデータセキュリティソリューションは、費用対効果の確かな実績を有している必要があります。バックアップ管理やクラウドデータセキュリティの効率を上げる(TCOの低減につながる)統一されたSaaSインターフェイスや、コストが最適化されたクラウドストレージ層にバックアップデータを移行する機能などがこれに含まれます。圧縮と重複排除によって、ソリューションのメリットはさらに増します。
クラウドデータセキュリティはクラウドのデータを絶えず監視している必要があります。24時間体制でデータを把握することは、クラウドでの効果的なデータ保護にとって有益であり、必須であると言えます。クラウドインスタンスは絶えず脅威にさらされているため、恒久的な警戒が求められます。また、クラウドデータはプラットフォームやクラウド層の間を移動する傾向にあります。そのため、尽きることのない積極的な取り組みが、全データの安全確保には最善となります。
セキュリティ運営とバックアップ管理は複雑になる傾向があり、これがコストや関係者への負担につながります。クラウドデータセキュリティは、使いやすいインターフェイスと、複雑なセキュリティ管理ワークフローの一元管理を通じて管理できる必要があります。
クラウドでデータの安全を確保することは可能であり、現在のデジタル環境ではこのようなセキュリティが必須となっています。セキュリティの成功は、クラウドにおけるデータの場所、データの種類、アクセスできる関係者を把握しているかどうかにかかっています。クラウドデータセキュリティソリューションがこれを実現します。ソリューションは、ハイブリッドでマルチクラウドのアーキテクチャをサポートする必要があります。Rubrikはこれらの条件を満たし、一元管理だけでなく書き換え不可のスナップショットやインスタントリカバリといった独自のセキュリティ管理も実行できる、クラウドデータセキュリティソリューションを提供します。
Rubrikがサポートします。クラウドで機密データを保護するRubrikの包括的なソリューションの実際の状況をご覧ください。