目次:
ビデオ: ACQUAã®ããã12æ19æ¥äºåã ã¼ãã¼ (十一月 2024)
ITプロフェッショナルの観点から見ると、クラウドサービスは両刃の剣です。 一方で、クラウドサービスは、長いセットアップ、構成、およびテスト時間や多くの高価なサーバーハードウェアを必要としないため、高度なソフトウェアサービスのコストと実装時間を大幅に削減できます。 アカウントにサインアップしてください。 一方、この実装の容易さもユーザーが学んだことであり、多くのユーザーは個人またはチームとして独自のサービスアカウントを設定しています。そして、それらを使用してあらゆる種類の企業を格納および操作しています。何かがうまくいかなくなるまで、ITガバナンスのないデータ。
シャドウIT、または公式のITスタッフ以外の個人が企業内で開発した情報技術(IT)システムは、重大なセキュリティおよびデータ保護の問題になる可能性があります。 少なくとも、これらのシステムには、ITが採用しているその他のセキュリティ対策によって保護されていないサービスが含まれています。 また、最悪の場合、多くの場合、企業ネットワークに直接バックドアする追加の、ほとんど保護されていない攻撃対象領域を提供します。 あなたの最初の対応は、これらの従業員を根こそぎにし、彼らを罰し、彼らの影のITを破壊するでしょう。
不正なクラウドサービスは、先ほど述べたハードウェアの例ほど深刻な問題ではないと思うかもしれませんが、実際には問題は非常に似ています。 開発者である従業員が、Amazon Web Services(AWS)またはGoogle Cloud Platformで仮想化されたクラウドサーバーインスタンスを迅速に購入することを決めたため、リクエストを待つことなく、背後にある新しいコードをすばやくテストできますそれを通して。 数分で、彼女は自分のワークロードを実行しています。 彼女はサービスの代金をクレジットカードで支払い、コードが承認されると、単純に費用を支払うことができると考えています。
AWSと個人用ルーターには2つの重要な違いがあるため、不正なルーターを展開する人ほど熱心にこのようなユーザーを狩ることはできません。まず、開発者の不正なサーバーを見つけるのは簡単ではありません。 市場調査会社Statista(下記)が報告したように、ガバナンスとマルチクラウド管理は、クラウド時代のITプロフェッショナルが直面する最大の課題の2つです。 このユーザーの非公式アカウントの予備知識がなくても、プライバシーとデータ保護に関する独自のセキュリティポリシーに違反することなく、どのようにすれば素早く追跡できますか? 第二に、アマゾンは、サービスをスムーズかつ安全に実行し続けること以外、一日中何もしない専門のITスタッフの軍隊によって管理されています。 それで、彼らが管理しているサーバーを追いかけることは本当にどれほど難しいですか?
2019年の世界的なクラウドコンピューティング管理の課題
不正なITリスク
独自のクラウドサービスを作成するユーザーは通常、ネットワークセキュリティについてあまり知りません。 もしそうなら、彼らは彼らがやっているように彼らがやっていることをやっていないでしょう。 彼らは、クラウドサービスが提供するいくつかの重要な機能を使用したいことを知っており、おそらく問題を解決するためにそれを機能させる方法を知っています。 しかし、ファイアウォールの構成に関しては、手がかりがなく、サービスはインターネット上で実行されているため(とにかくIT構成のファイアウォールを介して配信されます)、おそらく完全に保護されていると考えられます。 彼らが本当に心配しているのは、彼らが知っている最善の方法で仕事をすることです。これは実際には良いことです。
そのため、これらのやる気のある従業員に対するあなたの反応が、大量のレンガのように彼らに降りてきて、それらを罰し、彼らの不正なクラウドをシャットダウンすることであるなら、あなたは再考したいかもしれません。 確かに、彼らはあなたがITのコントロールを維持するために作ったルールを無視しているのかもしれません。 しかし、彼らはいくつかの正当な理由でそれをやっている可能性があり、そのうちの少なくとも1つはあなたです。
結局、環境を作成しましたが、不正なクラウドがこれらの人々が仕事をするためのより良い方法と見なされた環境のようです。 これは、内部ITサービスプロバイダーとして、ビジネスに必要な速度で応答しないことを意味します。 これらの従業員は今日、そのクラウドサービスを必要としていました。 あなたが彼らを助ける前に彼らはどれくらい待つ必要がありましたか?
不正なITを検出する方法
デジタルトランスフォーメーションを支援する企業であるGlobantの最高セキュリティ責任者(CSO)であるPablo Villarrealによると、不正なクラウドサービスの発見は必ずしも明らかではありません。 不正なクラウドが他の会社と同じプロバイダーを使用している場合、不正なクラウドと通常のクラウドトラフィックのトラフィックを区別することはほとんど不可能です。 前述の開発者のサーバーの場合、会社が他のワークロードを実行する仮想化されたAmazonサーバーをすでに数ダース持っている場合、トラフィック分析のみに基づいて1つの不正なサーバーを区別するのはどれくらい簡単ですか? 適切に構成された次世代ファイアウォールと適切なソフトウェアがそれを実行できますが、そのために必要な作業は重要です。
ビジャレアルは、最も効果的な方法は、従業員が経費を提出するときにクレジットカードの明細書を見て、そのように見つけることだと言いました。 ハイエンドの費用追跡ソリューションは、実際に特定の費用タイプにフラグを立てるように構成できるため、それらを見つけることは少なくともある程度自動化できます。 しかし彼はまた、あなたの次のステップは重要であり、それは従業員に苦労するよりも従業員に手を差し伸べることだと言います。
「彼らが必要とするサービスを提供するために提供する」と彼は言った。 「不正なサービスを採用すると、ユーザーとの関係を構築できます。」
彼は、不正なクラウドを採用することで、独自のセキュリティ内にそれを持ち込むことができ、ユーザーがクラウドインスタンスを効率的に運用できるようにすることができると述べました。 さらに、すでにクラウドサービスを使用している場合は、おそらく同じサービスを大幅な割引価格で入手できます。
不正なITを受け入れる6つのステップ
ただし、AWS上にあるか、Dropbox Businessのような自己完結型のものであるかに関係なく、発見したすべての不正なサービスは、満たされていないニーズの症状であることを忘れないでください。 従業員にはサービスが必要でしたが、必要なときにサービスを提供できなかったか、あなたができることを知りませんでした。 いずれにしても、根本原因はITにありますが、幸いなことに、これらの問題は比較的簡単に修正できます。 最初に実行する必要がある6つの手順を次に示します。
その人を知り、その人がIT部門を使用する代わりにサービスを作成することを選択した理由を調べます。 ITが対応するのに時間がかかりすぎる可能性がありますが、ビジネスニーズに合わないという禁止事項など、他の理由が考えられます。
彼らが使用している不正なクラウドサービス、彼らが実際にそれで何をしているのか、そしてそれを保護するために何をしたのかについての詳細をご覧ください。 あなたはそれを中に持っていく過程にある間にそれが安全であることを確認する必要があります。
独自の手順を見てください。 チームがクラウドサービスへのアクセスをリクエストするのにどれくらい時間がかかりますか? 承認プロセスはどの程度関与していますか? あなたはどの程度の援助を提供するつもりですか? IPアドレスなどの単純なものを取得するのはどれくらい難しいですか? 企業のバックアップ計画に含めるのはどれくらい難しいですか?
IT部門は、不正なクラウドアカウントを不要にするために何ができますか? たとえば、承認されたプロバイダーで迅速かつ簡単にアカウントを作成する手段を提供できますか? 従業員が最小限の遅延で使用できるコーポレートクラウドアカウントを提供できますか? 誰のIT部門にも余分なスタッフがいないため、コンサルタントとして働くスタッフを提供できますか?
IT以外の部門でイノベーションを促進するために、あなたの部門は何ができますか? リクエストに応じて利用可能なITサービスのメニューを提供できますか? おそらく、本当に革新的なことをしているが、ビジネスの一部に機械学習(ML)を組み込むなどの支援が必要なチーム向けの迅速な対応サービスでしょうか? あなたが助けられない、または助けられないなら、意欲の高いチームがあなたなしで前進することを忘れないでください、それはあなたが防止しようとしているものです。
最も重要なことは、ITスタッフがビジネスの速度で対応するために行っていることを測定および改善するために、経験を使用することです。
- 2019年の最高のホスト型エンドポイント保護およびセキュリティソフトウェア2019年の最高のホスト型エンドポイント保護およびセキュリティソフトウェア
- 2019年のサービスとしての最高のインフラストラクチャソリューション2019年のサービスとしての最高のインフラストラクチャソリューション
- 2019年のベストモバイルデバイス管理(MDM)ソリューション2019年のベストモバイルデバイス管理(MDM)ソリューション
私はこの時点で、あなたがリソースを持っていないと主張して、これらすべてをプープーしているかもしれません。 しかし、実際には、従業員が自分で良い仕事をしているのであれば、追加のリソースを必要とすることはあまりありません。 そして、この種の活動をことわざの鉄拳で阻止しようとすると、活動は舞台裏で継続する可能性が高くなります。そして、セキュリティインシデントまたはビジネスの失敗により、あなたよりもはるかに多くのリソースが必要になるという非常に現実的なリスクが発生します持っているでしょう。
AmazonやGoogleなどのメガプロバイダーでさえもハッキングされます。 公式ストアと同じように保護されていないこれらのサービスに関する企業データが大量にある場合は、厄介な問題を簡単に抱え、手遅れになるまでまったく気付かない可能性があります。 もちろん、許可なくサインアップしたユーザーに指を差し向けることはできますが、それは、ITが会社の仮想サーバーのXパーセントを占められなかった理由を知りたがっている怒っている最高情報セキュリティ責任者(CISO)を満足させることにはなりません。 また、顧客(多くの場合、意図しない被害者)を支援することはできません。なぜなら、顧客の個人データが公開されてしまうからです。
「従業員はもっと幸せになるだろう」とビジャレアルは指摘し、また、従業員のモチベーションを罰することは、一般的にモチベーションが失われることを指摘しています。 誰もあなたに感謝するつもりはありません。 不正なサービスを採用することにより、ユーザーを満足させ、やる気を維持するだけでなく、信頼に基づいたコミュニケーションチャネルを確立することもできます。 彼らがあなたを信頼しているのなら、サービスに申し込む必要はありません。 あなたが知っている方があなたとあなたの両方にとって良いので、彼らはそれをすると同時にあなたに単にあなたに知らせるでしょう。
