ビジネスセキュリティ

これらの間違いや盲点を排除することで、組織はサイバー リスクにさらされることなく、クラウドの使用の最適化に向けて大きく前進することができます。

フィル・マンカスター

月16 2024
 • 
,
5分。 読んだ

クラウド コンピューティングは、今日のデジタル環境に不可欠な要素です。現在、IT インフラストラクチャ、プラットフォーム、およびソフトウェアは、従来のオンプレミス構成よりもサービス (そのため、それぞれ IaaS、PaaS、SaaS という頭字語) として提供される可能性が高くなります。そして、これはほとんどの中小企業 (SMB) にとって魅力的です。

クラウドは、より大きなライバルと競争の場を平等にする機会を提供し、大金を掛けずにビジネスの機敏性の向上と迅速な拡大を可能にします。それが、世界の中小企業の 53% が調査を行った理由かもしれません。 最近の報告 彼らはクラウドに年間 1.2 万ドル以上を費やしていると言います。昨年の 38% から増加しました。

しかし、デジタル変革にはリスクも伴います。セキュリティ (72%) とコンプライアンス (71%) は、SMB の回答者にとって XNUMX 番目と XNUMX 番目によく挙げられるクラウド上の課題です。これらの課題に取り組むための最初のステップは、中小企業がクラウド導入で犯す主な間違いを理解することです。

中小企業が犯すクラウド セキュリティ上の間違いトップ 7

明確にしておきたいのは、以下は中小企業がクラウドで犯す単なる間違いではないということです。最大かつ最高のリソースを備えた企業であっても、時には基本を忘れてしまうことがあります。しかし、これらの盲点を排除することで、組織は潜在的に深刻な財務リスクや風評リスクにさらされることなく、クラウドの使用の最適化に向けて大きく前進することができます。

1. 多要素認証 (MFA) なし

静的パスワードは本質的に安全ではなく、すべての企業がパスワードを遵守するわけではありません。 サウンドパスワード作成ポリシー。パスワードは次のとおりです。 色々な方法で盗まれましたフィッシング、ブルートフォース手法、または単に推測によるものなど。そのため、最上位の MFA に追加の認証レイヤーを追加する必要があります。これにより、攻撃者がユーザーの SaaS、IaaS、または PaaS アカウント アプリにアクセスすることがはるかに困難になり、ランサムウェア、データ盗難、その他の起こり得る結果のリスクが軽減されます。もう 1 つのオプションには、可能であれば、次のような代替認証方法に切り替えることが含まれます。 パスワードなしの認証.

2. クラウドプロバイダー (CSP) を信頼しすぎる

多くの IT リーダーは、クラウドへの投資は事実上、信頼できるサードパーティにすべてをアウトソーシングすることを意味すると信じています。それは部分的にしか真実ではありません。実際には、 責任分担モデル クラウドのセキュリティを確保するため、CSP と顧客の間で分割されます。注意すべき点は、クラウド サービスの種類 (SaaS、IaaS、または PaaS) と CSP によって異なります。ほとんどの責任がプロバイダーにある場合でも (SaaS など)、追加のサードパーティ制御に投資することが有益になる場合があります。

3. バックアップに失敗する

上記のとおり、クラウド プロバイダー (ファイル共有/ストレージ サービスなど) が味方してくれるとは決して考えないでください。最悪のシナリオ、つまりシステム障害やサイバー攻撃に備えて計画を立てることは常に有益です。組織に影響を与えるのは、失われたデータだけではなく、インシデントに伴うダウンタイムや生産性への影響も考えられます。

4. 定期的にパッチを適用しない

パッチを適用しないと、クラウド システムが脆弱性の悪用にさらされることになります。その結果、マルウェア感染やデータ侵害などが発生する可能性があります。パッチ管理はセキュリティの中核となるベスト プラクティスであり、オンプレミスと同様にクラウドでも重要です。

5. クラウドの構成ミス

CSP は革新的な集団です。しかし、顧客のフィードバックに応えてリリースされる膨大な量の新機能により、多くの SMB にとって信じられないほど複雑なクラウド環境が構築される可能性があります。これにより、どの構成が最も安全であるかを知ることが非常に困難になります。よくある間違いとしては、 クラウドストレージの構成 そのため、サードパーティはアクセスでき、開いているポートをブロックできません。

6. クラウドトラフィックを監視していない

よく言われることの 1 つは、今日では、クラウド (IaaS/PaaS) 環境が侵害されるのは「場合」ではなく「いつ」であるかということです。そのため、早期に兆候を発見し、組織に影響を与える前に攻撃を阻止するには、迅速な検出と対応が重要になります。このため、継続的な監視が必須となります。

7. 企業の至宝の暗号化に失敗

100% 侵害を防止できる環境はありません。では、悪意のある者が最も機密性の高い内部データや、厳しく規制されている従業員や顧客の個人情報にアクセスできたらどうなるでしょうか?保存中および転送中に暗号化することで、たとえ取得したとしても使用できないようにすることができます。

クラウドセキュリティを適切に実現する

これらのクラウド セキュリティ リスクに対処するための最初のステップは、自分の責任がどこにあるのか、どの領域が CSP によって処理されるのかを理解することです。次に、CSP のクラウド ネイティブ セキュリティ制御を信頼するか、追加のサードパーティ製品でセキュリティ制御を強化したいかを判断する必要があります。次のことを考慮してください。

• 投資します サードパーティのセキュリティ ソリューション 世界有数のクラウド プロバイダーが提供するクラウド サービスに組み込まれたセキュリティ機能に加えて、クラウド セキュリティと電子メール、ストレージ、コラボレーション アプリケーションの保護を強化します。
• 拡張または管理された検出および対応 (XDR/MDR) ツールを追加して、迅速なインシデント対応と違反の封じ込め/修復を推進します。
• 強力な資産管理に基づいて構築された継続的なリスクベースのパッチ適用プログラムを開発および展開します (つまり、どのようなクラウド資産があるかを把握し、それらが常に最新であることを確認します)。
• 保管中 (データベース レベル) および転送中のデータを暗号化して、たとえ悪者がデータを入手した場合でもデータが確実に保護されるようにします。これには、効果的かつ継続的なデータの発見と分類も必要になります。
• 明確なアクセス制御ポリシーを定義します。強力なパスワード、MFA、最小権限の原則、特定の IP に対する IP ベースの制限/許可リストの義務付け
• 導入を検討してください。 ゼロトラストアプローチこれには、ネットワーク セグメンテーションやその他の制御とともに、上記の要素 (MFA、XDR、暗号化) の多くが組み込まれます。

上記の対策の多くは、オンプレミスでの展開に期待されるベスト プラクティスと同じです。そして、詳細は異なりますが、高レベルではそれらはそうです。最も重要なことは、クラウドのセキュリティはプロバイダーだけの責任ではないことを忘れないでください。今すぐコントロールを確立して、サイバー リスクをより適切に管理しましょう。