デジタルトランスフォーメーション(DX)の促進を背景に、企業におけるクラウド活用が急速に広がっていますが、クラウド特有のリスクに注意が必要です。前回に続き、KPMGコンサルティング(以下、KPMG)のパートナー、薩摩 貴人と、テナブル・ネットワーク・セキュリティ社(以下、テナブル社)のシニアセキュリティエンジニア、花檀 明伸氏の対談を通じ、セキュリティ担当者やクラウド活用を推進する現場が注意すべきポイントについて解説します。

Q:前回の記事では「クラウド特有のリスクが存在することを理解した上で活用すべき」という話がありました。具体的に、企業の現場ではどのような問題が発生しているのでしょうか。

薩摩:「クラウド活用についてのリスク評価基準がないまま、事業部門が先行して使い始めてしまう」という悩みは、多くの企業から聞こえてきます。設定ミスや不備が発生し、侵害を受けてしまうこともあるため、IT部門としてどこまで、どのように管理していくべきか、の判断が難しいようです。

クラウド利用が進むにつれ、会社のインフラとしてどのように利用されているかを監視する必要が出てくるでしょう。ただ、意識がそこまで達している企業はまだ少なく、KPMGが実施した「サイバーセキュリティサーベイ2022」でも、クラウド環境へのセキュリティ対策を講じている企業は3割に満たないという結果が出ています。

Q:監視に比べ、利用が先行しているようですね。

薩摩:オンプレミスのシステムは、セキュリティも含めしっかりと要件や仕様を決めてから実装する「ウォーターフォール方式」で構築されることが多く、その過程でセキュリティ要件も実装されてきました。これに対しクラウドの世界では、まず作ってみて、試行錯誤しながらブラッシュアップを重ねる「アジャイル」という考え方にシフトしており、それを推進するため、開発側と運用側が一体となって進める「DevOps」というアプローチが取られています。ただ、セキュリティのことを十分に考えないまま、クラウドを活用したサービスをローンチしてしまうことが多く、後から焦って、セキュリティ対策に奔走するケースも少なくありません。

最近では、DevOpsにセキュリティの観点を加え、セキュリティも検証しながら進めていく「DevSecOps」という開発アプローチも登場していますが、そこまでに至る企業はごく少数派だと思われます。クラウドの利便性に着目するあまり、セキュリティの観点を踏まえずにローンチするケースが増えており、懸念しています。

Japanese alt text: KPMG 薩摩

KPMG 薩摩(WeWork丸の内北口で撮影)

Japanese alt text: テナブル社 花檀氏

テナブル社 花檀氏(WeWork丸の内北口で撮影)

花檀氏:オンプレミス環境でもアジャイルやDevOps的な進め方ができればよかったのですが、インフラの特性上、困難でした。従来、少し拡張するだけでも「サーバーのハードウェアを発注し、納品を待って設置する」という流れが必要だったのに対し、クラウドではコンソール上でクリックすれば、3分でインスタンスが立ち上がります。クラウドが提供するテクニカルなアドバンテージが、アジャイルやDevOpsを可能にし、それがビジネスの拡張に寄与しているという形です。

ただ、こういった新しいプラットフォーム特有のセキュリティリスクがあります。クラウドの管理画面でクリックするだけで新しいサーバーが1台立ち上がると説明しましたが、クラウドの管理画面に不正アクセスされたらどのような被害を受けるかわかりません。データを窃取されたり、破壊されたりする可能性もあります。こうしたリスクは、オンプレミス時代には存在しませんでした。クラウドは便利であるがゆえに、攻撃対象となるエリアが格段に広がっているのは事実です。

そこで、ローンチしてからセキュリティを考えるのではなく、その前の構築、開発段階からセキュリティを意識することでレベルを上げていこうとするのがDevSecOpsの考え方です。ただ、開発者も運用者も、セキュリティが業務の中心というわけではなく、セキュリティを意識しながら業務を円滑に進められるようなツールが必要不可欠となります。そうした背景から、CSPM(Cloud Security Posture Management)をはじめとするソリューションが注目を浴びているのだと思います。

自社の責任範囲を認識、ツールの活用で効率的に管理を

Q:日本では情報子会社やシステムインテグレーターにITを委ねる体制が長く続いた結果、クラウド環境においても、「他人任せ」の傾向が根強い印象です。

花檀氏:ソフトウェアの脆弱性は昔からあり、悪用されないように対処する必要性はオンプレミスの時代からありました。それに対処するのも自社の責任でした。ただ、クラウド環境になると、話が少し複雑になってきます。同じソフトウェアでも、OSなど基盤を構成するソフトウェアの脆弱性対応やセキュリティ対策はクラウドサービスを提供するベンダーが担保してくれるので、「よしなにやってください」という考え方はあながち間違いではありません。

一方、DevSecOpsの対象となる、サービスを構成する自社特有のソフトウェアに関しては、オンプレミス環境の時と同様に考えねばなりません。その上、DevOpsの時代になって頻繁に更新が必要になると、セキュリティは「できあがってからチェックする」のではなく、継続的に管理する体制が必要になります。クラウド特有のセキュリティリスクも忘れてはいけません。クラウド上の基盤で誰がどんな操作ができるのか、アクセス管理や構成管理に対するセキュリティ(Identity Vulnerability)も利用者が意識する必要があります。

薩摩:クラウドサービスにおけるこうした話は、「責任共有モデル」という考え方で一般的に定着していると思います。クラウドサービスといってもIaaS、PaaS、SaaSといくつか種類がありますが、それぞれ、ユーザーが責任を持つ範囲とベンダーが責任を持つ範囲をしっかり定め、互いに責任を共有していこうという考え方です。

IaaS、PaaS、SaaS、いずれのサービスにおいても共通するのは、データの責任の所在やデータの責任がユーザーにあるということ。先ほど話が出た管理コンソールへの認証や設定といった部分も、ユーザーの責任となります。
ただ、前述したKPMGの調査「サイバーセキュリティサーベイ2022」 では「責任共有モデルを十分に把握している経営者は少ない」という結果が出ました。本来ならユーザー側が責任を持つべきところまで、クラウドサービスベンダーが責任を持ってくれるのではないか、と誤解されている部分が少なくないのかもしれません。実際には事業者によっても違いがあるため、契約をしっかりと確認し、どこまでが自社の責任範囲かを認識し管理していくことが重要だと感じています。

Japanese alt text: 左から、テナブル社 花檀氏、KPMG 薩摩

左から、テナブル社 花檀氏、KPMG 薩摩(WeWork丸の内北口で撮影)

Q:自社の責任範囲を確認した上で、設定やデータを管理する必要があり、必要に応じて便利なソリューションを活用すべきということですね。

薩摩:クラウドの種類・サービスは多岐にわたり、設定すべき項目は非常に多くなります。その上、社内で利用する部署、従業員が増えてくると、かけ算式に管理すべき項目が増えるわけで、それらすべてを人間が確認するという運用は限界に来ているのではないでしょうか。

次代のビジネスを支えるクラウド環境~セキュリティ対策のポイントは

第3回目は近日中に公開予定です。

お問合せ