前回の記事では、Cloudbase の 2 年間の歩みをご紹介させていただきましたが、今回からはクラウドセキュリティについて皆様と一緒に考えていきたいと思います。
クラウドセキュリティと聞くと、守りのイメージを思い浮かべるかもしれませんが、実はスピーディな企業経営を行うための「攻め」の要素として必要不可欠であるという点をご紹介します。また、クラウド特有の具体的なリスクや、対策の要点についても触れていきます。
●現代のスピーディな企業経営を実現するためのクラウドセキュリティ
AWS や Microsoft Azure, Google Cloud などのパブリッククラウド(以下クラウド)の隆盛によりクラウドセキュリティの話題は増加の一途をたどっていますが、セキュリティの世界の潮流の中で、クラウドセキュリティがどのような位置づけになっているのか、ここから考えていきたいと思います。
前提として、セキュリティの本質的な部分は変わらず、クラウドセキュリティにおいても従来のデータセンターで行っていたサーバーセキュリティの延長線上に位置付けられています。しかし一方で、現代の働き方や企業経営のスピードの変化によって重要性が高まっているとも考えられます。
例えば、ここ数年で注目されているゼロトラストセキュリティは、働き方の変化に対応するために生まれたものです。これまでのオフィス業務に限定されず、自宅やカフェなど様々な場所で働けるようになったことで、場所を問わず端末を認証してセキュリティを確保する必要が出てきました。これがゼロトラストセキュリティの重要な役割です。
また、ゼロトラストの普及に伴い、エンドポイントにおけるリスク検出・対応(EDR)の必要性が高まった件についてはご存知の方も多いと思います。従来は社内ネットワークの監視のみで済んでいたものが、リモートワークの普及により個別の端末の監視と対応が求められるようになったのです。
今回のメインテーマである、クラウドセキュリティも同じ変革の文脈の中にあると言えます。スピードを担保した事業推進を実現するために、クラウドの利活用が企業経営の重要な役割を果たします。従来のインフラ管理では、データセンターを用意してサーバーを購入し、担当者に運用を任せながらアプリケーションをデプロイする方法が取られており、ここで今挙げたものはインフラの専門家の仕事とされていました。
しかし、クラウドの登場により大きな変化が起きました。これまで専門家が中心となって行っていた作業は、アプリケーション開発者やソフトウェアエンジニアも対応することが可能になったのです。
クラウドを使用する際には、サーバーを用意したり SSD を購入したりする必要はなく、細かなネットワークケーブルの接続も不要です。アプリケーションのエンジニアがコンソールを操作するだけでデプロイが可能となり、すぐに動作するものが用意できます。その結果、スピードが格段に向上しました。
この大きな変化に伴い、クラウド特有のセキュリティリスクも増加しています。クラウドAPI やインターネット上での操作が可能となったことで、アクセス権の漏洩や S3バケットの公開設定ミスによる情報漏洩などのリスクが生じています。こうしたリスクに対応するため、クラウドセキュリティの重要性は一層高まっています。
一方で、クラウドの安全性を担保しながら事業推進をするためには、全てを厳格に管理するのではなく、まずはスピードを重視しつつ、リスクに対して素早く対応していくことがポイントです。オンプレミスの場合は、インフラチームが全てを管理し設定を制限していますが、クラウドを利用する際には各チームが独自にクラウド基盤を管理し、迅速に対応できる体制が求められます。
結論として、ゼロトラストの考え方や付随するエンドポイントセキュリティと同じく、クラウドセキュリティは現代の働き方や経営のスピードへ対応するために必要不可欠な要素となってきました。自由なクラウド利用を推進しつつ、適切なセキュリティ対策を実施することが、企業の安心できるクラウドの利活用や、スピーディな企業経営につながります。今後もクラウドセキュリティはますます重要性が高まっていくでしょう。
●クラウド特有のリスクに目を向ける
次に、クラウドにはどのようなリスクがあるのか、考えていきたいと思います。
パブリッククラウドの利用にはクラウド特有のリスクと、オンプレミス時代からも存在している普遍的なリスクがあります。
まず、クラウド特有のリスクをいくつか見ていきましょう。クラウド利用に伴って、インターネットに API やログイン画面が公開されているケースが多くあります。従来は社内ネットワーク内でのみアクセスが可能だったものも、クラウド環境ではインターネット経由で外部からの攻撃ができるような仕組みになっています。攻撃者目線でいうと、企業におけるアタックサーフェスが増加したとも言えます。
クラウドには API が存在し、そのほとんどがインターネット経由でアクセスすることが可能です。例えば、クラウド上で使用しているアクセスキーが漏洩し、GitHub などのソースコードに混入してアップロードされると、外部から API を通じてクラウド環境の操作が行われる可能性があります。その結果、情報漏洩が発生するというインシデントが多発しています。
また、クラウド利用の中でも、AWS の S3 などのストレージサービスでは、設定ミスによりストレージ内の情報が全世界に公開されるリスクがあります。従来のオンプレミス環境では、ファイアウォールが存在し、外部からの通信をある程度制御することでリスクを低減できましたが、クラウドではストレージの設定ミス 1 つで、直接情報漏洩につながるケースがあるのです。オンプレミス環境と比較して、多層防御がなされていない場合がある、という点が構造的な特徴として存在していると言えます。
さらに、クラウド上では IAM(Identity and Access Management)が基本的に API を通じてどこからでもアクセスすることが可能です。そのため、例えば誤ってユーザーを 1 人追加してしまうと、その 1 つの設定変更ミスが全体に影響を及ぼします。
S3 と同様に、IAM も多層防御がなされていない場合、1 つの設定変更ミスで情報漏洩や侵入のリスクが急増します。この点を考慮すると、IAM のリスクも非常に大きいと捉えることができるでしょう。
次に以前から存在している、クラウド特有ではないリスクについてご紹介します。従来のサーバーのファイアウォール設定、ネットワークセキュリティ設定、WAF の設定、アプリケーションの構築や開発、サーバー設定などは、オンプレミス環境と同様のアプローチで対応可能です。
一方で考えるべきポイントは、インフラに触れる関係者の増加です。クラウドの普及により、サーバーの立ち上げやアプリケーションのデプロイが容易になったため、これまでインフラの専門家が監視していた設定変更を各チームが担う機会が増えました。その結果、インフラの専門知識が不足している状態でサーバーの設定が行われ、不適切な設定が増加していることが考えられます。
過去のオンプレミス時代においては、同様のエラーが発生しても専門家が介在して対処することができていましたが、クラウド環境へ移行したことでインフラ担当者の数が大幅に増加し、結果として多くのインシデントが発生しています。
このように、クラウド環境における特有のリスクや、クラウドの利活用に関わるステークホルダーの変化を理解し、適切なセキュリティ対策を講じることが重要です。クラウド特有のリスクには特に注意を払い、設定ミスやアクセスキーの管理を徹底することが求められます。従来から存在するリスクについても、必ずしもインフラのプロでない担当者がクラウドの利用をしていく中で、適切に対応していくことが肝要です。
●クラウドセキュリティは「運用」が全て
スピーディな企業経営を支えるクラウド利用。それを更に支えるクラウドセキュリティ。
スピーディかつ安全な企業経営を実現するために、実際にクラウドセキュリティに取り組むに当たって重要な点を考えていきましょう。表題の通り、クラウドセキュリティは「運用」が全てと言っても過言ではありません。
一般的に、クラウドセキュリティ製品は CIS ベンチマークや NIST のフレームワークを始めとしたコンプライアンス規定に基づいて、クラウド上のリスクを網羅的に検知できます。しかし、実際に対策をする上で多くの企業が直面する問題は、数多く検知されるリスクに対して、人的リソースや知見が限られている中でどのようにリスクマネジメントをしていくのか、という「運用」に関する悩みです。リスクの検知は、クラウドセキュリティにおける氷山の一角に過ぎないのです。
運用の中でも、特に大きな課題として挙げられるのは「リスクを見つけるだけではなく、直す必要があること」「セキュリティ部・インフラ部だけではなく、事業部のクラウド利用者にも協力してもらう必要があること」「クラウドセキュリティに精通している人材は非常に限られていること」といったポイントです。
端的に申し上げると、「一般的に、社内の多くの関係者がクラウドセキュリティの専門家ではない中で、ゴールであるリスクの解決まで運用を成立させる必要がある」ということです。
そのためには、リスクを検出するだけではなく、その情報をどのように関係者へ伝えるのか、どのように理解するのか、そしてどのように解決するのかといった、一連のフローの構築が必要です。
まず始めに、あるリスクが検知された際には、そのリスクに対して関係者が理解ができるような追加情報やドキュメントが存在することが重要です。また、一般的にクラウド上のリスクは数千~数万件以上発生するため、全てを対策することは実質不可能に近いです。そのため、他のリスクとの組み合わせから攻撃経路の存在などを複合的に勘案して、対策すべき緊急度の高いリスクをトリアージしていくことが必要です。
外部の製品を導入する場合には、サポートの品質にも目を向けたいところです。クラウドやセキュリティに詳しくない担当者がリスクを直し切るためには、製品だけでなくリスク解決のためのラストワンマイルである技術的な相談が必ず発生するためです。
リスクを発見するだけでなく、多くのステークホルダーの中で、リスクを理解し、トリアージし、リスク解決までのサイクルを回していきましょう。
