今さら聞けない、クラウドセキュリティを考える上での勘所 - 上司を説得するためのクラウドセキュリティ -

クラウド(AWS, Azure, GCP等)利用することで得られるメリット

Webアプリケーションを主軸としたビジネスモデルが著しく増加する昨今、市場競争力を強化する目的でAWS(Amazon Web Service)Microsoft Azure, GCP(Google Cloud Platform)などのクラウドインフラストラクチャ上にアプリケーションワークロードを移行する動きが強まっています。クラウド上でコンピューティングを実行することにより、下記のようなメリットをビジネスに取り入れることができます。

●市場の変化に柔軟に対応できるアプリケーション実行環境
・フレキシビリティ
・スケール特性

●TCOの最適化
・必要な時に必要なだけ利用

●BCP対策
・重要且つ大量なデータの安全性
・障害に強いコンピューティングリソース

上記は一例であり、当然この他にも様々なメリットが存在します。但し、これらを社内に説明するだけで「クラウドを始める!」という意思決定に至ることができるでしょうか。多くの場合、下記のようなストーリーを辿ることになるのではないでしょうか。

今さら聞けない、クラウドセキュリティを考える上での勘所1.png

クラウドセキュリティのポイント - 責任共有モデル -

コンピューティングリソースがクラウドに移行することにより、従来のオンプレミス型のセキュリティ運用とは異なるセキュリティ視点が求められます。重要な情報資産であるデータを保護することがセキュリティの最もな目的である点に関しては従来からのコンピューティングと変わりません。但し、そのデータを守るための責任をクラウド事業者とクラウド利用者のどちらが持つのかを確実に把握しておかなければなりません。

クラウドコンピューティングには大きく分けてIaaS(Infrastructure as a Service), PaaS(Platform as a Service), SaaS(Software as a Service)3種類のサービス提供形態があります。下記の例のように、それぞれのサービス形態で、どのレイヤーのセキュリティ責任をクラウド事業者とクラウド利用者のどちらが持つのかは各クラウド事業者によってShared Responsibility Model (責任共有モデル)として定義されています。自社の責任範囲を自社のセキュリティ運用体制でカバーすることができるかを事前に確認しておくことが重要です。

今さら聞けない、クラウドセキュリティを考える上での勘所2.png

クラウドセキュリティのポイント - コンプライアンス -

責任共有モデルを把握したところで、次に取り組む必要があるのは実運用に則したセキュリティ運用ルールの策定です。社内には従来からのオンプレミス型のセキュリティ運用ルール(運用要件)が既に存在しているかと思われますが、クラウド運用に移行した場合にはそのほとんどが新しいコンピューティング手法に対応できず、期待される効果を発揮できない傾向にあります。クラウド運用をこれから始めるに当たり、セキュリティ運用ルールも新しいものを策定する必要があります。しかしながら、初めてクラウド運用に着手する場合やクラウドセキュリティの専門家ではない担当者がこれまでのコンピューティング手法とは大きく異なるクラウドコンピューティングに対応したセキュリティ運用ルールを一から策定するということは非常に作業負荷が高く、精度の高いものを作成することが難しいと考えられます。特にクラウド上には多種多様なサービスが存在しており、サービス単位のアップデートも頻繁であることからスクラッチ型のルール策定は現実的ではないと言えます。では、どのような手法が適切なルール策定方法と言えるでしょうか。

  • 比較的簡単に着手できる方法の一つとして様々なセキュリティ関連機関から発行されているパブリックなセキュリティフレームワークをベースとして採用することがあります。クラウドコンピューティングが一般化する流れの中で汎用的なクラウドコンピューティングセキュリティフレームワークや主要なパブリッククラウド事業者に特化したセキュリティフレームワークが下記のように多数発行されています。

今さら聞けない、クラウドセキュリティを考える上での勘所3.png

この他にも、FedRAMP, HIPAA, PCI-DSSなど様々な機関からセキュリティフレームワークが発行されていますが、自社の事業特性に適したものをベースルールとして採用し、そこから自社の運用要件に合わせて細かなチューニングを施すことが最も簡単にセキュリティ運用ルールを策定する方法として推奨されます。

セキュアなクラウドコンピューティング環境の実現方法

自社のビジネスにとって重要なアプリケーションのコンピューティングを担うクラウド環境をセキュアに保つために何が必要でしょうか。セキュリティを軸にクラウド利用を考えた場合、自社が重視するセキュリティスタンダードに対応したクラウド事業者を選定することが第一歩となります。前述したようなセキュリティフラームワークに対応したクラウド事業者を選定することがセキュアなコンピューティング環境を実現する基礎作りとなります。

次に考えるべきことはどのようにしてセキュリティ運用ルールに準拠するかです。誤解されやすいポイントとして、セキュリティフレームワークに対応したクラウド事業者を選定するだけでセキュリティが確保されるという見解があります。これは絶対的に間違っています。正しく理解しておかなければならないのはクラウド事業者がセキュリティを保証するのは責任共有モデルで定義されている、クラウド事業者が責任を持つ部分だけです。対して、クラウド利用者が責任を持つ部分は、クラウド事業者はセキュリティフレームワークに対応するための機能を提供することができるだけであり、実際にセキュアな環境を実現できるかどうかはクラウド利用者自身の設定に依存します。

では、続いて実際の運用シーンを考えてみます。例えば、要件として策定したセキュリティ運用ルールをチェックリスト化し、紙ベースで定期的にクラウドの設定項目を目視チェックするとします。これは最適なセキュリティ運用と呼べるでしょうか。この方法では日常的に発生する設定変更を始めとした環境の変化をリアルタイムに把握することができず、インシデントに即座に対応することができません。また、多種多様なサービスが存在するクラウドサービスの様々な設定を人間の目で全てチェックすることは大変な労力と時間を要し、決して現実的であるとは言えません。

どうすれば労力を掛けずに精度の高いセキュリティ運用が実現できるでしょうか。答えはコンプライアンス準拠のための専用ソリューション(CASBなど)を導入することです。クラウドコンピューティング市場の成長に従ってクラウドセキュリティの需要が高まっており、既に市場にはコンプライアンス準拠のためのソリューションが提供されています。これは継続的にクラウド環境の設定項目や健全性を監視し、様々なセキュリティフレームワークや自社のコンプライアンスルールと照合することで、ルールに違反する状態の検知や通知ができるものです。このようなソリューションを導入することでクラウドコンピューティングのセキュリティレベルを格段に向上させることができます。ビジネスクリティカルなクラウド利用を検討する場合にはこのような専用のセキュリティソリューションの導入を同時に検討することは必須事項と言えます。

今さら聞けない、クラウドセキュリティを考える上での勘所4.png

まとめ

クラウドコンピューティングがビジネスにもたらす利点は非常に多く、多種多様なユースケースと共にその価値は益々拡大しています。同時に、クラウドを起因としたセキュリティインシデントの数も増加傾向にあり、十分なセキュリティ検討が成されていない状態で運用することは大きなリスクを伴います。この記事の中で説明したセキュリティアプローチを取り入れることにより、実運用に則した、より安全なクラウドコンピューティングを実現することができます。クラウドコンピューティングがもたらす価値を最大化するために、適切なセキュリティ対策を取り入れることは必須事項と言えます。

さいごに

DX(デジタルトランスフォーメーション)を推進する企業がクラウドネイティブなテクノロジーの導入を意識する場面において、「マイクロサービス」、「コンテナテクノロジー」といった技術を活用したアプリケーションデザインが検討される機会が増加しています。

マクニカネットワークスでは、様々なテクノロジー分野でのセキュリティ動向を常に調査しており、調査結果を下記のように公開しています。「コンテナテクノロジー」のセキュリティに関しても事例から対策に関して解説しておりますので、ご興味がある方は本記事と併せてご覧下さい。

今さら聞けない、クラウドセキュリティを考える上での勘所54.png

今さら聞けない、クラウドセキュリティを考える上での勘所6.png資料ダウンロードはこちら.JPG