より多くの企業が、ハイブリッドおよびリモート モデルで作業する分散チームをサポートするためのデジタル トランスフォーメーションの取り組みの一環として、マルチクラウド アプローチを採用しています。 ハイブリッド ワーク環境が定着するのと同様に、マルチクラウド アプローチが定着しています。 Gartner は、グローバル クラウドの収益が 474で$ 2022億、と 企業の90% すでにマルチクラウド戦略に取り組んでいます。
マルチクラウド戦略を正しく活用すれば、多くのプロセスをより効率的にすることができます。 また、シングル クラウド戦略よりも、停止に対する回復力が高く、ベンダーの柔軟性が高くなります。 その他の利点は次のとおりです。
- XNUMX つのクラウド プロバイダーでベンダー ロックインを回避します。 グローバルなフットプリントと特殊なデータを持つ組織は、ビジネスへの影響が最も少ないデータ センターの場所を選択できます。 たとえば、Microsoft Azure は現在、データ センターの場所の観点から中東をリードしています。
- Google Cloud の独自のデータベース ソリューションや、オンプレミスとクラウドのリソースを Microsoft Azure ではるかにシームレスに管理する機能など、各クラウド ベンダーが提供する特徴的な機能を利用する機能。
- 特定のベンダーによる特定のサービスの低コスト化と、サービスの中断に対する保護により、コストとビジネスの回復力が向上します。 どちらもメリットを活用するためにサービスを設計する必要がありますが、いったん確立すると、組織は XNUMX ~ XNUMX 年で投資を回収できるため、長期的なコスト削減につながります。
ただし、これらの利点には代償が伴います。 さまざまな環境が複数のプロバイダーを通じてホストされている場合、データとクラウド インフラストラクチャが安全であり、義務と制御に適合していることを確認するのは困難な場合があります。 これらの環境内のデータ、構成、およびセキュリティに関する統一されたストーリーを語ることは、ほぼ不可能です。
を採用している CISO マルチクラウド データ アプローチ ベンダーとそのさまざまなクラウド運用モデルによってもたらされるリスクを管理すること、およびマルチクラウドの世界での運用コストの増加に直面してセキュリティ制御と戦略の価値を実証することです。
クラウド全体でリスクを管理する
サイバー攻撃の影響と頻度は、マルチクラウド戦略への関心の高まりと並行して増大しています。 ランサムウェア攻撃、データ侵害、および大規模な IT 障害が、 アリアンツリスクバロメーター 今年は、調査の歴史の中で XNUMX 回目であり、経営幹部は、サプライ チェーンの混乱、自然災害、およびパンデミックよりも懸念事項としてランク付けされています。 企業が懸念を示すのは正しい: 世界中の組織が経験したこと 毎週のサイバー攻撃が 50% 増加 2021年と比較して2020年。
ビジネス リーダーはサイバー攻撃の重要性に追いついていますが、ほとんどのリーダーはベンダー パートナーがもたらすリスクについて十分な情報を得ていません。 PwC の「2022 年グローバル デジタル トラスト インサイト調査ビジネス リーダーの 57% が、クラウド サービスへの攻撃が急増すると予想しているが、クラウドのリスクを理解していると答えたのは 37% にすぎなかった。 セキュリティのアプローチと運用モデルはクラウド プロバイダーによって異なります。また、ID およびアクセス管理 (IAM) や仮想化サーバーなど、さまざまなアプローチを使用する一般的なクラウド サービスを追加するにつれて、リスクに対する保護は共同責任であり、より複雑になります。
たとえば、さまざまなクラウド ベンダーが、役割ベースのアクセスに対して独自のアプローチをとっています。 アマゾン ウェブ サービスは、IAM ポリシーを仮想サーバーに直接アタッチすることで ID を処理します。これにより、サーバーはアクションを実行できるようになります。 対照的に、Google Cloud のサービスは、サービス アカウント (ユーザー) を作成し、それらのアカウントをサーバーに接続して別のリソースとやり取りできるようにすることに重点を置いています。 これらの小さな違いがエンタープライズ規模で積み重なって、セキュリティの複雑さが増し、両方のクラウドで最小限の権限とその他のセキュリティ要件を確保する必要があります。
クラウド サービスは競合他社と統合するように設計されていないため、各クラウド プロバイダーのセキュリティ ツールの使用方法を学ぶことは始まりにすぎません。 IT チームは、クラウド サービスの相互運用性を高めるために、セキュリティ情報イベント管理 (SIEM) ツールと他のサードパーティ ツールを使用して、セキュリティ監視を一元化する必要があります。 これらの追加されたシステムには、各クラウド プラットフォームの専門知識を確保するための追加のトレーニングとリソース、さらには追加の IT スタッフが必要です。 および これらのプラットフォームがどのように連携するか。
サービス間のこれらの組み込みの違いに加えて、ほとんどのクラウド ベンダーは、独自に特別に調整されたセキュリティ製品を優先しています。 これにより、クラウド セキュリティを悩ませる多くの複雑な問題が発生します。 たとえば、クラウド Web アプリケーション ファイアウォール (WAF) を使用してネットワークを保護できますが、それは特定のクラウド サービス プロバイダーでのみ機能し、複数のクラウド サービスに拡張することはできません。 これらの機能を異なるプロバイダーに複製するには、これらの主要なセキュリティ ツールをサポートおよび管理するチームを複製するか、クラウドに依存しないサービスを購入する必要があります。これにより、さらに別のベンダーがミックスに追加されます。
この追加のリスクとコストは、通常、マルチクラウド モデルの展開の後半まで発見されないため、タイムラインが遅れ、コストが増加し、監査結果がトリガーされる可能性があります。 これらのリスクの計画と軽減を怠ると、企業は財務上の損失、規制措置、訴訟、および評判の低下にさらされる可能性があります。
リスクの定量化による価値の伝達
Gartner は、2023 年までに、 CISO の有効性の 30% 価値を示す能力にかかっています。 マルチクラウド データ戦略が標準になり、その戦略内のセキュリティ制御のコストが増加するにつれて、リスクの定量化は、リーダーがマルチクラウドのリスク体制を明確な金銭的価値で表現することによって、一貫して価値を伝えるのに役立ちます。
PwC によると、データ信頼の成果が最も大きく改善したと報告した組織には、XNUMX つの共通点がありました。サイバーセキュリティ支出の増加を予測したこと、およびビジネス インテリジェンスとデータ分析をリスクの定量化を含む運用モデルに組み込んだことです。
マルチクラウド戦略の財務リスクを評価するために、CISO は、認識されているリスクと比較検討した各プラットフォームのコストを考慮する必要があります。 これらの考慮事項には、検討しているすべてのクラウド プロバイダーのデータ管理とサイバーセキュリティの実践、および共同監視に使用するクラウドに依存しないツールとプラットフォームを含める必要があります。
非常に多くの要因が関係しているため、「低、中、高」や「赤、黄、緑」などの不正確で直感的な測定スケールに頼る余裕はありません。 リスク データを財務用語で表現することは、リスクの優先順位の変化を伝え、CISO と取締役会との連携を改善し、より多くの情報に基づいたリスク管理の意思決定を促進するための共通言語を提供するため、強力なツールです。
以下に例を示します。ある CISO は、マルチクラウド アーキテクチャのさまざまなリスクに関連する財務上の価値を調べています。 サイバーセキュリティ インシデントを軽減するための戦術を比較することで、彼らは、管理者権限をより適切に制御することで、サイバーセキュリティ トレーニング プログラムを実施するよりもはるかにイベントの経済的コストを削減できることを発見しました。 CISO はマルチクラウド アーキテクチャ内のサイバー リスクの技術的な詳細を理解していますが、残りの経営幹部は、各リスクと緩和戦術に関連する金銭的価値が明確であることから恩恵を受けます。 CISO が同僚や取締役会に主張できるようにすることで、リスクの定量化により、マルチクラウド戦略の多くの可動部分の透明性が向上します。
Gartner によると、85 年までに組織の 2025% 以上がクラウド ファーストとして機能し、クラウドネイティブ テクノロジを使用せずにデジタル戦略を完全に実現することはできなくなります。 Gartner のリーダーは次のように述べています。 「クラウド戦略なくしてビジネス戦略はありません。」
ビジネス リーダーは、データを保護し、マルチクラウドの優先事項を伝達するための戦略を追求し、組織全体で共通の価値観を共有することが不可欠です。
