BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース セキュリティ・バイ・デザインがクラウド移行のリスク管理にどのように役立ったか

セキュリティ・バイ・デザインがクラウド移行のリスク管理にどのように役立ったか

原文(投稿日:2022/03/03)へのリンク

企業がクラウドに移行したとき、最初から利害関係者を参加させたり、セキュリティを関与させたりすることが困難であったため、セキュリティの問題が発生した。継続的なクラウドDevOpsプロセスの一部としてセキュリティ評価を組み込み、プロジェクトのライフサイクル全体を通じてセキュリティリスク管理にアジャイル戦略を採用することで、移行中のセキュリティのガバナンスを強化することができた。

Archana Puri氏は、The Diana Initiative 2021でクラウドに移行する際のセキュリティのジレンマについて話した。

Puri氏は、Gartnerの6Rアプローチからの移行アプローチを評価した後、組織のクラウド移行ロードマップの一部として3つの移行アプローチを採用したと述べた。

焦点は、「リフトアンドシフト」移行アプローチを使って、重要な顧客サービスをサポートするレガシーシステムを最初に移行することでした。レガシーアプリケーションをサポートするために、他の依存するアプリケーションは、クラウドネイティブ機能(オンプレミスのオラクルデータベース向けのRDSなど)を使って「再プラットフォーム化」される計画でした。また、移行対象のアプリケーションを時間の経過とともに置き換え、クラウドの処理とワークフローをロードマップの一部として自動化することで「リファクタリング」される予定でした。

クラウド移行の主な課題は、適切な利害関係者と関わり、移行プロセスのガバナンスを確立することであったとPuri氏は述べている。クラウド移行は技術的な問題と見なされていたため、移行の影響を受ける顧客サービスやアプリケーションチームなどの他の利害関係者を関与させることなく、プロジェクトはITチームに委任されたと彼女は述べている。

Puri氏によると、セキュリティチームは、プロジェクトの終了時に、ポイントインタイムのセキュリティレビューを実行し、プロジェクトチームに保証を提供するために頻繁に関与していた。最後にセキュリティを適用することがプロジェクトの致命的問題になっていた。それは、セキュリティ評価のアプローチと結果がビジネス目標と一致せず、その結果、クラウド移行による効果的なアウトプットを達成する上でビジネス、プロジェクト、セキュリティチーム間の分断に至ったためである。

プロジェクトから得られた最も重要な学習は、組織全体の関連する利害関係者を関与させることであった。プロジェクトとソリューションのライフサイクル全体でセキュリティを確保するには、継続的なリスクベースのセキュリティ回復力のあるインフラストラクチャを構築するために、DevOpsと他の関連チームの間で適切なセキュリティトレーニングと認識が必要である。

InfoQは、クラウド移行におけるセキュリティの処理についてArchana Puri氏にインタビューした。

InfoQ: クラウドに移行した理由は何でしたか?会社はどのような期待をしましたか?

Archana Puri: クラウド移行の主な理由は次のとおりです。

  1. 技術改善イニシアチブの一環としてアプリケーションプラットフォームを最新化する
  2. 組織における増大する顧客の需要とサービスポートフォリオに対応するためにパフォーマンスを拡張および強化するために、レガシーインフラストラクチャをアップグレードする
  3. コストを最適化し、IT予算を効果的に活用して、より機敏で自動化された機能を採用する

InfoQ: クラウドに移行する際の主なセキュリティ上の課題は何でしたか?

Puri: セキュリティエンゲージメント内では、リスクを評価するための特定の時点でのアクティビティとして、セキュリティリスク評価を実行する従来の方法に依存していました。ただし、クラウドの移行は継続的なプロセスであるため、セキュリティはアジャイルな作業方法に適応し、クラウドDevOpsプロセスの一部としてセキュリティ評価を組み込む必要がありました。

クラウドテクノロジー、脅威プロファイル、リスクエクスポージャー、制御に関するITとセキュリティのリソース内の十分な理解と技術的能力の欠如も、致命的問題になりました。

InfoQ: これらの課題にどのように対処しましたか?

Puri: セキュリティ・バイ・デザインとアジャイルプロジェクト手法の一部としてのセキュリティの組み込みは、プロジェクトのライフサイクル全体にわたるセキュリティリスク管理の戦略として、また継続的な開発と運用のメカニズムとして採用されました。これには、移行の概念化の段階からセキュリティチームを関与させ、認識を合わせることが含まれます。これにより、明確なコミュニケーションと目的と意図に関する理解ができるようになり、それによって、企業は移行の決定を下すことができました。

重要なのは、移行を推進する理由と目的を明確に理解し、クラウドのセキュリティ戦略とポリシーを、組織全体のセキュリティ戦略とポリシーと整合させることです。

作者について

この記事に星をつける

おすすめ度
スタイル

BT