数日前、今年で4回目となる米国の「全米サイバーセキュリティ意識向上月間」において、セキュリティリスク情報ソリューションを提供するRapid7がクラウドについて、そしてクラウドのリスクを回避する方法について説明しました。
前回までのRapid7のトピックは、フィッシング、BYOD、パスワード保護でした。
今週のRapid7のテーマはクラウドで、従業員がクラウドサービスを利用する際のセキュリティリスクを回避することを目的としています。
「しかし、大半のセキュリティ・チームにとって、クラウドへのデータ漏洩を防ぐ唯一の方法は、内在するリスクについて従業員を適切に教育することです。
誰もあなたがセキュリティの専門家であることを期待してはいませんが、用心深く、会社のポリシーに精通し、疑問があれば常にセキュリティチームに連絡することが期待されています。クラウドアプリケーションは、一見****的でプロフェッショナルに見えるかもしれませんが、現時点ではあなたの会社がどの程度のリスクにさらされているか知る術がないことを忘れないでください。このリスクを最小限に抑えるための基本的なヒントをいくつか紹介します。
Ø IT/セキュリティ・チームとの連携:新しいクラウド・アプリケーションについて考え始めたら、ITチームやセキュリティ・チームとの連携を検討することが重要です。ITおよびセキュリティ担当者は、お客様が達成しようとしていることを明確に理解しているため、お客様が十分なメリットを享受し、多くの追加リスクを回避できることを確認することができます。
許可なく情報をオンラインに保存しない:クラウド・ソリューションを利用していると、パブリック・クラウドにデータを保存することが当たり前になっていることに気づきます。しかし、どのようなデータが保存されているのか考えたことはありますか?また、プロバイダーがそのデータをどのように保存し、保護しているのか考えたことはありますか?データを安全に保管するのはお客様の責任ですが、サードパーティプロバイダーはその責任を共有しているとは思っていないかもしれません。オンラインにデータを保存することが安全かどうかについては、ITスタッフにアドバイスを求めましょう。
プライベートクラウドに仕事用のファイルを保存しない:オンラインサービスを使ってマルチメディアファイルを自宅で保存できるのは魅力的です。会社の情報にアクセスするためのアカウントがあれば、どこにいても仕事ができます。個人用のアカウントを使うのが一番簡単なように思えるかもしれませんが、そうではありません。IT部門に助けを求めれば、ビジネスで認識されるようなことを教えてくれるでしょう。
Ø 会社のファイルへのアクセス権を共有しない:企業では、特定の種類の情報にアクセスできる従業員の身元を厳格に制限することが標準的な慣行となっています。同様に、クラウドに保存されたファイルへのアクセス権を共有する場合は、会社のマネージャーまたはIT担当者と事前に話し合う必要があります。
Ø パスワードやその他のアクセス認証情報を共有しない:クラウドサービスへのアクセス認証情報を共有することは、企業チームの間で非常に一般的です。これは、電子メール認証や、その場でパスワードを書き留めたり、非常に脆弱で推測されやすいパスワードを使用したりするのと同様に、本質的に安全でない行動です。このような行為は、クラウドサービスを利用するリスクを高めるため、絶対に避けるべきです。
