[논문 리뷰] Cloud Security Challenges: Investigating Policies, Standards, and Guidelines in a Fortune 500 Organization
이 논문은 재정 500대 기업의 클라우드 보안 정책 격차를 분석하기 위해 1,123건의 보안 문서 문장들을 분석하여, 이 중 175건을 클라우드 컴퓨팅에 부적합한 것으로 규명하였다. 기존 정책의 심각한 결함을 드러내며 기업의 클라우드 구현 과제에 대한 향후 연구의 기초를 제공한다.
Cloud computing is quickly becoming pervasive in today's globally integrated networks. The cloud offers organizations opportunities to potentially deploy software and data solutions that are accessible through numerous mechanisms, in a multitude of settings, at a reduced cost with increased reliability and scalability. The increasingly pervasive and ubiquitous nature of the cloud creates an environment that is potentially conducive to security risks. While previous discussions have focused on security and privacy issues in the cloud from the end-users perspective, minimal empirical research has been conducted from the perspective of a corporate environment case study. This paper presents the results of an initial case study identifying real-world information security documentation issues for a Global Fortune 500 organization, should the organization decide to implement cloud computing services in the future. The paper demonstrates the importance of auditing policies, standards and guidelines applicable to cloud computing environments along with highlighting potential corporate concerns. The results from this case study has revealed that from the 1123 'relevant' statements found in the organization's security documentation, 175 statements were considered to be 'inadequate' for cloud computing. Furthermore, the paper provides a foundation for future analysis and research regarding implementation concerns for corporate cloud computing applications and services
연구 동기 및 목표
- 대규모 기업 환경 내 클라우드 컴퓨팅과 관련된 기존 정보 보안 정책, 표준 및 지침의 격차를 식별하고 분석하기 위해.
- 클라우드 컴퓨팅 도입의 고유한 위험을 다루는 데 현재의 보안 문서화가 얼마나 적합한지 평가하기 위해.
- 기업 환경에서 안전한 클라우드 배포를 저해하는 정책 수립의 체계적 문제를 부각하기 위해.
- 기업의 클라우드 구현 과제 및 정책 개선을 위한 향후 연구의 기초를 제공하기 위해.
제안 방법
- 글로벌 재정 500대 기업의 보안 문서를 대상으로 사례 연구 분석을 수행하였다.
- 해당 기업의 보안 문서에서 클라우드 컴퓨팅과 관련된 것으로 간주된 1,123개 문장을 식별하고 추출하였다.
- 사전 정의된 기준을 사용하여 각 문장이 클라우드 특화 보안 요구사항을 충족하는 데 얼마나 적합한지 평가하였다.
- 필수적인 클라우드 보안 제어, 준수 또는 위험 관리 측면을 다루지 못할 경우, 문장을 '부적합'으로 분류하였다.
- 정성적 및 정량적 분석을 활용하여 결함를 분류하고 클라우드 도입에 대한 영향을 평가하였다.
- 클라우드 마이그레이션을 대비한 보안 정책 감사 및 개선을 위한 프레임워크를 제공하였다.
실험 결과
연구 질문
- RQ1기존 기업 보안 정책, 표준 및 지침이 클라우드 컴퓨팅의 고유한 위험을 어느 정도 다루고 있는가?
- RQ2클라우드 환경에 적용했을 때 현재의 정보 보안 문서에 존재하는 구체적인 결함는 무엇인가?
- RQ3대규모 기업에서의 정책 격차가 안전한 클라우드 도입 및 준수를 저해하는 방식은 무엇인가?
- RQ4클라우드 준비성에 맞게 수정이 필요한 정책 수립의 핵심 분야는 무엇인가?
- RQ5실증적 사례 연구는 더 견고한 클라우드 보안 정책 프레임워크 개발을 어떻게 지원할 수 있는가?
주요 결과
- 1,123건의 관련 보안 문장 중 175건이 클라우드 컴퓨팅 환경에 부적합한 것으로 분류되었다.
- 대부분의 부적합한 문장들이 액세스 제어, 데이터 거주지, 제3자 위험 관리 측면에서 구체성이 부족했다.
- 많은 정책들이 공유 책임 모델, 규정 준수 프레임워크, 클라우드 배포 시 암호화 기준을 다루지 못했다.
- 본 연구는 기존 온프레미스 보안 정책과 클라우드 네이티브 아키텍처의 요구사항 사이에 심각한 괴리가 존재함을 드러냈다.
- 기존 문서 내에서 클라우드 환경의 모니터링, 로깅 및 사고 대응에 대한 지침이 뚜렷하게 부족했다.
- 결과적으로, 대규모 기업에서 안전하고 준수 가능한 클라우드 도입을 지원하기 위해 정책 현대화의 긴급성이 부각된다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.