クラウド導入の拡大は、日本企業に有益な成果をもたらしています。それにより恩恵がもたらされている一方、クラウドインフラのセキュリティをどのように確保するかという重大な課題も生じています。
Tenableが委託して実施したForrester Consultingによる最近の調査では、日本企業の74%が、組織のサイバーリスクの最大の原因はクラウドインフラ (特にパブリッククラウドおよびマルチクラウド) にあると回答しています。
このような懸念は、サイバー犯罪者がクラウドの設定ミスを悪用して組織のIT環境に不正アクセスしようと新たな戦略を次々に考案していることを考えれば、当然のことです。データ侵害が複数の環境にまたがる場合、対処には莫大なコストがかかり、検出と収拾に1年近くを要するというIBMのレポートもあります。
クラウドセキュリティが困難な課題となる要因
多くの組織では、クラウド環境を包括的に可視化する必要があるため、セキュリティの実務担当者はクラウド環境を保護するためのロードマップを必要としています。
クラウドのセキュリティを効果的に確保するには、クラウドを複雑に構成するコンポーネントを深く理解した上で、脆弱性、設定ミス、そのほかのリスクの特定と軽減を行う必要があります。マルチクラウド環境では、盲点が増えるため、課題はさらに深刻さを増します。
例えば、複数のクラウド間におけるセキュリティ管理では、各クラウドベンダーによって異なるアイデンティティとアクセス管理モデルに従って作業する必要があります。
この課題をさらに複雑にしているのが、組織のサイロ化です。クラウドの責任は、組織内の特定の部署や従業員に限定されるものではありません。クラウドの効果的な管理には、セキュリティ、IT、DevOps、DevSecOps、IAMなど、さまざまな事業部門の積極的な協力が求められます。
セキュリティ部門がクラウド環境を十分に制御できず、クラウドサービスの導入検討にほとんど関与していない場合に、問題が発生します。
先程の調査によると、クラウドサービスの選択と導入にサイバーセキュリティ担当者が十分早い段階で関与していないと回答した国内企業は30%、またサイバーセキュリティ担当者に相談することなく事業部門やエンジニア部門がクラウドサービスを購入し導入していると回答した企業は38%に上りました。担当部門にクラウドに関する知識がないと、効果的なクラウドセキュリティの運用に不可欠なプロセスやツールが不足することになります。
ここで非常に重要なことは、クラウド環境においてアイデンティティが新たな境界線となっていることです。人もソフトウェアサービス (合わせてサービスプリンシパルとよく呼ばれています) も、従来のオンプレミスシステムとは異なり、インターネットから直接アクセスできることが多いクラウドリソースにアクセスする際にアイデンティティを使用します。
IT部門とセキュリティ部門が膨大な数の新しいデジタルアイデンティティと関連する権限の管理に取り組んでいる間に、未知の領域に対する可視性が低下します。この状況は、サイバー犯罪者による不正アクセスを容易にし、クラウド環境全体の制御を掌握したり、データベースからデータを抜き取ったり、データを暗号化して身代金を要求したりといった悪意のある活動を許容する事態になります。
クラウドのセキュリティ確保、組織は何から始めるべきか
クラウドのセキュリティを確保するにあたっては、 3つの方法から始めることができます。3つの方法とは、「クラウドの使用を制限すること」「セキュリティ担当者とDevSecOps 担当者のセキュリティ知識を強化すること」「自動化ソリューションを採用すること」です。
自動化されたソリューションはクラウドセキュリティのリスクに包括的に対応し、担当者に高度な技術的なノウハウがなくても使いやすく消費しやすい、実行可能なツールとして提供されています。このようなセキュリティツールがあれば、担当部門は複雑さに戸惑うことなくリスクを理解し、調査・識別して対処することができます。サイバーエクスポージャー管理ソリューションのような適切な自動化ソリューションによって、企業は以下のことが可能になります。
完全な可視性の獲得
自動化ソリューションはすべてのクラウド資産、設定、デジタルアイデンティティ、関連する権限を可視化してマップ表示します。このマッピング機能は、クラウドリソースの設定や、アイデンティティやリソースに付与された権限を理解するために必要な可視性を提供し、頻繁に使用されているアイデンティティを特定することもできます。
クラウドインフラのマップにより、正確なリスク分析とインサイトが保証され、セキュリティ部門はゼロトラストモデル実装に向けた的確な提案を行うことができます。
マルチクラウドの課題への対処
パブリッククラウドプロバイダー (Amazon Web ServicesやMicrosoft) ごとにクラウドコンポーネントの管理と設定が異なるため、継続的なセキュリティ監視において不整合が生じます。
企業にとって必要なのは、すべてのパブリッククラウドプロバイダーの情報を一元化された監視・管理画面に集約することです。このようなソリューションは、クラウドプロバイダーのインフラや権限モデルといったさまざまなメカニズムを理解し、統合された的確な改善策のための基盤を構築するものである必要があります。
優先順位付けと自動修正
クラウドセキュリティソリューションは、真のリスク深刻度について深い理解を伴ったものでなければなりません。具体的には、リスクを正確に優先順位付けする機能が必要であり、セキュリティ担当者に信頼できる分析結果を提供し、限られた時間を優先事項に充てられるようにすることです。
堅牢なソリューションはアドバイザーとしての役割を果たし、即刻対応すべき脆弱性や設定ミスに関する改善アドバイスを提供します。さらに、リスク軽減に関する意思決定に役立つ実用的な知見や、修正を自動化し加速化するツールも提供する必要があります。自動修正はセキュリティ機能を拡張します。
人、プロセス、テクノロジーのサイロを払拭
クラウドセキュリティソリューションは使いやすく、さまざまな事業部門間でクラウドセキュリティを標準化するものでなければなりません。実用的なソリューションがあれば、セキュリティ、DevOps、DevSecOps、SOC、IT、開発者が1カ所で情報を共有でき、IT とセキュリティ間の摩擦を最小限にとどめることができます。これにより、誰もが理解できる正確な推奨項目に基づいた迅速な意思決定が可能になります。
適切なクラウドセキュリティソリューションを探す際、100%完璧なクラウドセキュリティを約束するものよりも、複雑性とリスクを軽減するものを優先することをお勧めします。クラウドセキュリティを実現可能にするソリューションは、可視性の強化と、組織全体が理解できる実行可能で的確なインサイトの提供によって組織的・技術的なサイロを取り払い、クラウドセキュリティ体制を強化し、リスク軽減を効果的に進めるうえで、極めて重要です。
著者プロフィール
貴島 直也(きしま なおや) Tenable Network Security Japan株式会社 カントリーマネージャー
アダムネット株式会社(現 三井情報株式会社)やEMCジャパン株式会社で主に金融担当営業および営業マネージャーを経て、EMCジャパンのセキュリティ部門であるRSAに執行役員として所属。GRCソリューションやxDRのビジネスの立ち上げ・拡大に従事、さらに韓国のゼネラルマネージャーも兼務。その後、RSAの独立に伴い執行役員社長としてRSAのビジネスの拡張を牽引。2021年4月より現職。日本企業のセキュリティマーケットの拡大およびチャネルアクティビティの実行を統括。