クラウドはどのくらい安全ですか？

LinkedInのAndres Bang、JuniperのGary Clark、AkamaiのTom Leighton、Emergence CapitalのGordon Ritter、およびBloombergのCristina Alesci

クラウドはどのくらい安全ですか？ 先週のブルームバーグエンタープライズテクノロジーサミットの多くのパネリストは、特にスノーデンの啓示と標的違反の結果、その問題について話しました。 ほとんどの企業は、ほとんどすべての社内データサービスよりも優れたセキュリティを提供するパブリッククラウドプロバイダーの可能性について強気でした。 しかし、最も楽観的な人でさえ、多くの企業がデータをより細かく制御できることに満足していることを認めています。

たとえば、LinkedInのグローバルセールス&オペレーションシステムの責任者であるAndres Bangは、彼の会社はパブリッククラウドサービスの大口顧客であり、そのようなベンダーに依存していると述べました。 しかし、同社はメンバー情報をプライベートクラウドに保持しているため、より管理しやすいと述べた。 ジュニパーネットワークスのIT CTOであるゲイリー・クラークは、多くのIT部門がクラウドサービスブローカーに進化しており、80％以上のアプリケーションがクラウドにあり、残りはプライベートクラウドにあると見ています。 一般的に言えば、彼は企業が最も個人的な情報を社内に保管しているのを見ました。

Akamai TechnologiesのCEO兼共同創立者であるTom Leighton氏によると、データセンターのセキュリティに依存するモデルは失敗しそうです。 データセンターの製品だけで自分を守るだけでは十分ではありません。 データセンターに入る前に傍受して処理する必要があります。

CIA：あなたは「あなたの最も弱いリンクと同じくらい強い」だけです。

CIAの元最高技術責任者、ガスハント

別のセッションで、中央情報局（CIA）の元最高技術責任者であり、現在Hunt TechnologyのCEOであるGus Huntは、ビッグクラウドプロバイダーはすべて「本当に優れた」セキュリティを持っていると述べました。 彼はCIAがAmazonのクラウドをどのように使用しているかについて話しましたが、AmazonはCIAの壁の背後で管理する特別なコピーではあります（銃やその他の物理的セキュリティによって保護されています）。

しかし、彼はセキュリティは「あなたの最も弱いリンクと同じくらい強い」と述べました。 彼は、クラウドプロバイダーの上に脆弱性を持つワークロードがある場合、それらの脆弱性は存在し続けると説明しました。 ただし、1つのワークロードの脆弱性はクラウド内の他のワークロードには影響しません。 したがって、彼は、自分のワークロードを保護することは依然として重要なタスクであると言いました。

ハント氏は、セキュリティの問題は「手に負えないほど困難で困難なもの」になりつつあり、個々の企業が自身を保護する方法を見つけることは本当に難しいと述べました。 そこで彼は、ネットワークを装備してセキュリティを制御するサービスとしてのセキュリティ企業の台頭を見ました。 しかし、彼はこれが「摩擦のない軍拡競争」であり、マルウェアのようなものに関する情報がほぼ瞬時に共有され、ますます困難になっていると述べた。

最終的には、ネットワークよりもデータ保護に重点を置くつもりだと彼は言った。 「それはデータだ、愚かだ」と彼は言った。 データを見つけにくいようにする必要があります。 しかし、誰かが通過した場合、迅速に検出して修正する必要があります。

長い目で見れば、ハントは、暗号化や復号化などの技術と場所を偽装する能力のおかげで、人々は自分のデータとプライバシーをより詳細に制御できるようになると述べました。 それは民間人にとっては素晴らしいことだと彼は言ったが、法執行機関にとって大きな課題を提起している。 「データをきめ細かく制御できるようになります。」

リスクと「雪の影響」の軽減

Verizon Enterprise SolutionsのWade Baker、BlackBerryのMike K. Brown、VeriSignのDr. Burt Kaliski Jr.、CiscoのJohn N. Stewart

Ciscoの最高セキュリティ責任者であるJohn N. Stewart氏は、1つの問題は、エンタープライズセキュリティの良い定義または悪い定義がないため、クラウドプロバイダーのセキュリティとエンタープライズクラウドのセキュリティを比較することは難しいと指摘しています。 また、Verizon Enterprise Solutionsの調査およびインテリジェンス担当マネージングプリンシパルであるWade Bakerは、クラウドではセキュリティの問題が発生する可能性がありますが、クラウドによって引き起こされることはほとんどないため、多くの場合、問題ではないと述べました。

VeriSignの最高技術責任者であるBurt Kaliskiも、多くの保護メカニズムを備えた「情報中心のアプローチ」に移行するという概念を持ち出しましたが、このほとんどはエンドユーザーには見えません。

スチュワートによると、クラウドセキュリティは、ユーザー名やパスワードの問題などの問題を挙げて、「解決しなかったすべての罪」を最前線にもたらします。 彼は、企業はデータ中心ではなく、「ハードな外部」の境界に集中しすぎており、それは変化しなければならないと述べました。 彼は、データの保護はDRMで悪い評判を得たが、非常に重要であると証明できると述べた。 しかし、彼は、「ほとんどのユーザーはリスクを気にせず、最も効率的な方法で仕事を成し遂げることに関心がある」と警告しました。

Kaliski氏によると、優れた情報管理、システム内のすべての要素の信頼、監査、キー管理など、エンタープライズセキュリティには他にも多くの重要な要素があります。

「雪の影響」がセキュリティ問題に注意を喚起し、多くの国際的な消費者が現在米国を悪と見なしている一方で、米国は物事を修正する方法を知っていると考える人もいます。

トレンドマイクロのライムンドジーン、パロアルトネットワークスのリック・ハワード、前NSAのセドリック・レイトン、ブルームバーグ・ニュースのマイケル・ライリー

スノーデンの影響に関する別のセッションが続いたが、主な懸念は、これが「インターネットの部族化」につながったことである、とNSAでトレーニングの元副局長を務め、現在はセドリックレイトンアソシエイツのCEOであるセドリックレイトン大佐によると。 彼は、インターネットはグローバルに設計されているが、「中国の偉大なファイアウォール」に加えて、「ドイツのクラウド」や「スイスのクラウド」などのことを耳にしていると述べた。 スノーデンの啓示は物事を国有化するための口実として役立った、と彼は言いました、そして、これは多くの意図しない結果で、世界とインターネットに大きな損害を与えています。

Trend Microの最高技術責任者であるRaimund Genesは、Snowdenがセキュリティ全般に関する議論も開始したことを指摘しました。 「SnowdenがNSAからドキュメントを取得できるとしたら、私たちの業界について何と言いますか？」 彼は尋ねた。 彼は、政府が役割を果たしていると考えていると言って、内部請負業者を信頼することの難しさと、より安全なインターネット全般を作る必要性について話しました。

彼は「インターネットはグローバルに作成された」ことに同意し、発信国または地域内にデータを保持するように設計された新しいヨーロッパの規則のいくつかはばかげていると述べた。

パロアルトネットワークスの最高セキュリティ責任者であるリック・ハワードは、彼とレイトンがともに政府がインターネットの安全性を高める役割を果たしていることに同意しましたが、事件全体が業界がセキュリティを提供する良い仕事をしたことを証明し、ベンダーはセキュリティをより多くのソリューションに組み込むことについて、より良くする必要があります。 「政府が何をしようと、顧客は安心しなければならないだろう」と彼は言った。