The Doppler Quarterly (日本語) 秋 2017 - Page 64

の問題は、真のセキュリティ要件を把握している企業がほとん どいないということです。通常、企業または政府のデータの保 護に関する法律およびコンプライアンスの問題に対して組織 が持っている考えは、現実に基づいていません。 コンプライアンス達成が必要なあらゆる法律または規制を詳 細に確認し、それに基づいて必要なテクノロジー ( 暗号化のレ ベルまたはデータのロケーション ) を検討する必要があります。 さらに、リスクの評価に対する既存のアプローチなど、データ 保護に関する既存の内部ポリシーを特定する必要があります。 すべてを明確に理解できるように、これらは文書化してリー ダーに承認してもらうことを推奨します。 手順 2: ID ベースのセキュリティを検討する クラウドコンピューティングのセキュリティに対する最適なアプ ローチを取るには、人員、サーバー、データベース、データ、プ ロセス、サービスなど、すべてのアセットを IDとして扱う必要が あります。それによってこれらの ID は、リソースへのアクセスの 観点から、またはリソースそのものとして管理できます。クラウ ドコンピューティングに対する ID ベースのセキュリティに向け たアプリケーションは急速に増えています。最も優れた、また最 も便利なクラウドセキュリティシステムでは、粒度の高い ID を 管理して、いつ、どのように ID が相互作用するかを制御できま す。 手順 3: 計画を立てる 多くの人がセキュリティを、導入または移行の大詰めになって 追加するものの 1 つだと考えています。しかし実際のところ、セ キュリティ全般 ( 特にクラウド ) に対するアプローチでは、手順 1 でまとめた要件を使用してマスターのセキュリティ計画を立て る必要があります。セキュリティはクラウドコンピューティング全 体に必要であることを忘れないでください。セキュリティは、計 画内のすべての手順に含まれます。 これは、ソリューションのパターンや、ソリューションの候補とし て評価するテクノロジーなど、実際のソリューションにまで掘り 下げる必要があります。IT 業界の多くの人が、セキュリティテク ノロジーに関して、好みのソリューションや既存のソリューショ ンをひいきしてしまいます。要件を理解し、テクノロジーをテス トするまでは、 1 つのテクノロジーに固執しないでください。 ステップ 4: 適切なセキュリティテクノロジー を選択する これは言うまでもないはずです。ただし、セキュリティテクノロ ジーを実装する人のほとんどが、実装前に 1 度もテストを実施 しません。多くの人がクラウドプロバイダーの言葉を真に受け てしまいますが、それは大きな間違いです。 POC テストは必須です。すべての疑問を解決してから導入に 移ることを推奨します。 62 | THE DOPPLER | 2017 年秋号