The Doppler Quarterly (日本語) 秋 2017 | Page 64

の問題は、真のセキュリティ要件を把握している企業がほとん
どいないということです。通常、企業または政府のデータの保
護に関する法律およびコンプライアンスの問題に対して組織
が持っている考えは、現実に基づいていません。
コンプライアンス達成が必要なあらゆる法律または規制を詳
細に確認し、それに基づいて必要なテクノロジー ( 暗号化のレ
ベルまたはデータのロケーション ) を検討する必要があります。
さらに、リスクの評価に対する既存のアプローチなど、データ
保護に関する既存の内部ポリシーを特定する必要があります。
すべてを明確に理解できるように、これらは文書化してリー
ダーに承認してもらうことを推奨します。
手順 2: ID ベースのセキュリティを検討する
クラウドコンピューティングのセキュリティに対する最適なアプ
ローチを取るには、人員、サーバー、データベース、データ、プ
ロセス、サービスなど、すべてのアセットを IDとして扱う必要が
あります。それによってこれらの ID は、リソースへのアクセスの
観点から、またはリソースそのものとして管理できます。クラウ
ドコンピューティングに対する ID ベースのセキュリティに向け
たアプリケーションは急速に増えています。最も優れた、また最
も便利なクラウドセキュリティシステムでは、粒度の高い ID を
管理して、いつ、どのように ID が相互作用するかを制御できま
す。
手順 3: 計画を立てる
多くの人がセキュリティを、導入または移行の大詰めになって
追加するものの 1 つだと考えています。しかし実際のところ、セ
キュリティ全般 ( 特にクラウド ) に対するアプローチでは、手順
1 でまとめた要件を使用してマスターのセキュリティ計画を立て
る必要があります。セキュリティはクラウドコンピューティング全
体に必要であることを忘れないでください。セキュリティは、計
画内のすべての手順に含まれます。
これは、ソリューションのパターンや、ソリューションの候補とし
て評価するテクノロジーなど、実際のソリューションにまで掘り
下げる必要があります。IT 業界の多くの人が、セキュリティテク
ノロジーに関して、好みのソリューションや既存のソリューショ
ンをひいきしてしまいます。要件を理解し、テクノロジーをテス
トするまでは、
1 つのテクノロジーに固執しないでください。
ステップ 4: 適切なセキュリティテクノロジー
を選択する
これは言うまでもないはずです。ただし、セキュリティテクノロ
ジーを実装する人のほとんどが、実装前に 1 度もテストを実施
しません。多くの人がクラウドプロバイダーの言葉を真に受け
てしまいますが、それは大きな間違いです。
POC テストは必須です。すべての疑問を解決してから導入に
移ることを推奨します。
62 | THE DOPPLER | 2017 年秋号