The importance and ownership of cloud security education
With rising adoption of cloud deployments, users, IT managers and stakeholders will need to be better educated on cloud security standards and best practices.
In cloud computing, one of the bigger concerns among users and IT managers is security. It encompasses these fundamental aspects: authorization (who is allowed to access), authentication (what level of access does someone has), data integrity, and services availability.
クラウドの利用が増加する中、ユーザー、ITマネージャーと投資者はクラウドセキュリティの基準とベストプラクティスに関してもっと良く学ぶ必要があるだろう。
クラウドコンピューティングにおいて、ユーザーやITマネージャーの間で、不安が増大していることのひとつとしてセキュリティを挙げることができる。これには次のような基本的な特徴がある。つまり、認可(誰がアクセスを許可されているか)、認証(誰がどのレベルまでアクセス権を持つか)、データ保全性とサービスアベイラビリティである。
Furthermore, cloud security will refer to a set of controls, compliances, policies and technologies in regards to securing the data, applications, and infrastructure.
So let’s dig in for more.
From a supply and demand perspective, the providers (infrastructure, software or platform) are expected by their users to provide for security measures. For instance, enterprise-grade cloud applications frequently utilize server virtualization, which introduces an additional layer that must be configured, managed and secured in the appropriate way.
さて、さらに掘り下げて見ていくことにしよう。
需要と供給の見地から見て、ユーザーはプロバイダ(インフラ、ソフトウェアあるいはプラットフォームの提供者)がセキュリティーの方策を提供することを期待する。例えば、企業向けレベルのクラウドアプリケーションはしばしばサーバー仮想化を利用する。これには追加のレイヤーが導入されることになり、それを適切な方法で設定、管理、そして保護しなくてはならない。
Risk arises when data from one segment in a server escapes into another segment, which in return makes one’s data backup strategy and recoverability extremely important. Backups should be frequent and reliable. Virtualization software – widely known as the “hypervisor” – should be able to deal with this risk.
In short, securing infrastructure and protecting the user’s data and applications, are among the provider’s main duties. Meanwhile, making sure that the vendor has taken necessary security measures properly in order to protect the aforementioned vital components, is the client’s primary task in terms of security.
要するに、インフラ、ユーザーのデータやアプリケーションを保護することはプロバイダーの主要な義務の1つだ。一方、前述の重要な要素を保護するためにベンダーが適切に必要なセキュリティー対策を講じていることは、クライアントのセキュリティーに関する本来の役割であることを確認してほしい。
要するに、インフラの安全を確保し、ユーザーのデータとアプリケーションを守ることはプロバイダの主な義務の中に含まれる。一方、前述のきわめて重要な物を守るため、必要なセキュリティの方策をベンダーが適切に実施しているかどうかを確かめるのは、セキュリティに関するクライアントの主要なタスクである。
Addressing user’s concerns and expectations
Institutions and companies of various types and sizes will usually have deep concerns about loss of control in cloud computing. Yet, as security concerns are among the major factors limiting greater adoption, this simply encourages users to better scrutinize terms and conditions, liability provisions, process transparency, indemnification, and exit strategies as very crucial aspects of cloud service.
Because systems and human resources are under third-party providers, and not managed by the customers directly, users tend to rely on contracts for better security enforcement.
様々な種類、規模の団体や企業はクラウド・コンピューティングの制御不能ということを深く懸念している。さらに、セキュリティーへの不安は主要な要因の中では一層大きく採り上げることに限りがあるため、このことがユーザーがクラウドサービスの非常に重要な点として、契約条件、責任の規定、プロセスの透明化、補償、撤退戦略を一層精査するのを促している。
システムや人的資源は第三者プロバイダーの下にあり、カスタマーによって直接管理されているわけではないため、ユーザーはセキュリティーのより良い実施のための契約を信頼する傾向がある。
様々な種類と規模の企業や組織は通常、クラウドコンピューティングをコントロールできなくなることに対して深い懸念を抱いている。それでも、セキュリティに関する懸念がより広い範囲でクラウドを採用することを阻む主要な要因となっているわけで、これは単純にユーザーにもっと良くクラウドサービスの非常に重要な要素、すなわち契約条件、責任条項、処理透明性について綿密に調べるように仕向けることになる。
なぜならシステムや人材はサードパーティープロバイダの下にあって、直接顧客によって管理されるわけではないため、ユーザーはより良いセキュリティーを実施する契約に頼る傾向があるからだ。
Meanwhile, for private clouds, these deployments offer the core cloud benefits with greater customization, control and restricted access. In this case, users expect tighter security requirements, whilst IT managers will usually find the need to better explore how to better integrate cloud services with applications stored on-premises.
Educating users – who is doing it?
The number of companies, institutions and organizations that are deploying cloud computing is growing rapidly. Thus, as respective providers enhance their features and services, there is the need to build confidence that next-generation platforms can provide a higher level of security assurance.
Three years ago, the Cloud Security Alliance (CSA) was formed to provide information and standards, conduct research on cloud computing best practices, and engage in educational activities about cloud security, with 31 chapters worldwide, 10 of which in Asia Pacific region. They introduced the first certification on cloud computing security, CSA’s Certificate of Cloud Security Knowledge (CCSK) and will be offering CCSK, PCI Cloud, and GRC stack training.
Regardless what the above organization has been trying to do thus far, most importantly, educating employees on the importance of security is the preliminary step for both vendor and customers need to take security seriously to ensure sustained awareness.
これまでこの機関が行なおうとしてきたことは別として、最も重要なのは、持続的なセキュリティーへの自覚を確かなものにするため、セキュリティーの重要性を従業員に教育することが本格的セキュリティー対策をとる必要のあるベンダー、カスタマー双方にとっての準備段階だ。
これまでにこの組織がやろうとしてきたことにかかわらず、最も重要なのは、セキュリティの重要性について従業員を教育することこそベンダーと顧客の両方がセキュリティについて真剣に受けとめ、継続してしっかりと認識しつづける点で必要な第一歩だということだ。
The next big thing
Best practices, policies and standards on cloud security are just emerging. Audits are important, and standards (such as ISO 27001 or SAS 70) are necessary to ensure compliance.
Another thing that users and IT managers should implement is improving IT risk management by classifying data based on its sensitivity and then ranking these from highly critical to the less critical. Assess carefully and comprehensively where data should reside, which protection methods will be needed moving forward, and how long data needs to remain in the secure location. Consider the business value against business risk.
クラウド・セキュリティーの最良実施例、方針や基準はやっと現われ始めたばかりだ。会計検査は重要で(ISO 27001やSAS 70などの)基準は順守を確実にするために必要だ。
他にユーザーや情報管理者が実施すべきことは、データの感度に基づいてデータを分類することによって情報リスク管理を向上させ、リスク分類でリスクが高い状態からリスクが低い状態へ下げることだ。どこにデータが存在するのか、前進するにはどのような保護対策が必要なのか、どのくらいデータを安全な場所に残す必要があるのか等を注意深く、総合的に評価しよう。事業リスクに対する事業価値を考えよう。
クラウドセキュリティに関するベストプラクティス、規定、そして基準はちょうど出現したばかりのことだ。監査が重要である。そして(ISO 27001あるいはSAS 70のような)規格はコンプライアンスを確実にするために必要だ。
ユーザーとITマネージャーが導入すべきもう1つのことは、データの機密性に応じて分類し、それらを重要度に応じてランク付けすることにより、ITに関するリスクマネジメントを改善することだ。データがどこに存在するか、どの保護手順がこれから必要とされるか、そして大きなデータについてはどのように安全な場所を確保できるか、について慎重に、かつ包括的に評価を下すこと。ビジネスバリューに対するリスクを考慮に入れよう。
For enterprises or companies that already have a Risk Management committee, internal or external auditors should incorporate cloud security risk assessment into their processes, and give the recommendation based on results across the entire organization.
Always prepare an exit strategy
Despite downtime due to outages, upgrades and maintenance, users will always rely heavily on cloud providers’ living up to their service level agreements (SLA). But having a Business Continuity Plan (BCP) and Disaster Recovery Procedure (DRP) will be an absolute necessity, particularly to protect your organization in the event that the provider fails to provide expected services as promised, goes out of business, or even merges with another company.