クラウド データ保護とは クラウド データ保護は、クラウド環境に存在するデータやクラウド環境を出入りするデータを保護するために設計された一連のデータ ストレージとセキュリティ対策です。保存されたデータは「保存データ(data at rest)」、移動中のデータは「転送中データ(data in motion)」と呼ばれます。データ保護とは単純に「保護」することではなく、データをコピーすることを意味し、機密データを紛失したり破損したりした場合でも、無傷なコピーの存在を保証するものです。これに対し、データ セキュリティは不正なアクセスや分散からデータを保護することになります。

クラウド データ保護がなぜ重要なのか

オンプレミスのアプリケーションとインフラストラクチャーからクラウドへと移行する動きによって、ITの役割はローカルのサイバーセキュリティを守ることから、世界規模でのビジネスを促進することへと一変しました。強力なITにより、安全なハイブリッド クラウドとマルチクラウドの採用とデータ配布が可能になったうえ、データ流出を防ぎ、厳格化が進む業界ならびに政府の規制要件への準拠を維持できるようになったのです。

これを達成するために、ITリーダーはインターネット、データ センター、そしてSoftware as a Service (SaaS)アプリケーションに対して統一された機能を提供するクラウド データ保護プラットフォームに注目しています。このようなプラットフォームにより、パブリック クラウド アプリケーションの構成がベスト プラクティスの基準に準拠するようになり、データ流出の防止とコンプライアンスの維持が可能となります。

加えて、責任共有モデルでは企業とクラウド プロバイダーの双方があらゆる手段を講じながらデータを保護する責任を負うため、クラウド利用者とプロバイダーの間で共有されたイニシアチブが行われます。

クラウドでデータを保護する方法

クラウド データは通常、バックアップ、クラウド ストレージ、ディザスター リカバリーなどの方法によって保護されます。これらはいずれもマルウェアによる侵害、情報漏洩、そしてクラウド データの脆弱性を悪用するその他のインシデントが発生した場合に、データが組織の所有範囲内に留まるようにするためのものです。

認証、アクセス制御、および安全な削除もデータを保護するための一般的な方法ですが、それらはデータ保護というよりもデータ セキュリティに関係しています。企業組織はこれらの方法を使って、悪意があるもしくは注意を怠ったユーザーまたは従業員をデータから遠ざけ、データをまとめて保護します。

データ侵害の防止に関しては、標準的なセキュリティ ポリシーにも一定の役割があります。クラウド ワークロードは特に脆弱であるため、組織とそのクラウド サービス プロバイダーがパートナーシップによる影響を把握することが、全体的なデータ リスクを最小限に抑える上で重要です。

クラウド データ保護が抱える課題

クラウドを活用することでビジネス上の多くのメリットを得られますが、クラウド データを安全に保つことは簡単ではありません。表面的な部分だけでも、クラウド データ保護には以下のような多くの課題があります。

• 暗号化：2022年中旬に発表されたGoogle透明性レポート(Google Transparency Report)のデータによると、Googleが確認しているトラフィックの95%は暗号化されています。つまり、データ保護ソリューションが暗号化されたトラフィック内のデータを分類または制御できない場合、データの漏洩や悪用につながるセッションの大半を見逃してしまうことになります。これは特に、データのやりとりが安全で暗号化された接続に依存するSaaSアプリケーションに当てはまります。
• 保護体制の隙：クラウド アクセス セキュリティ ブローカー(CASB)、セキュアWebゲートウェイ(SWG)、クラウド セキュリティ ポスチャー管理(CSPM)などのツールは、それぞれ組織全体のデータ保護体制の一部しか確認できません。しかし、製品と関連部門の間には隔たりがあり、複雑性や部門の役割における冗長性、そしてアプリケーションにおけるデータ漏洩に対する可視性と制御の欠如につながる可能性があります。
• 限定的な可視性と制御：大半のデータ保護オプションでは、クラウド上でのデータ利用に関する意思決定に役立つ情報の量は限られています。アクセスを試みるユーザー、その所在地、およびアプリケーションの状態などを含む完全なコンテキストがなければ、効果的で安全なデータ利用を支えるのに必要なきめ細かい制御を提供できません。
• ユーザー エクスペリエンスの低下：従来型のインフラストラクチャーに含まれるセキュリティ デバイスにインターネット トラフィックを経由させると、アプリケーションのパフォーマンスが低下してユーザーの不満につながります。しかし、パフォーマンスを向上させるために十分なアプライアンスを追加するのは高いコストが発生するため、実用性が大変低いのが課題といえます。さらに、従来型のアーキテクチャーは緊急時のリモート アクセス急増に対処したり、場所を問わず作業する従業員の増加に対応したりできるように構築されていません。

組織がクラウド環境内のデータを保護する方法

理想的なクラウド データ保護ソリューションは、パフォーマンスとスケーラビリティーのためにゼロから構築する必要があります。さらに、グローバルに分散されているためにユーザーが常に近くからアプリケーションへアクセスでき、強力なパートナー ネットワークによって最適なパフォーマンスと信頼性を確保できるプラットフォームである必要があります。

包括的で対象範囲の広いクラウド データ保護の体制を確立するには、ゼロトラスト フレームワークの構築に役立つ製品が重要となります。ゼロトラストは、接続の前にコンテキスト(ユーザー、デバイス、アプリケーション、コンテンツなど)を使用して信頼を確立することで、組織が直面する特定のクラウド セキュリティ課題に対処する上で役立ちます。

組織がクラウド サービスを活用して柔軟性を高めれば、ゼロトラストでリソースへのアクセスを積極的に保護し、データを狙うサイバー脅威に対して優位に立つことができます。

クラウド データ保護のメリット

堅実なデータ保護プログラム

• データとアプリケーションのセキュリティを向上：クラウド データ保護はクラウド アプリケーション アーキテクチャーの可視性を向上させることで、リモート ユーザーやハイブリッド ユーザーに対しても、クラウドのあらゆる側面でセキュリティを強化することができます。
• アクセス ガバナンスを改善：ベスト プラクティスに従ってクラウド データ保護プログラムを実装する場合、ユーザーは確立されたコンテキスト ガイドラインを満たしている場合にのみデータにアクセスできます。そのため、データはそれを取り巻くアクセス ポリシーによる管理を受けます。
• コンプライアンスの順守と維持をサポート：生成されるデータの量が世界中で増加するなか、GDPR、HIPAA、CCPAなどの規制によって、データの使用方法に関する厳格なガイドラインが維持されています。クラウドデータ保護は、このようなガイドラインを順守するのに役立ちます。

クラウド データ保護のベスト プラクティス

多くの組織は、保護プログラムの構築に関する事前準備を怠りがちです。その結果、実際に保護プログラム構築の準備段階が完了した後、複雑さが増してしまう状況に陥ってしまいます。ここで紹介するベスト プラクティスに従って、このような事態を回避する必要があります。

機密データのインベントリーを作成する

銀行の管理責任者の場合、金庫に保管する金額や輸送用のトラックに積む金額はあらかじめ把握する必要があります。組織が作成した機密データを保護する場合も、これと同じ原則が当てはまります。どのデータを保護したいのか、そのデータはどこにあるのか、そしてどのように保護するのが最善なのかを理解することは、プログラムを構築する際に役立ちます。

暗号化と認証を組み合わせる

クラウド リソースとデータの保護に認証は効果的な方法ですが、ハッカーは簡単にシステムに侵入し、ユーザーになりすましてデータにアクセスできます。そこで、暗号化を組み合わせることで、ランダムに生成されたパスコード(暗号化キー)を使用してデータをスクランブルし、セキュリティの強化を図ることが重要です。

信頼できるプロバイダーを選ぶ

データ保護を提供するベンダーは数多く存在し、その多くは独自の方法でクラウド データを安全に保つことができると宣伝しています。実際は、クラウドのためにクラウドでデータ保護を構築し、ゼロトラスト フレームワークを活用してクラウド トランザクション間のデータを保護しながら、クラウド コンプライアンス組織と連携して規制ガイドラインに準拠できるように対応するベンダーは、Zscalerだけなのです。

Zscalerとクラウド データ保護

クラウドネイティブなセキュリティとエクスペリエンス プラットフォームであるZscaler Zero Trust Exchange™を介して提供されるZscaler Data Protectionは、以下を通じて効果的な保護プログラムの基礎構築をサポートします。

• インターネットへのデータ流出を防止：ユーザーがパブリック インターネットにアクセスすると、データは危険にさらされる可能性があります。Zero Trust Exchangeは、従来型のアプライアンスを用いずに、すべてのインターネットおよびSSLトラフィックを検査できるスケーラビリティーを備えています。単一のDLPポリシーは転送中データを保護し、場所を問わず高速で一貫性のあるセキュリティを提供します。
• CASBでSaaSデータを保護：Microsoft OneDriveのようなアプリでは、わずか2回のクリックで未承認のユーザーにデータを共有できるため、SaaSアプリの保存データを保護することは、セキュリティにおいて非常に重要です。Zscalerは、ポイント製品が持つコストや複雑性の問題を伴うことなく、SaaSアプリを保護する統合されたマルチモードCASBを提供します。
• パブリック クラウド データを保護：多くのクラウド侵害は、リスクの高い設定ミスやアクセス許可によって引き起こされます。Zscaler CSPMとCIEMは、致命的な可能性がある設定ミス、コンプライアンス違反、アクセス許可、およびエンタイトルメントを検出して修復するとともに継続的なスキャンによってリスクに優先度を付けます。
• 管理されていないデバイスを保護：BYODやその他の管理されていないデバイスは、データに対する重大な脅威となりますが、IT部門ではこういったエンドポイントを制御できない場合が少なくありません。しかし、これらすべてをブロックしてしまうと企業の生産性が低下します。Zscaler Cloud Browser Isolationは、VDIやリバース プロキシーのパフォーマンス上の課題を伴うことなく、管理されていないデバイス アクセスを安全に有効にします。