企業を保護するためにクラウド データ暗号化に注意を払う
公開: 2023-08-03クラウドベースのセキュリティの脆弱性とリスクが急増しているにもかかわらず、企業がアプリやデータをクラウドに移行し続ける中、圧倒的な量のクラウド データが保護されていないままになっています。 調査で報告されているように、現在、クラウドに保存されている機密データのうち暗号化されているのは 45% のみです。 しかし、回答者の 39% は過去 1 年間にクラウドのセキュリティ侵害に遭遇しました。
クラウドに送信する前にデータをカプセル化し、再配置するクラウド データ暗号化は非常に重要です。 データの紛失、盗難、または不注意による共有に関係なく、許可されたユーザーのみがアクセスできる暗号化キーがなければ、その内容は実質的に無関係であることが保証されます。
クラウドデータ暗号化の意味を理解する
クラウド暗号化は、平文データを理解できない暗号文に暗号化し、クラウド環境間またはクラウド環境内でデータが移動する際の安全性を確保するデータ セキュリティ メカニズムです。 データは、クラウドに移行する前、または 2 つのクラウド間を移動するときに暗号化されます。
暗号化は、不幸な事態が発生した場合に、クラウド上に保存されている機密データへの不正アクセスを防ぐための簡単かつ効率的な方法です。 たとえデータが盗まれたとしても、これらの犯罪者は暗号化されたファイル内の情報を解読することができません。
重要なのは、クラウド データの暗号化はデータ侵害を防ぐことはできず、企業にとってデータ侵害の危険性を大幅に軽減するだけであるということです。
ただし、暗号化により必要な帯域幅が増加するため、クラウド ストレージ プロバイダーの費用が増加します。 これは、データをクラウド (最終的には顧客) に転送する前に暗号化を実装する必要があるためです。 その結果、多くのベンダーはクラウド暗号化サービスを制限しており、一部の顧客はクラウドにアップロードする前にデータをローカルで保護しています。
暗号化は、組織のサイバーセキュリティ戦略の最も強力な要素の 1 つとみなされています。 データが悪用されないように保護するだけでなく、次の追加の重要なセキュリティ上の懸念にも対処します。
- 法定機密保持および安全基準の遵守
- パブリック クラウドの他のテナントからのデータへの不正アクセスに対する保護を強化
- 場合によっては、組織が侵害やその他のセキュリティ インシデントを開示する必要がなくなるように保護します。
なぜクラウド データ暗号化が緊急に必要なのか?
データとワークロードが急速にクラウドに移行するにつれて、機密データの制御と保護はますます困難になっています。 2020 年以降、86% の企業がクラウドへの取り組みの範囲と規模を拡大しました。 ただし、暗号化機能はまだ不十分であるため、Forrester は最近、クラウド データを保護することの重要性を強調しました。
1. より厳格なコンプライアンスおよび監査要件
ほとんどの企業は、PCI-DSS、GDPR、CCPA、GLBA、HIPAA などの厳しいプライバシー規制に準拠する必要があります。これまで、これらの要件は、オンプレミスのエアギャップ システムにデータを保存することで満たされていましたが、これは現実的ではありませんでした。クラウド環境。
2. ハイブリッドとマルチクラウドが可視性を妨げている
マルチクラウド展開とは、情報が AWS、Azure、GCP、Salesforce、SAP などの複数のサイトにまたがって格納されることを意味します。これにより、データの完全な可視性が欠如し、データ移行の処理と監視に多大な管理支援が必要になります。
3. レガシーアプリからのクラウド移行によりキー管理が複雑化
いくつかの組織は、最近までレガシー、オンプレミス、または商用既製 (COTS) ソフトウェアに依存していました。 クラウド移行に関しては、修正や再構築を行わずにアプリケーションを移行する ISV のみに依存しています。 COTS アプリには BYOK (Bring Your Own Key) の概念がありません。これは、クライアントが暗号化の所有権を引き継ぎたい場合に問題となります。
クラウドベースのデータの暗号化キーをすべて自社で管理していると自信を持っている企業はわずか 14% です。 世界的には、調査対象者のほぼ 3 分の 2 (62%) が 5 つ以上の重要な管理システムを導入しており、複雑さが増しています。
このため、クラウド データ暗号化に対する戦略的なアプローチと一元化されたソリューションが必要です。
4. クラウド データへのアクセスは制御されていないことが多い
残念ながら、ID およびアクセス管理 (IAM) は、データ侵入の防止において重要な役割を果たしているにもかかわらず、常にクラウドで実行されるわけではありません。 暗号化がなければ、データが悪者の手に簡単に渡ってしまう可能性があります。 驚くべきことに、ゼロトラスト クラウド インフラストラクチャのアクセス制御を導入している組織は、世界中で 41% のみです。 クラウド ネットワーク内にそのような制御を導入している組織はさらに少ない (38%)。
5. クラウド データ暗号化ソリューションがないため、クラウドの導入率が低くなる
ほとんどの企業には、機密情報を非機密データから分離するための信頼できる方法がありません。 暗号化フレームワークの経験が浅いため、クラウドにアップロードする前に構造化データと非構造化データの両方を暗号化する必要があると考えています。 これにより、クラウドの導入が全体的に減少します。
6. 統合がよりシンプルかつ安全になる
アプリケーション プログラミング インターフェイスまたは API は、オンライン システムのさまざまな側面を管理するためにクラウド環境で作業する組織によって頻繁に使用されます。 内部か外部かに関係なく、セキュリティ プロトコルが不適切な API は、特に情報が転送される場合にリスクをもたらします。 クラウドの暗号化サービスは、安全でない API によって生じるリスクの軽減に役立ち、自信を持って統合環境を構築できるようになります。
(ホワイトペーパーをダウンロード:クラウド データ管理戦略を策定する 5 つのステップ)
企業には 2 種類のクラウド データ暗号化が必要
すべてのクラウド データ暗号化ツールとプロトコルは、対称または非対称の 2 つの大きなグループに分類できます。 最初の方法では、平文の暗号化と復号化の両方に 1 つのキーのみが使用されます。 簡単な例として、「fog」という単語は、各文字をアルファベット順に 1 つの位置に進めて「gmh」までエンコードできます。
安全であるためには十分に複雑ですが、高速であるためには適切な基本です。 キーを推測するには、数え切れないほどの試行が必要です。 それにもかかわらず、この単一キー方式は侵害される可能性が高くなります。
非対称データ暗号化では、暗号化と復号化の両方が、秘密鍵と公開鍵のリンクされたペアを使用して行われます。 これは、コード化されたキーを使用したロックに似ています。コードを学習しなくても (公開キーを介して) セキュリティを保護できますが、コード (つまり秘密キー) を理解した人だけがロックを解除できます。
現在、侵入の影響を受けにくいため、トランスポート層セキュリティ (TLS) などの非対称方式が使用されています。
対称暗号化と比較した場合、非対称暗号化の最も重大な欠点は、一般に速度が遅いことです。 企業はクラウド データ セキュリティに関して、この 2 つのどちらかを賢明に選択する必要があります。 クラウド上のビデオ会議など、高速である必要があるが機密情報を伝達しないワークロードは、対称クラウド データ暗号化で適切に機能します。
一方、ビジネス インテリジェンス アプリなど、時間制限のないコンテキストを持たない機密情報を含むデータフローは、非対称プロトコルの方が適しています。
データを暗号化せず検査もせずに放置するリスクは何ですか?
2018 年の Equifax データ侵害では、1 億 4,800 万人を超える個人情報 (PII) が侵害されました。 適切な暗号化と監視のプロセスがあれば、このようなことが起こる可能性は減少したでしょう。
サイト証明書の有効期限が切れたため、10 か月間トラフィックがチェックされずに通過することができ、攻撃者が検出されることなく顧客情報を抜き出すことができました。 データがアップロード前に暗号化されていた場合、ハッカーは判読できない暗号文のみを暴露したでしょう。
クラウド データの暗号化は非常に重要ですが、調査を行わないと盲点が生じる可能性があります。 調査によると、現在、攻撃の 80% 以上が暗号化されたチャネル経由で発生しています。 危険信号は、検査技術を通じてネットワーク トラフィックを復号化、精査し、可視化することで特定できます。
進行中のクラウドへの移行には暗号化への細心の注意が必要
企業はクラウドへの投資を強化していますが、10 社中 7 社近く (68%) が依然として自社のクラウド事業は未完成であると考えています。 アプリをオンプレミス サーバーからクラウド サービスに移行するという、簡単に実現できる成果を選択したため、現在はより洗練されたビジネス クリティカルなインフラストラクチャを移行していますが、それがデータ セキュリティにどの程度影響するかをまだ理解していません。 。
いくつかの暗号化のベスト プラクティスは、企業が今日のセキュリティ ニーズを理解するのに役立ちます。
- 暗号化と復号化に使用するデータと一緒に暗号化キーを保持しないようにします。 Bring Your Own KMS (BYOKMS) は外部キー管理 (EKM) とも呼ばれ、最高レベルのクラウド暗号化セキュリティを提供します。
- 暗号化キーを保存するソフトウェア ソリューションは、さまざまなインフラストラクチャ レベルで破損したり、誤って公開されたりする可能性があります。 キーを保存するには、ハードウェア セキュリティ モジュール (HSM) などのハードウェア主導の信頼できる実装設定をセットアップします。
- ほとんどの組織がマルチクラウド戦略に従っているため、クラウド展開ごとに個別のポリシー、監査プロセス、個別のセキュリティ対策を講じているため、リスクとコストが増大します。 すべてのパブリック クラウドまたは SaaS 暗号化のキー管理を一元化することが推奨されるベスト プラクティスです。
- 機密データを扱うアプリの社内開発には、機密コンピューティングを使用します。 ここでは、アプリケーションはハードウェア主導の安全な実行設定で実行されます。 アプリはまだ完全にテストされていないため、このようなシナリオではクラウドをまったく利用しないでください。
まとめ
今日のデジタル化され、ますますハイパーコネクテッド化が進む世界において、クラウドデータ侵害は避けられない現実です。 ゼロデイ脅威のため、これらの攻撃を防ぐことが常に可能であるとは限りません。 ただし、クラウドに移行する前にデータを暗号化して保護できます。 企業は、特にクラウドネイティブ企業向けのセキュア アクセス サービス エッジ (SASE) などの新しいセキュリティ ソリューションを通じて、クラウド内のワークロード保護にも注意を払う必要があります。