DX時代のクラウド利用で大きく変わりつつあるセキュリティの考え方
DXを推進していくにあたりクラウドシフトが叫ばれ、多くの企業で積極的なクラウド利用が進んでいる。従来のオンプレミスをベースとしたIT環境では、自社ネットワーク内に守るべき情報資産が集中していたが、クラウドシフトにより社内・社外を問わずデータが点在し、それらが連携しあう状況となっている。これらのクラウドサービスのセキュリティについては、利用の統制・管理はもちろん、安全な利用や脅威からの保護を考える必要がある。
20年以上にわたるマネージドセキュリティサービスの提供実績を有するNRIセキュアテクノロジーズ株式会社 マネージドセキュリティサービス事業本部 MSS事業開発部 上級ITセキュリティコンサルタントの中山 潤一氏はこう説明する。「クラウドサービスへのアクセスにおいて、ユーザーのアクティビティを監視し制御することは、不正利用や情報漏洩を防ぐための重要なセキュリティ対策となります。それを実現するのが『CASB(Cloud Access Security Broker)』と呼ばれる考え方で、急速に一般化しつつあります。またクラウドサービスの設定やガイドラインへの準拠が適切かどうかをチェックし、クラウド上で実行されているサービスやアプリケーションについての脅威、脆弱性への対策を実施する必要性も増しており、これを実現する『CWPP(Cloud Workload Protection Platform)』や『CSPM(Cloud Security Posture Management)』も期待されています(中山氏)
クラウド利用で生じるリスクとその対策とは
クラウドサービスにおけるセキュリティリスクとその対策について、中山氏は以下のように説明する。「クラウドサービスにおけるセキュリティには、自社がエンドユーザとしてクラウドサービス(主にSaaS)を利用する場合のセキュリティと、自社のシステムやサービスをクラウドサービス(主にIaaSやPaaS)上で構築・提供する場合のセキュリティとを考える必要があります」(中山氏)
この2つに共通して注視すべきなのは、クラウドサービス自体の安全性だ。適切なセキュリティ対策が実装されているか、どのようなセキュリティサービスが付帯しているか、サポート体制、事業の継続性、運用時や終了時のデータの取り扱いなど、さまざまな観点で考える必要がある。
さらにクラウドサービスの提供側とユーザー企業の責任分界点から生じるリスクもある。というのもこれまでの情報システムはオンプレのサーバ上で稼働していたことから、DC(データセンター)が提供するファシリティ以外のシステムのほとんどがユーザー企業の責任であった。しかしながらクラウドサービスでは提供側が責任を持つ部分もあるため、SaaS、PaaS、IaaSといったクラウドサービスの提供形態によっても責任範囲が異なる。その認識を誤ってしまうと、セキュリティ対策に穴が生じてしまう可能性があり、責任分界点を正しく把握したうえで適切な管理・対策を実施することが重要となるのである。
そして、SaaSとしてクラウドサービスを利用するにあたっては、ユーザーのアクセスについて管理・統制をする必要がある。クラウド利用の可視化や利用状況の把握、リアルタイム制御などにより、不正な利用や情報漏洩などを防がなければならない。
また、IaaSやPaaSとして利用する場合は、クラウドサービスの設定ミスやガイドライン違反から生じるリスク、クラウド上で実行されているサービスがマルウェアなどの攻撃を受けるリスク、さらにはクラウド上の基盤やアプリなどの脆弱性が狙われるリスクなどを考える必要がある。
「自社で利用ルールやガイドラインをしっかりと整備したうえで、クラウドサービスをSaaSとして利用する場合にはCASBを、IaaSやPaaSとして利用する場合にはCSPMやCWPPを活用し、対策していくことが急務となっていると言えるでしょう」(中山氏)
自社でのセキュリティ運用が難しい理由とは
こうしたクラウド活用の普及に伴うリスクの増加に対し、クラウドセキュリティを自社で運用しようと考える企業は多いものの、それは難しいのが実情だ。研究開発センター サービス開発推進部でセキュリティサービスの開発を担当する内藤 陽介氏はその要因を以下のように指摘する。
「クラウドサービスの機能追加はとても速く、必要とされるセキュリティの考え方もそれに合わせて変わっていきます。セキュリティソリューションを導入する場合、そのソリューション自体の進化も非常に速くなってきています。そのためクラウドサービスとセキュリティの双方の十分な知識やノウハウがなければ適切な対策を打てません。またセキュリティは24時間365日の対応が基本であり、何かあったときには即座に対応する必要があります。IT人材全般が不足している中、自社内で体制を組むことは非常に難しく、これが自社運用の大きな障壁となっているケースが見受けられます」(内藤氏)
日本において十分な知識やノウハウを有するセキュリティ人材不足が深刻化している中で自社での人材育成のコストをふまえると、外部のマネージドサービスを契約したほうが、安全面もコスト面も、結果的にメリットが大きいのではないだろうか。こうした背景からNRIセキュアテクノロジーズでは、CSPM、CWPPのマネージドサービスを提供している。
CSPM、CWPPの効果的な活用によるセキュリティ対策を実現!
DX時代に求められるセキュリティのニーズに応えるべく、NRIセキュアテクノロジーズが提供するのは「統合クラウドセキュリティマネージドサービス powered by Prisma Cloud from Palo Alto Networks(以下、統合クラウドセキュリティマネージドサービス)」である。
マネージドセキュリティサービスの豊富な経験を有するNRIセキュアテクノロジーズの専門家が、包括的なクラウドネイティブ セキュリティ プラットフォーム(CNSP)としてCSPMやCWPP機能の評価が高いパロアルトネットワークスの「Prisma Cloud」を導入・運用することで、実効性を持ったクラウドセキュリティの継続的な運用が可能になる。
「実効性のある運用を継続するために、専門家によるアドバイスから、具体的な対策の実施まで、お客様の運用負担を軽減しつつPDCA全体を一気通貫でサポートするサービスとなっています」と中山氏はサービスの強みを語る。
また、検知ルールの策定の細かなサポートについて、マネージドセキュリティサービス事業本部 MSS技術開発部の吉田 悠人氏はこう説明する。
「Prisma Cloudには豊富な検知ポリシーが用意されていますが、どれを適用してどのように通知を行うかのといったポリシー設計はなかなか難しいのも事実です。そして適切な設定が行われない場合、当然効果的なセキュリティ対策は打てません。そこで統合クラウドセキュリティマネージドサービスでは、標準設定としてどのようなポリシーを選択するか、どのスタンダードに準拠したコンプライアンス監査を実施するかなど、ポリシーや検知ルールの策定はもちろんのこと、お客様のガイドラインや運用に合わせた追加の検知ポリシーも当社側で作成します。また公開された緊急性の高い脆弱性について、カスタムシグニチャを緊急で作成し適用することで、お客様の環境を保護する対応も行っています」(吉田氏)
高度なスキルと経験を持ったセキュリティアナリスト集団が、日本とアメリカ、インドで24時間365日の体制でSOCを運用し、インシデント発生時に対応・アドバイスをしてくれることも、統合クラウドセキュリティマネージドサービスの大きな特徴であるといえるだろう。
ビジネススピードを維持するPrisma Cloudを中核に据えたマネージドサービス
統合クラウドセキュリティマネージドサービスの中核を成すソリューションとして「Prisma Cloud」を選定した理由について内藤氏は次のように話す。
「Prisma Cloudは一製品でCSPMとCWPPの両機能がハイレベルで統合されており、コンテナにも強いことに加えて、複数のクラウドアカウント(=複数プロジェクト)を包括的に管理するという側面において、非常に有用だと考えています。複数のプロジェクトにまたがって、包括的にセキュリティ機能・運用を適用することは、ビジネスのスピードを落とさずに、一定レベルのセキュリティを確保できます」(内藤氏)
現在は、ゼロトラストやSASE(Secure Access Service Edge)などのキーワードを謳ったセキュリティ製品が多くのベンダーから提供されているが、今後は機能統合を果たしてベンダーや製品が絞られてくると中山氏は予想しており、実際にそのような動きも見受けられるという。「パロアルトネットワークスは、かつて次世代ファイアウォールというキーワードが注目されていた際にもニーズに合わせてどんどん新機能を取り込み、お客様に支持され、シェアを拡大してきました。今回のクラウドセキュリティの動向においても、同じようにトップ製品を提供するトップベンダーであるとみています。さらにパロアルトネットワークスとは長期にわたるパートナーシップの歴史があるうえ、情報交換や運用サポートなども密に行なってきており、深い信頼関係にあります」(中山氏)
Prisma Cloudをマネージドサービスで補完!相談企業から寄せられる高い評価
実効性のあるクラウドセキュリティの運用を継続することで、企業のDXを強力にサポートする統合クラウドセキュリティマネージドサービス。サービスリリースは2021年4月と直近であるにもかかわらず、すでに多数の企業から導入の相談があるという。
「Prisma Cloudの導入だけでなく、お客様内での運用体制の構築支援、ガイドラインの作成や運用ルールの検討などの業務設計、また事務局対応や運用支援もコンサルティングサービスとして行えるような、導入・運用に伴う組織面の支援も好評をいただいております」(中山氏)
さらに、Prisma Cloudのみでは実装できない要件であってもマネージドサービスで補完できるうえ、ユーザー企業の要望に合わせてカスタマイズできる幅が大きい点も好評を博しているという。「通知設定やログ保存など、お客様の運用体制や要件に合わせたカスタマイズができることも評価をいただいております」(吉田氏)
ユーザー企業ごとの固有の基盤ではなく共有基盤であることから、このようなカスタマイズをしてもコストを抑えるとともに、他社で発生したアラートやリスクに基づいた提案が行えることも強みとなっている。
「今後も、高レベルなセキュリティ対策でありつつ、お客様の負荷が軽くなるようなサービスの提供により注力していきます。安心・安全な社会の実現のためにも、ぜひパロアルトネットワークス社と一緒にこれからも新しいセキュリティのあり方を考え、実現していきたいですね」と、中山氏は今後の展望を力強く語った。
[PR]提供:パロアルトネットワークス