Skip to main content
QUICK REVIEW

[論文レビュー] Cloud Security Challenges: Investigating Policies, Standards, and Guidelines in a Fortune 500 Organization

George Grispos, William Bradley Glisson|arXiv (Cornell University)|Jun 11, 2013
Cloud Data Security Solutions参考文献 20被引用数 24
ひとこと要約

この論文は、フォーチュン500企業におけるクラウドセキュリティポリシーのギャップを、1,123件のセキュリティ文書記述の分析を通じて調査している。そのうち175件がクラウドコンピューティングに不適切であると特定された。既存ポリシーにおける深刻な欠落が明らかになり、企業のクラウド導入における課題に関する今後の研究の基盤が提供される。

ABSTRACT

Cloud computing is quickly becoming pervasive in today's globally integrated networks. The cloud offers organizations opportunities to potentially deploy software and data solutions that are accessible through numerous mechanisms, in a multitude of settings, at a reduced cost with increased reliability and scalability. The increasingly pervasive and ubiquitous nature of the cloud creates an environment that is potentially conducive to security risks. While previous discussions have focused on security and privacy issues in the cloud from the end-users perspective, minimal empirical research has been conducted from the perspective of a corporate environment case study. This paper presents the results of an initial case study identifying real-world information security documentation issues for a Global Fortune 500 organization, should the organization decide to implement cloud computing services in the future. The paper demonstrates the importance of auditing policies, standards and guidelines applicable to cloud computing environments along with highlighting potential corporate concerns. The results from this case study has revealed that from the 1123 'relevant' statements found in the organization's security documentation, 175 statements were considered to be 'inadequate' for cloud computing. Furthermore, the paper provides a foundation for future analysis and research regarding implementation concerns for corporate cloud computing applications and services

研究の動機と目的

  • 大規模企業環境におけるクラウドコンピューティングに関連する、既存の情報セキュリティポリシー、基準、ガイドラインのギャップを特定・分析すること。
  • クラウドコンピューティングの導入に伴う独自のリスクに対応するため、現在のセキュリティ文書の適切さを評価すること。
  • 企業環境における安全なクラウド導入を妨げるポリシー策定におけるシステム的問題を浮き彫りにすること。
  • 企業のクラウド導入の課題とポリシー改善に関する今後の研究の基盤を提供すること。

提案手法

  • グローバルフォーチュン500企業のセキュリティ文書を対象とした事例研究分析を実施した。
  • 同社のセキュリティ文書から、クラウドコンピューティングに関連するとみなされる1,123件の記述を特定・抽出した。
  • 事前に定めた基準を用いて、各記述がクラウド固有のセキュリティ要件に対応しているかの適切さを評価した。
  • 必須のクラウドセキュリティ制御、コンプライアンス、リスク管理の側面をカバーしていない場合、記述を「不適切」と分類した。
  • 定性的および定量的分析を用いて欠陥を分類し、クラウド導入に与える影響を評価した。
  • クラウド移行に備えたセキュリティポリシーの監査および改善のためのフレームワークを提供した。

実験結果

リサーチクエスチョン

  • RQ1既存の企業セキュリティポリシー、基準、ガイドラインは、クラウドコンピューティングの独自のリスクをどの程度カバーしているか?
  • RQ2クラウド環境に適用した場合、現在の情報セキュリティ文書にどのような具体的な欠陥が存在するか?
  • RQ3大手企業におけるポリシーのギャップは、安全なクラウド導入とコンプライアンスをどのように妨げているか?
  • RQ4クラウド対応のために見直しが必要なポリシー策定における主な懸念事項は何か?
  • RQ5実証的ケーススタディは、より強固なクラウドセキュリティポリシーフレームワークの構築にどのように寄与できるか?

主な発見

  • 関連する1,123件のセキュリティ記述のうち、175件がクラウドコンピューティング環境において不適切と分類された。
  • 不適切な記述の大多数が、アクセス制御、データ所在、第三者リスク管理の面で具体的でなかった。
  • 多くのポリシーが、共有責任モデル、規制フレームワークへの適合、クラウドデプロイメントにおける暗号化基準に対応していなかった。
  • 本研究では、従来のオンプレミスセキュリティポリシーとクラウドネイティブアーキテクチャの要件との間で顕著な乖離が明らかになった。
  • 既存の文書には、クラウド環境における監視、ログ記録、インcidnet対応に関するガイドラインが著しく欠落していた。
  • 研究結果は、大手企業における安全でコンプライアンスに適合したクラウド導入を支援するため、ポリシーの近代化が急務であることを強調している。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。