コロナ禍をきっかけとした業務の最適化やDXの推進等により、企業のネットワークは規模や業態に依らずマルチクラウドへの対応が喫緊の課題となっている。そのため、さまざまなクラウドプロパイダーを理解した専門家の配置や対応できる組織を整えてゆく必要がある。このような状況においてセキュリティの専門家は何をすべきなのだろうか。
本稿では、SANS Instituteが発行しているホワイトペーパー「Cloud Security Foundations, Frameworks, and Beyond」を参考に解説する。
ホワイトペーパーについて
SANS Instituteは、米国に拠点を持つサイバーセキュリティの専門機関で、教育研修や資格試験のほか実にさまざまな活動を行なっており、これからご紹介するホワイトペーパーもその活動の一部である。こちらでダウンロードできるほか、毎月数本のホワイトペーパーがダウンロードできる(要SANSアカウント、アカウント登録は無料)ので、ぜひ継続的に参照してほしい。
ホワイトペーパー解説:クラウドセキュリティの現在と今後の展望
本ホワイトペーパーでは、全体を通してクラウドセキュリティの現在と今後の展望についてまとめられており、簡単にそれぞれのチャプターを紹介する。
チャプター1:「ゼロトラスト」
さまざまなシステムやデータに対して適切なレベルのセキュリティを確保しつつアクセシビリティを確保する手段の1つとしてゼロトラストが提唱されてから時間が経過した。ゼロトラストという用語がひとり歩きしている感は否めないが、データの保護という観点では明らかに意味のあるアプローチと言える。
しかしながら、企業においてはシステム構成やネットワークなどの設計思想は千差万別であることから、魔法のようなソリューションを導入することでセキュリティの課題が全て解決するものではなく、自らを変えるために検討を進めなければならない。本チャプターでは、ゼロトラストに対する本質的な問いかけから、さまざまな評価指標に基づくゼロトラストへの移行戦略についてベストプラクティスが提供されている。
チャプター2:「クラウドセキュリティの管理」
企業において、年々パブリッククラウドの導入と拡大が進められている状況においては、クラウドセキュリティの管理や潜在的な脅威も増大する。また、さまざまなクラウドサービスが導入されるのに伴い、セキュリティ担当者は主要なクラウドプロバイダーの知識だけではなく、クラウド環境のセキュリティ状況を評価するためのプロセスやセキュリティ活動のベストプラクティス、クラウドに対する脅威や防御方法も習得しなければならない。
このように、多くのチャレンジが求められる領域ではあるが、クラウドセキュリティの機能や管理方法は継続的に改善されているため、セキュリティ専門家は学ぶべきポイントを絞って学び、クラウドの専門家と協力して考えるべきであろう。本チャプターでは、クラウドセキュリティの押さえておくべき内容が簡潔にまとめられている。
チャプター3:「クラウドセキュリティの未来」
さまざまなクラウドセキュリティを有効化したとしても、セキュリティインシデントは予期しないところで発生する可能性がある。そのような事態に整然と対応するためには、従前から言われているインシデントレスポンスの仕組みを構築し運用することであるが、ここでは組織内においてセキュリティのガバナンス機能をもたせることの重要性についても言及している。
本チャプターではクラウドセキュリティの未来についても取り上げており。ベンダーニュートラルなクラウドの保護プロセスの作成や、管理領域毎にセキュリティソリューションをマッピングしたプレイブックの作成を提案しているほかサプライチェーン攻撃やサードパーティコンポーネントの利用など、組織がクラウドで防御すべき新たな脅威についても解説している。
チャプター4:「クラウドへの移行に対する誤解」
クラウドコンピューティングや、スケーラブルで柔軟なコンピューティング活動を行えることからIT業界に革命をもたらしたが、クラウドに対する誤解から投資をためらう組織は少なくない。その誤解や懸念の1つとして、パブリッククラウドにおいてデータやアプリケーションの安全性が低下するのではないかというものがある。
また、コスト面においても誤解を抱いている可能性がある。本チャプターでは、クラウドコンピューティングに対する様々な誤解や懸念について、具体的に説明するとともに、クラウドからオンプレミスへの回帰シナリオを交えながらクラウドとセキュリティの専門家が意思決定するための材料を提供しているほか、クラウドセキュリティに取り組む際の戦略についても言及している。
まとめ:クラウドセキュリティに取り組むには
オンプレミスの環境からパブリッククラウドへ移行する際に、多くの組織でセキュリティ上の懸念やコストの問題が障壁になったことは珍しくないだろう。
また、特定のベンダーに依存することへの不安感があったことも否定できない。しかしながら、現在のパブリッククラウドは、AmazonのAWS、GoogleのGCP、マイクロソフトのAzureを代表としてさまざまなクラウドプロバイダーが登場しているほか、これらを利用したサービスによる相互接続が可能となっている。
また、それぞれのクラウドプロバイダーが認定する資格保持者もクロスプラットフォームで認定されている方も珍しくないと聞く。未知の存在であったパブリッククラウドは過去のものとなり、組織が実現したいセキュリティを実現するための選択肢の1つとして、これらのパブリッククラウドが存在するという見方が妥当であろう。
また、オンプレミスと同等以上のセキュリティがパブリッククラウドで実現できる状況においては、クラウドの導入や移行の段階から歩を進めて、セキュリティ戦略やガバナンス機能を持たせることも重要であると考える。
これまでは、クラウドの専門家はクラウドの領域、セキュリティの専門家はセキュリティの領域のみをカバーする体勢であったものが、今後はクラウドも交えたセキュリティ活動を推進するため、お互いの専門領域をレビューする環境創りが重要ではないだろうか。
<関連資料> SANS Institute ホワイトペーパー
「Cloud Security Foundations, Frameworks, and Beyond」
※アカウント登録後、ダウンロード可