クラウドベースセキュリティの落とし穴：クラウドベースセキュリティのススメ【後編】

セキュリティインフラをクラウド化するクラウドベースセキュリティには多くのメリットがあるが、もちろん万能ではない。クラウドベースセキュリティの注意点とは何か。

[Aaron Tan，Computer Weekly]

　前編（Computer Weekly日本語版　5月8日号掲載）では、クラウドベースのセキュリティサービス（以下、クラウドベースセキュリティ）のメリットと7つのポイントを紹介した。

　後編では、クラウドベースセキュリティが適用できない場合の代替案と、クラウドベースセキュリティの落とし穴について解説する。

マネージドセキュリティサービス

　場合によっては、クラウドベースセキュリティを管理できないこともある。専門知識やリソースが不足していたり、サイバーセキュリティプログラムをカスタマイズする必要があったりする場合だ。

　それにはセキュリティプロバイダーが提供するマネージドセキュリティサービス（MSS）が解決策になるかもしれない。MSSで提供されるサービスには脅威の検出と対応、セキュリティテスト、予防的な脅威ハンティング、デジタルフォレンジック調査などがあり、必要に応じてスケーリングされる。

　Singtel（Singapore Telecommunications）の子会社TrustwaveでMSS部門のシニアバイスプレジデントを務めるクリス・シューラー氏は次のように話す。「財政面でも時間の点でも、MSSと同レベルのセキュリティインフラの構築とメンテナンスができる企業はあるとしてもごくわずかだ。大抵の企業には実現不可能だろう」

　シューラー氏によると、企業は特に人材の不足が原因でMSSを検討するという。MSSは通常、高度なスキルを備えたセキュリティ専門家のチームによって提供される。

　「企業は、サイバー犯罪者と同じ手段を用いて犯罪者に対抗する必要があることを認識しつつある。つまりサイバー犯罪者の戦術や脆弱（ぜいじゃく）性を悪用する方法について優れた見識を持つ倫理的なハッカー、脅威ハンター、デジタルフォレンジック調査員の力を借りようとしている」（シューラー氏）

　「企業が幸運にもこのような専門家を採用できたとしても、常に待遇の良い誘いがあるので引き留めるのはますます難しくなっている。企業は難しい状況に置かれる。1人の専門家が退職するだけでセキュリティプログラム全体が機能しなくなる恐れがある。MSSならば専門家のサポートを得て、必要に応じてスケールを変えることもできる」（シューラー氏）

　だがMSSはインシデント対応やデータの管理をサードパーティーと共同で行うため、費用がかさむ可能性があるとIDCのピフ氏は注意を促す。

関連記事

• クラウドベースセキュリティの落とし穴
• コンテナとDevOpsに求められるセキュリティ
• AIを生かしたインテリジェントなセキュリティ対策
• セキュリティの未来を担うID・アクセス管理
• 境界防御を捨てよ！　ペリメータレスセキュリティの第一歩

落とし穴と統合の課題

　クラウドベースセキュリティにはメリットがある。そのサービスは、セキュリティプロバイダーによって更新される。IDCのピフ氏によると、システムをほとんどまたは全くカスタマイズしなければ、こうした更新は問題にならないという。だが企業は独自のニーズを満たすためにカスタマイズを試みることが多く、それが問題になる恐れがある。

　現状、クラウドは最も効率の良いデータセンター運用モデルであり、IDCによるとこの認識を変える技術が出現する気配はない。ただしオンプレミスのセキュリティインフラに戻す際に問題が生じる可能性を考えておくべきだ。

　「知識やスキルを全てクラウドプロバイダーに外部委託すると、サービスをオンプレミスに戻す必要が生じたときにスキル不足に陥ることになる。価格の変動が激しいことにも常に目を向けておく必要がある」

　クラウドベースセキュリティをオンプレミスのセキュリティシステムに統合する場合も課題が生まれる。Symantecのカニンガム氏は、クラウドベースセキュリティの多くはオンプレミスのSIEM製品やサービスオーケストレーション製品と統合する機能を提供すると言う。

　だが本当に必要なのはセキュリティ共有モデルだと話すのは、Fortinetでパブリッククラウドを全世界で販売する部門のディレクターを務めるブルース・オルソン氏だ。

　ローカルネットワークで利用可能なツールと同様のサービスをクラウドで提供するセキュリティベンダーが増えている。製品を一つのセットに標準化することで複雑さを減らし、一貫性のある単一のセキュリティ体制を確立できる。

　「こうしたツールはローカルかクラウドかを問わず、一つの管理インタフェースで監視／管理され、脅威インテリジェンスの収集や関連付けを促し、全体的なセキュリティポリシーの追跡や調整を可能にする」（オルソン氏）

　SaaSの場合、クラウドアクセスセキュリティブローカー（CASB）を導入するよう、オルソン氏は企業にアドバイスする。CASBはオンプレミスにもクラウドにも導入でき、クラウドユーザーとクラウドプロバイダーの間にセキュリティポリシーの適用ポイントを確立する。そしてクラウドに移動するデータの検査と保護を可能にする。

　「SaaSの利用増に伴い、一貫性のあるセキュリティポリシーをユーザーレベルで適用する必要性が高まっている。クラウドベースセキュリティは、SaaSが生成するものも含め、全ての発信トラフィックを監視する境界ファイアウォールのセキュリティ管理を統合しなければならない」（オルソン氏）

　これにより、企業はクラウドとオンプレミスのセキュリティポリシーにおいて統合されたビューを実現し、インシデント対応管理用のフィードとワークフローを得ることができる。

　CSA APACはVPN（仮想プライベートネットワーク）の代わりにソフトウェア定義境界（SDP：Software Defined Perimeter）アーキテクチャを導入することも推奨している。

　「SDPは、従来のVPN製品が抱えていたオールオアナッシングのアクセス制御といった制限を克服しつつ、メッセージの機密性と完全性というVPNのメリットを実現する」というのがCSA APACの見解だ。

　「企業はSDPを利用することで、ポリシー主導の集中管理型ネットワークセキュリティを導入し、攻撃対象領域を減らしながら、オンプレミスインフラ、クラウドインフラ、そして全ユーザーを保護することも可能になる」