翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
各クラウドサービスプロバイダーのセキュリティとガバナンスの要件を確立する
教育機関には、コンプライアンス、ガバナンス、サイバーセキュリティに関する達成すべきさまざまな目標があります。これらの目標を達成できなかった場合のリスクには、機関の評判の低下、罰金、身代金、機密データの侵害、知的財産の盗難、ミッションクリティカルな機能の低下または完全な喪失などがあります。責任共有モデル
-
ワークロードはどのコンプライアンスフレームワークに準拠する必要がありますか?
教育機関は、サポートするステークホルダーやワークロードが多数存在するため、多くのコンプライアンスフレームワークに準拠する必要があります。これらのコンプライアンスフレームワークには、家族教育の権利とプライバシー法 (FERPA)、医療保険の相互運用性と説明責任に関する法律 (HIPAA)、連邦リスク認可管理プログラム (FedRAMP)、サイバーセキュリティ成熟モデル認定 (CMMC)、国際武器取引規則 (ITAR)、犯罪司法情報サービス (CJIS)、および Payment Card Industry Data Security Standard (PCI DSS) が含まれます。CMMC のように、関連するワークロードが準拠していると認定されるまで、研究助成金が交付されない場合もあります。各フレームワークは一意であり、ワークロードのサブセットにのみ適用される可能性があります。どのワークロードがどの要件に準拠する必要があるかを理解し、各ワークロードの環境でそれらの要件を満たすことができることを確認してください。クラウド環境では、自身の責任範囲とクラウドプロバイダーの責任範囲の違いを理解しておくようにしてください。コンプライアンスを達成して維持するには、必要な知識、リソース、スキルセットを備えておく必要があります。
-
複数のクラウドプロバイダー間でコンプライアンスを徹底しながら、イノベーションを妨げないようにするために、どのようなメカニズムを導入していますか?
教育機関がクラウドを初めて導入する場合は、プライマリの戦略的クラウドサービスプロバイダーを 1 社選択し、設計上安全なクラウド環境を設計、エンジニアリング、運用する方法を理解することに集中することをお勧めします。理想的には、セルフサービスシステムに自動的に埋め込まれたセキュリティコントロールにより、ユーザーは IT チームによる介入を最小限に抑えつつ、安全なクラウド環境を迅速にデプロイできるようになります。単一のプロバイダーに絞ることで、セキュリティとコンプライアンスの確保に必要なリソースと時間の投資を抑えることができます。多くの成功している機関では、コンプライアンス要件の大半を満たし、堅牢なパートナーネットワークを持ち、構築済みのコンプライアンスソリューションを提供し、安全なセルフサービス自動化を可能にするクラウドサービスプロバイダーを選択しています。複数のクラウドプロバイダーでセキュリティとコンプライアンスを確保する必要がある場合は、各環境のコンプライアンスを管理するためのスキルセットとリソースを構築するために、追加の投資が必要になります。各クラウドプロバイダーが異なる基盤環境、すなわちランディングゾーンを使用している場合、各ランディングゾーンがサポートできるコンプライアンス標準と要件を理解する必要があります。これにより、特定のワークロードをそのプロバイダーでホストできるかどうかが決まる可能性があります。プロバイダーごとにコンプライアンスを個別に管理したり、複数のプロバイダー間で管理を一元化できるカスタム構築されたソリューションやパートナーソリューションを使用したりできます。AWS Marketplace
では、コンプライアンス要件を満たすターンキーソリューションも提供しています。 -
複数のクラウドプロバイダーのコストと使用状況を評価して制御するにはどうすればよいですか?
教育機関がクラウドを初めて導入する場合は、どのクラウドサービスが使用されているか、リソースの所有者が誰か、それらのクラウドリソースの目的は何か、消費を最適化することでどのようなコスト削減が可能か、といった情報を把握するために、コストの可視化と制御のメカニズムを確立することをお勧めします。機関は、クラウドサービスプロバイダーと提携して、ミッションクリティカルなシステムの移行とモダナイズを実施することで、エンタープライズレベル契約の交渉、ボリュームディスカウントの適用、プロバイダーの専門知識の活用が可能となり、大きな投資収益率を実現できます。複数のプロバイダーでコストと使用状況を管理する必要がある場合は、社内のプロセスやツール、またはパートナーソリューションを活用して、各プロバイダーのコストと使用状況を集計して分析する方法を検討してください。多くの組織では、クラウド財務運用 (FinOps) を重要な機能と位置づけ、クラウドコストの管理と最適化のための機能の普及と導入にリソースを投入し始めています。
-
時間の経過と共にユーザーアクセス許可を簡単に管理するためのメカニズムはありますか?
学術機関がクラウドを導入する際には、主要なステークホルダーのニーズを把握することをお勧めします。機関システムのユーザーには、学生、教員、研究者、IT スタッフ、管理、セキュリティ、一般市民、サードパーティーの共同研究者が含まれます。これらのユーザーの主要なニーズを特定し、クラウドサービスへのアクセスを許可するための適切なメカニズムが整っていることを確認する必要があります。ユーザーの種類によって、必要とされるクラウドサービスへのアクセスの種類も異なります。例えば、学生、教員、一般市民はアプリケーションにアクセスする必要があります。IT スタッフ、管理者、セキュリティはクラウドインフラストラクチャにアクセスする必要があります。研究者やそのサードパーティーの共同研究者は安全な研究環境にアクセスする必要があります。教員は安全な教育環境にアクセスする必要があり、クラウドテクノロジーへの実践的なアクセスを学生に提供したい場合もあります。自動的にこれらの ID を一元管理するためのツールを用意し、ロールや責任の変化に応じてアクセス許可を特定、付与、取り消すために、確立されたプロセスを使用する必要があります。
-
新しいシステムを ID 管理ソリューションと適切に統合するメカニズムはありますか?
学術機関では、新しいシステムを ID 管理システムと簡単に統合できるようにすることをお勧めします。これにより、ステークホルダーが ID 管理システムと簡単に統合できるシステムを調達して構築できるようになり、さまざまなミッションクリティカルな機能を柔軟にサポートできます。統合プロセスを簡素化することで、ステークホルダーがシングルサインオン、パスキー、多要素認証 (MFA) といったセキュリティのベストプラクティスを実装していない独自のアクセスコントロール手段を使用する可能性が低くなります。ID 管理システムが、ネイティブ統合または業界標準プロトコルを通じて必要なシステムと相互運用できることを確認します。
-
インシデントの効果的な検出と対応を可能にするメカニズムはありますか?
教育機関は、サイバー攻撃やランサムウェアのターゲットになることがよくあります。このようなインシデントを効果的に検出して対応できるように、2 つの視点から成るアプローチをお勧めします。
-
クラウド環境に自動的に埋め込まれるセキュリティコントロールという形で、予防策に重点を置きます。
-
サイバーインシデント対応者がセキュリティ違反をタイムリーに検出、封じ込め、軽減するのに役立つ検出機能を実装します。
-
コンプライアンスと同様に、各環境のイベントを検出、防止、対応するためのリソース、スキルセット、ツールを確保しておく必要があります。単一のプライマリクラウドプロバイダーに集中することで、必要なリソースを抑えることができます。成熟したセキュリティ運用チームを持たない教育機関は、これらの分野において、独立系ソフトウェアベンダー、マネージド型検出および対応プロバイダー、サイバーセキュリティコンサルタントから支援を受ける必要があります。
