クラウドサービスを守るどころか危険にする「駄目なセキュリティ」とは？：クラウドセキュリティ構築のこつ【後編】

クラウドサービス移行に伴い、ユーザー組織はセキュリティ対策の非効率や高コストといった問題に直面しがちだ。鍵はシンプルに考えることだ。どのような対策が必要なのか。

[Fleur Doidge，TechTarget]

　セキュリティ対策はどのユーザー組織にとっても不可欠だ。セキュリティシステムの構築や運用においては、システムの複雑化や高コストといったさまざまな落とし穴がある。特にクラウドサービスへの移行時にはコストが増大しがちだ。どうすればコストを抑えつつ、シンプルで安全な仕組みを作れるのか。クラウドサービスを危険にさらす可能性のある、やってはいけない対策を踏まえて考えてみよう。

クラウドを危険にする「駄目なセキュリティ」とは？

併せて読みたいお薦め記事

連載：クラウドセキュリティ構築のこつ

• 前編：クラウドセキュリティは「予算オーバーが当たり前」という残念過ぎる現実

そもそもクラウドセキュリティとは

• いまさら聞けない「クラウドセキュリティ」の基礎　機能とその役割は？
• 9割が勘違いしていた「クラウドセキュリティ」基本中の基本とは？

　セキュリティに関して大半の経営者が懸念するのがコストだ。調査会社GigaOmアナリストのアンドリュー・グリーン氏は、システムを安全に利用するために、ある程度の投資は避けられないと指摘する。「強固なセキュリティは攻撃を防ぐだけではなく、コンプライアンス（法令順守）の観点からも欠かせない」（グリーン氏）

　近年、システムをオンプレミスのデータセンターからクラウドサービスに移行する動きが広がっている。その際、既存のセキュリティシステムをそのままクラウドサービスに移すことは賢いことではない。ファイアウォールなどオンプレミスシステムの各種セキュリティ機能の全てをクラウドサービスに移せば、高コストにつながる可能性がある。

　問題になるのは、コストだけではない。ITベンダーKyndrylのセキュリティ担当、クリス・ラブジョイ氏は、「既存（オンプレミス）のセキュリティツールをそのままクラウドサービスに移行すれば、クラウドサービスとうまくかみ合わず、クラウドサービス本来のセキュリティ機能を引き出す上での障壁になりかねない」と説明する。

　もう一つ注意が必要なのは、オンプレミスシステムのセキュリティツールには脆弱（ぜいじゃく）性がある場合があることだ。オンプレミスシステムのセキュリティツールをクラウドサービスに移行すれば、クラウドサービスに脆弱性が持ち込まれる可能性がある。移行時の設定ミスなどによって新たな脆弱性を生み出すリスクもあると考えられる。

　クラウドサービスの利用が一段と広がり、複数のクラウドサービスを利用する「マルチクラウド」や、オンプレミスシステムとクラウドサービスを併用する「ハイブリッドクラウド」といったインフラの利用形態も一般的になりつつある。この状況に対して「マルチクラウドやハイブリッドクラウドになると、インフラが複雑化してコストがかさむ恐れがある他、強固なセキュリティシステムも構築しにくくなる」とグリーン氏は述べる。

　どのような利用形態のインフラでも、セキュリティに関しては「基本の基」を押さえることが重要だ。ラブジョイ氏は基本的な対策の一例として、以下の3つを挙げる。

• MFA（多要素認証）ツールを利用する
• 従業員向けのセキュリティトレーニングを実施する
• 定期的にパッチ（修正プログラム）を適用する

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。