コロケーション事業者がセキュリティに真剣に取り組むべき理由【特集】
シンプルなコロケーションサービスがクラウドや基盤のハイブリッド構成に移行しつつある中、事業者は新たなセキュリティ脅威に適応していく必要がある
従来のコロケーション事業者は、物理的なセキュリティについては精通しています。耐震性の高い建物の建設や、施設と個別顧客のケージへのアクセスを制御するといった水準は十分に確立されています。
しかし、施設がよりスマートになり、事業者がハイブリッド構成、あるいはプライベートクラウドプロバイダーへと進化するにつれ、セキュリティの状況は変化しつつあります。
こうしたサイバーセキュリティリスクの変化に伴い、事業者と顧客の間のセキュリティにまつわる関係や責任も変化させていく必要があります。
コロケーション事業者にとってIT領域の増加はリスクの増大につながります。あらゆる規模の組織でセキュリティに対する関心が高まる中、コロケーション事業者は、自社のコアITに加え、データセンター・ポートフォリオの物理セキュリティを管理するだけでなく、増加する顧客向けのソフトウェアやサービスのセキュリティを確保していかなければならないという不運な立場に立たされています。
多くの企業では、セキュリティを確保すべき事項の範囲は広いと思われます。しかし、コロケーションのCISO(最高情報セキュリティ責任者)ほど、アップタイム要件やSLAなどの面で多くの顧客に縛られているCISOやセキュリティ・リーダーはいないでしょう。
2020年9月、エクイニクスはランサムウェアの攻撃を受けましたが、顧客には影響がありませんでした。しかし、他のコロケーション及びホスティング事業者は近年、それほど幸運ではありませんでした。2019年にCyrusOneがランサムウェア攻撃を受け、多くの顧客(主に同社のニューヨーク・データセンターがサービスを提供していた)が影響を受けました。
同年、QuickBooksのクラウドホスティング会社であるiNSYNQも、7月にMegaCortexのランサムウェア攻撃を受けました。同社によると、これは同社の主要データセンターの1つを狙った「入念に計画されたランサムウェア攻撃」であり、顧客の半数以上に影響を与えたといいます。このマルウェアはフィッシングメールを介して同社のネットワークに侵入し、一部のバックアップを含めて急速に拡散しました。
2019年には、ホスティング企業のA2 Hostimgもランサムウェア攻撃によりWindowsホスティングサーバーと仮想プライベートサーバーの一部が暗号化され、2週間以上ダウンしました。侵入されたRDP接続がシンガポールのA2社のデータセンターに波及し、その後、米国の施設に広がり、さらに顧客のバックアップの一部にまで影響しました。結果完全なサービス再開は1ヶ月以上も先となってしまいました。
ホスティング事業者へのランサムウェア攻撃の厄年となった2019年は、ASP.NETホスティン事業者のSmarterASP.NETや、クラウドホスティングプロバイダーのDataresolution.netも被害を受けました。2020年後半には、Managed.comが攻撃を受けて顧客サイトをオフラインで購入する事態に見舞われました。
また、モントリオールを拠点とするサービスプロバイダーであるWeb Hosting Canadaは、2021年8月に、非公開のサードパーティ・サービスプロバイダーによる不正行為が原因とされる長時間の停電に見舞われました。
エクイニクスのCSOであるMichael Montoyaは、「CSOの観点からは、すべてのリスクを排除するための組織は存在しない」と説明します。「しかし、私たちの役割は、企業のリスクのバランスを取り、リスクを理解し、そのリスクを可能な限り軽減することである」
「データセンターの観点とプロダクトの観点から、私たちは空調設備、PDU、 UPS 装置、すべての配電、IBX施設への入退室管理といった物理的要素の保護を通じてセキュリティを推進している」と、Montoyaは付け加えます。
「そして、財務システムや中核的なビジネスインフラを動かす中核的な重要IT資産を保護し、主要サプライヤーを特定し、そのサプライヤー内でデータが保護されていることを確認する必要がある」
<この続きを読むにはユーザログインが必要です>
コメント ( 0 )
トラックバックは利用できません。
この記事へのコメントはありません。