CISO のクラウド準備状況に関するガイドCISO cloud readiness guide

クラウド導入フレームワークなどの Microsoftによるガイダンスは、このドキュメントのサポート対象である何千社もの企業に特有のセキュリティ制約を、特定したり左右したりするように位置付けられていません。Microsoft guidance like the Cloud Adoption Framework is not positioned to determine or guide the unique security constraints of the thousands of enterprises supported by this documentation. クラウドに移行する場合、最高情報セキュリティ責任者や最高情報セキュリティ オフィス (CISO) の役割は、クラウド テクノロジに取って代わられるものではありません。When moving to the cloud, the role of the chief information security officer or chief information security office (CISO) isn't supplanted by cloud technologies. まったく逆に、CISO と CISO オフィスは、よりしっかりと根付いた、統合された存在となります。Quite the contrary, the CISO and the office of the CISO, become more engrained and integrated. このガイドは、読者が CISO のプロセスに精通しており、クラウド変革を実現するためにそれらのプロセスを最新化しようとしていることを前提としています。This guide assumes the reader is familiar with CISO processes and is seeking to modernize those processes to enable cloud transformation.

クラウドの導入により、従来の IT 環境ではあまり検討されなかったサービスが実現します。Cloud adoption enables services that weren't often considered in traditional IT environments. セルフサービスのデプロイや自動化されたデプロイは、一般に、従来は運用環境のデプロイには結び付けられていなかったアプリケーション開発チームやその他の IT チームによって実行されます。Self-service or automated deployments are commonly executed by application development or other IT teams not traditionally aligned to production deployment. 組織によっては、事業の構成単位が同様に、セルフ サービスの機能を持つことになります。In some organizations, business constituents similarly have self-service capabilities. これは、オンプレミス環境では必要でなかった、新しいセキュリティ要件が生じるきっかけとなる可能性があります。This can trigger new security requirements that weren't needed in the on-premises world. セキュリティの一元化はより困難であり、セキュリティは多くの場合、事業部門と IT 部門の間で責任を共有することになります。Centralized security is more challenging, security often becomes a shared responsibility across the business and IT culture. この記事は、そうしたアプローチに向けた CISO の準備と、増分ガバナンスへの取り組みの助けになります。This article can help a CISO prepare for that approach and engage in incremental governance.

CISO がクラウドの準備をする方法How can a CISO prepare for the cloud?

ほとんどのポリシーと同様に、組織内のセキュリティとガバナンスのポリシーは自然に拡大する傾向があります。Like most policies, security and governance policies within an organization tend to grow organically. セキュリティ インシデントの発生時には、ユーザーへの通知を行い、繰り返しが起きる可能性を減らすためのポリシーがまとめられます。When security incidents happen, they shape policy to inform users and reduce the likelihood of repeat occurrences. 自然ではあっても、このアプローチでは、ポリシーの肥大化と技術的な依存関係が生じます。While natural, this approach creates policy bloat and technical dependencies. クラウド変革の体験では、ポリシーを最新化してリセットする独自の機会を作ります。Cloud transformation journeys create a unique opportunity to modernize and reset policies. どの変革体験を準備しているときでも、CISO はポリシー レビューで主要な利害関係者としての役割を果たすことで、即時の測定可能な価値を作り出すことができます。While preparing for any transformation journey, the CISO can create immediate and measurable value by serving as the primary stakeholder in a policy review.

そのようなレビューにおける CISO の役割は、既存のポリシーやコンプライアンスの制約と、クラウド プロバイダーの改善されたセキュリティ体制の間で、あぶなげないバランスを生み出すことです。In such a review, the role of the CISO is to create a safe balance between the constraints of existing policy/compliance and the improved security posture of cloud providers. この進行状況はさまざまな形式で測定される場合があり、多くの場合、クラウド プロバイダーに安全に移管できるセキュリティ ポリシーの数で測定されます。Measuring this progress can take many forms, often it is measured in the number of security policies that can be safely offloaded to the cloud provider.

セキュリティ リスクの移転: サービスは、サービスとしてのインフラストラクチャ (IaaS) ホスティング モデルに移行されるため、ハードウェアのプロビジョニングに関して企業が引き受ける直接的なリスクは減少します。Transferring security risks: As services are moved into infrastructure as a service (IaaS) hosting models, the business assumes less direct risk regarding hardware provisioning. リスクは解消されたのではなく、クラウド ベンダーに移転されました。The risk isn't removed, instead it is transferred to the cloud vendor. ハードウェアのプロビジョニングに対するクラウド ベンダーのアプローチによって、セキュリティで保護された繰り返し可能なプロセスで、同じレベルのリスク軽減が提供されるのであれば、ハードウェア プロビジョニングの実行リスクは企業 IT の担当領域から取り除かれ、クラウド プロバイダーに移転されます。Should a cloud vendor's approach to hardware provisioning provide the same level of risk mitigation, in a secure repeatable process, the risk of hardware provisioning execution is removed from corporate IT's area of responsibility and transferred to the cloud provider. これにより、企業の IT が管理する責任がある全体的なセキュリティ リスクが軽減されますが、リスク自体は引き続き追跡し、定期的に確認する必要があります。This reduces the overall security risk corporate IT is responsible for managing, although the risk itself should still be tracked and reviewed periodically.

ソリューションがさらに "スタックを上に" 移動して、サービスとしてのプラットフォーム (PaaS) やサービスとしてのソフトウェア (SaaS) モデルが組み込まれると、追加のリスクの回避や移転が可能になります。As solutions move further "up stack" to incorporate platform as a service (PaaS) or software as a service (SaaS) models, additional risks can be avoided or transferred. リスクが安全にクラウド プロバイダーに移されると、セキュリティ ポリシーやその他のコンプライアンス ポリシーを実行、監視、および適用するコストも安全に削減できます。When risk is safely moved to a cloud provider, the cost of executing, monitoring, and enforcing security policies or other compliance policies can be safely reduced as well.

成長の思考様式: 変更はビジネスの実装者にとっても技術の実装者にとっても恐れられることがあります。Growth mindset: Change can be scary to both the business and technical implementors. CISO が組織における成長の思考様式を先導している場合、そうした自然なおそれは、安全性とポリシー コンプライアンスへの関心の高まりで置き換えられることがわかっています。When the CISO leads a growth mindset shift in an organization, we've found that those natural fears are replaced with an increased interest in safety and policy compliance. 成長の思考様式で、変革体験の 1 つであるポリシー レビューや単純な実装レビューに取り掛かると、チームはすばやく動くことができますが、適正で管理しやすいリスク プロファイルを犠牲にすることはありません。Approaching a policy review, a transformation journey, or simple implementation reviews with a growth mindset, allows the team to move quickly but not at the cost of a fair and manageable risk profile.

最高情報セキュリティ責任者のためのリソースResources for the chief information security officer

成長の思考様式でポリシー レビューに取り掛かるためには、クラウドに関する知識が必須です。Knowledge about the cloud is fundamental to approaching a policy review with a growth mindset. 以下のリソースは、CISO が Microsoft の Azure プラットフォームのセキュリティ体制をより深く理解するのに役立ちます。The following resources can help the CISO better understand the security posture of Microsoft's Azure platform.

セキュリティ プラットフォームのリソース:Security platform resources:

プライバシーと管理:Privacy and controls:

コンプライアンス:Compliance:

透明性:Transparency:

次のステップNext steps

どのガバナンス戦略においても、行動を起こす最初の手順はポリシー レビューです。The first step to taking action in any governance strategy is a policy review. ポリシーとコンプライアンスは、ポリシー レビュー時に役立つガイドになる可能性があります。Policy and compliance could be a useful guide during your policy review.