CSA Japan Congress 2014 クラウド・SaaSに怯えない リスク管理・ポリシー設定・セキュリティ対 策で積極活用にシフトチェンジ 2014年11月21日 マクニカネットワークス株式会社 ビジネスディベロップメント室 渋谷勝則 Copyright © 2014 Macnica Networks Corp. All rights reserved. About Me (ちょっと自己紹介) 静岡県富士市出身1959年生まれ55歳 マクニカネットワークス(株)ビジネスディベロップメント室所属 新規製品調査・契約を担当 海外出張多数。先週もRe:Inventに参加 “disruptive”, “game changing”, “paradigm shift” のような言葉に弱い 趣味 自転車 通勤のクロスバイクと休日のロード Copyright © 2014 Macnica Networks Corp. All rights reserved. 2 次のITの10年間 ソーシャル、モバイル、アナリティクス(ビッグデータ)、クラウドが鍵を握る 破壊的イノベーション Copyright © 2014 Macnica Networks Corp. All rights reserved. クラウドファーストの時代 定義:新規システムの構築の際に、クラウドを最初に(優先して) 検討する 優れたサービスは既に多数存在する IaaSはもうあたりまえ ウェブサービス系だけでなく、一般の企業が社内システムとしても普通に利用 もう物理サーバを購入しない Salesforce, Office365, Box, NetSuite, Jive, kintone, Concur・・・・・・・・・などな ど SAPが83億ドルで経費精算SaaSのConcurを買収 Copyright © 2014 Macnica Networks Corp. All rights reserved. 4 Why software is eating the world マークアンドリーセンのウォールストリートジャーナルへの2011年 の寄稿 「ソフトウェアが世界を飲み込む」 Six decades into the computer revolution, four decades since the invention of the microprocessor, and two decades into the rise of the modern Internet, all of the technology required to transform industries through software finally works and can be widely delivered at global scale. クラウド・モバイルが世界を飲み込む そしてソフトウェアの実装はこれまでハードウェアだったものも仮想アプラ イアンス化を経てクラウドに バックアップ、DR、インテリジェンス、VPN、LB、VPN・・・・ タブレットがPCの出荷量を超える Copyright © 2014 Macnica Networks Corp. All rights reserved. 5 国内クラウド市場ユーザ動向 クラウドを利用する企業が年々増加している SaaSを利用中と回答した企業割合は、29.6%、パブリッククラウド を利用中と回答する企業割合は、25.1% パブリッククラウドの利用検討状況 Source:IDC Japanプレスリリース「国内クラウド市場 ユーザー動向調査を発表」(2014年7月24日) Copyright © 2014 Macnica Networks Corp. All rights reserved. 6 クラウドサービスの利用を阻害する要因 TechTargetジャパンの2013年5月の調査によれば、約6割が 「セキュリティ上の懸念」を挙げている 職場でのクラウドサービス利用阻害要因 Source: 2013年6月19日 TechTargetジャパン「クラウドセキュリティに関する読者調査結果リポート」 Copyright © 2014 Macnica Networks Corp. All rights reserved. 7 Amazon Re:invent2014 keynoteにて “Security and Compliance is blocker?” “Security and Compliance Becoming Reasons to Move to the Cloud” もはや阻害要因ではなく、セキュリティとコンプライアンスがクラウドへの移 行を促進している Copyright © 2014 Macnica Networks Corp. All rights reserved. 8 Amazon Re:invent2014 keynoteにて 2 クラウドは今や新しいデータセンター 本番のワークロードが移行している 本番 個別アプリケー ション 常用の企業ワークロード Dev/Test Copyright © 2014 Macnica Networks Corp. All rights reserved. スタートアップ 9 経済産業省クラウド利用ガイドライン序文 「クラウドサービス利用のための情報セキュリティマネジメントガ イドライン」2013年度版 クラウドコンピューティングは,「IT の所有」から「IT の利用」への 転換を促すと予想され,その利用によって,組織が情報システム の構築・運用作業から解放されることが期待される そのような期待があるにもかかわらず,現時点で我が国でのクラ ウドコンピューティング利用は限定的である。その原因の一つと して,情報セキュリティに対する懸念がある。 出典:経済産業省「クラウドサービス利用のための 情報セキュリティマネジメントガイドライン 2013年度版」より抜粋 ( http://www.meti.go.jp/press/2013/03/20140314004/20140314004-2.pdf ) Copyright © 2014 Macnica Networks Corp. All rights reserved. 10 セキュリティガバナンスフレームワーク コミットメントに基づく情報セキュリティガバナンスのフレームワーク 出典:経済産業省「クラウドサービス利用のための 情報セキュリティマネジメントガイドライン 2013年度版」より抜粋 ( http://www.meti.go.jp/press/2013/03/20140314004/20140314004-2.pdf ) Copyright © 2014 Macnica Networks Corp. All rights reserved. 11 クラウドのリスク クラウドのリスク • クラウドベンダーのセキュリティ • 規制に関するリスク • PRISMなどのような秘密裡の当局に よる監視リスク アウトバウンドのリスク インバウンドのリスク • ファイルやコードの共有、コラボレー ションサービスによる知的所有権の 喪失 • セキュリティ侵害されたユーザやデバ イス • ソースコードバックドア • 水飲み場攻撃 • 秘密情報、規制情報、機密情報の漏 えい 境界における課題 • 可視性の欠如 • 一貫性のないポリシーとポリ シーの施行 企業 Copyright © 2014 Macnica Networks Corp. All rights reserved. 12 シャドーIT 企業で利用されているクラウ ドサービストップ20 従業員が勤務中に利用しているコン スーマクラウドサービストップ20 1 Amazon Web Services 1 Facebook 2 Microsoft Office 365 2 Twitter 3 Salesforce 3 YouTube 4 Cisco WebEx 4 LinkedIn 5 Concur 5 Pinterest 6 ServiceNow 6 Gmail 7 Box 7 Instagram 8 LivePerson 8 Tumblr 9 Zendesk 9 Flickr 10 Yammer 10 Myspace 11 BMC Service Management 11 Dropbox 12 Workday 12 Yahoo Mail 13 OpenText BPM 13 Apple iCloud 14 OneDrive 14 Google Drive 15 GoToMeeting 15 Photobucket 16 NetSuite 16 Spotify 17 SuccessFactors 17 Shutterfly 18 SAS OnDemand 18 SlideShare 19 Oracle Taleo 19 SmugMug 20 Host Analytics 20 VK Copyright © 2014 Macnica Networks Corp. All rights reserved. Source: Skyhigh Networks 13 シャドーIT クラウドセキュリティベンダーのElasticaによる調査では、従業員が平均 で2037のファイルをクラウドに保存しており、その中で平均185個が 個人情報など機密データを含んだシャドーデータになっている クラウドサービスのブロッキングは簡単ではない 例えば Dropbox の場合 www.dropbox.com 以外に Dropboxへのアクセスに は他に6つの方法がある。ツイッターも同様 広報部門ではソーシャルメディアへのアクセスが必要 無害なサービスをコントロールすることと、IT部門が存在を知らない有害な サービスが見逃されているギャップがある クラウドセキュリティベンダーのSkyhigh Networksの調査によれば、企 業では831個のクラウドサービスが使用されており、企業からクラウド へ向かうデータの80%はそのうちの11個のサービス ロングテール。残りの20%のデータはその存在もしらないサービスかもしれな い Copyright © 2014 Macnica Networks Corp. All rights reserved. 14 CASB (Cloud Access Security Broker) 調査会社のガートナーが2014年情報セキュリティテクノロジーTop10の最初に 記載 2016年までに大手企業の25%はCASBプラットフォームを介してクラウドサービスへのセ キュアなアクセスを行う Adallom Bitglass CipherCloud Elastica FireLayers Netskope Perspecsys Skyfence Skyhigh Networks など多くのベンダーが現れてきているエリア リスクスコアリング、モニタリング、暗号化、トーカナイズ、クラウドDLPなど実装 は様々 Copyright © 2014 Macnica Networks Corp. All rights reserved. 15 CASBが対処する課題 企業内で利用されているクラウドサービスの洗い出し 各クラウドサービスに対するリスクアセスメント クラウド利用状況の監査とロギング コンプライアンスの実証 マルウェアの検出 暗号化・トーカナイゼーション ユーザ、デバイス、ロケーションによるアクセスコントロール アラート レポート Copyright © 2014 Macnica Networks Corp. All rights reserved. 16 CASBの例(Skyhigh Networks) Copyright © 2014 Macnica Networks Corp. All rights reserved. 17 実装 SkyhighもSaaS Copyright © 2014 Macnica Networks Corp. All rights reserved. 18 トーカナイゼーション センシティブな情報はトーカナイズ Copyright © 2014 Macnica Networks Corp. All rights reserved. 19 標準化の実現を支援 Cloud Storage で フィルタ 低リスクの他の サービスが認めら れていないのに高 リスクサービスが 利用されている 多くの重複する ファイル共有 サービス Copyright © 2014 Macnica Networks Corp. All rights reserved. 高リスクサービスの特定と対処 High Risk Services で フィルタ ポリシーとの 矛盾 許可されている 高リスクサービス Copyright © 2014 Macnica Networks Corp. All rights reserved. ご清聴ありがとうございました Copyright © 2014 Macnica Networks Corp. All rights reserved.
© Copyright 2024 ExpyDoc