パブリッククラウド市場がIT業界のあらゆるセグメントを席巻している。Forresterのレポートによると、パブリッククラウド市場は2020年、現在の市場規模の2倍の2,360億ドルになると予想されている。しかし、市場が成長しているからといって、クラウドの受け入れに当たって問題がないわけではない。特に、セキュリティと規制遵守では課題が指摘されているとPalo Alto Networks公式ブログに寄稿するのは、昨年10月にPalo Alto Networksグループの一員となったRedLock Inc.の共同創設者兼CEO、Varun Badhwar氏。セキュリティやコンプライアンス確保など企業におけるパブリッククラウド環境保護のためのプラットフォームを提供する企業だ。
Varun Badhwar氏は、Palo Altoの「2018 Cloud Security Report」(米国サイト)に掲載されているクラウドのセキュリティを懸念する企業は91%、内訳の「データ損失と漏えいからの保護」、「データプライバシーへの脅威」、「機密性への侵害」などの前年度から増加している項目を指し、パブリッククラウドの採用は増加傾向が続いているものの、セキュリティへの懸念は一向におさまっていないことが明らかになった一方で、パブリッククラウドは安全だという対極の意見もある現状に言及。"安全"・"安全ではない"、どちらの見解も正しい。クラウドセキュリティは矛盾語法でもなければ、セキュリティ万能薬でもないと前置きし、その課題を纏めている。
・"抽象化"というクラウドの特徴(The abstracted nature of cloud computing)
クラウドコンピューティングは抽象化されており視認性に欠けるという特徴があるが、これは重要な課題となる。特にクラウドセキュリティについて知識が少ない人は、責任を細かく分けて理解していないことが多い。つまり、どこまでが自社の責任で、どこからがクラウドプラットフォームやサービス事業者の責任かの境界線が曖昧ということになると述べている。
クラウドベンダーは詳細な規約を策定しており、定期的に改定が行われている。たいていの場合、限定された責任や保証の範囲が記載されている。セキュリティに関する基本スタンスや防護措置などが提供されることが多いが、当然、何かが起きた時に全てを保証するものではない。日本の資料ではIPAが「中小企業の情報セキュリティ対策ガイドライン」を公開しており、このなかの「クラウドサービス安全利用の手引き」(PDF)がわかりやすい。負荷から解放される部分がある一方、どの業務でどこまでを利用するかをしっかりと把握しておくことが必要だ。
・クラウドとオンプレミスでのコンプライアンスの違い(Compliance in cloud vs. on-premises)
ポリシーと規制順守は、システムがパブリッククラウドにあるのか、クラウドソフトウェアを利用しているのか、自社で運用しているのかで異なる。クラウドはダイナミックであり、これまでオンプレミスで行ってきた変更管理や設定管理作業とは違う作業が必要だとしている。また、GDPR(The General Data Protection Regulation)、HIPAA(Health Insurance Portability and Accountability Act)などの規制がクラウド環境を前提として策定されていないという点が複雑さを増加させていることに言及している。
GDPRは欧州、HIPAAは米国のプライバシーに関わる法律だが、これら要件をプロバイダーが実際の運用に適応させるのは指数関数的な業務が要求される。各国にまたがりサービスを提供するベンダーは、国毎に異なる法的要件にサービスを掛け合わせるよう努力するが、これは膨大なものになる。マルチクラウドの混在環境でのコンプライアンス/監査機能を提供するRedLock創設者の同氏は、国際非営利団体のCIS(The Center for Internet Security)がセキュリティ制御と規制順守要件をクラウドで動いているサービスにマッピングを支援するツールを提供していることを紹介している。組織がコンプライアンスやセキュリティ順守管理を行うには、何が規制順守で何がそうでないのかの詳細や文脈を提供するツールやプロセスを企業が実装していることが重要だとする。
・分類されたデータ管理(Managing data to its classification)
重要なデータはクラウドに置くべきではないと主張する人は多い。この主張をどう思うかは別として、重要なデータはクラウドに行ってしまう可能性はかなり高い。多くの調査から、半分ぐらいの人が重要なデータや機密データをクラウドシステムに置いていることがわかっているのだという。また実際、大企業の多くは財務や健康が関連したデータの保存にクラウドサービス事業者を使っており、クラウドにあるデータをどのように管理するのか、そして機密情報を扱うSaaSやその他のクラウド事業者をどのように管理すべきかという課題を呈する。
現実として、企業が大規模な非構造データをバックアップ用に保存するにあたって、クラウドを用いるのはコスト面から見て魅力的な選択肢となっており、機械学習、データレイク(data lakes/構造化、非構造化を問わず保存する機能)などの用途でもクラウドは使われている。しかし、どの種類のデータがどの環境に保存されているのか、多くの場合で企業は追跡できていないのだという。リスクを考慮に入れたデータ分類が非常に重要になる。同氏は例として、Amazon S3でホスティングされているマーケティングのWebサイトのコンテンツなど、非公開情報を含むデータセットを外向けに公開した場合、比較的大きな問題ではないが、名前、アカウント情報など全顧客を含むとなると話は異なる。ことが起こると企業に大きな傷が付くことになると表現している。
・「継続性」というクラウドの特徴(The continuous nature of cloud)
懸念が並ぶとうんざりしてしまうかもしれないが、Varun Badhwar氏は"クラウドは常に「オン」だ"と寄稿を締めている。スケジュールされ、トップダウンで管理できていた時代とは異なる。クラウドのアップデートは継続的に行われる。DevOpsチームは高速な実装を支援するツールとサービスを構築しなければならず、改善サイクルを高速に回すためにはシステムデータやフィードバックを迅速に集める必要がある。時代は継続的なコンピューティングと継続的なソフトウェア強化という方向に向かっており、セキュリティもここに合わせる必要がある、と断言する。
適切なアプローチを行うことが可能であれば、企業は自社のクラウドセキュリティの状態、セキュリティ制御の種類、コンプライアンスがきちんとなされているのかなどについて継続的にデータを集めることができる。実際に多くの企業のセキュリティ/コンプライアンスの分野にプラットフォームを提供する同氏の言葉だけに力強いものがある。