用途に合わせて最適なサービスを使い分ける狙いで採用されたマルチクラウド戦略が、かえって管理コストの増加や脆弱性の発生を招く場合がある。マルチクラウド戦略を見直し、インフラ管理を簡素化するには。
マルチクラウドインフラの乱立が、セキュリティリスクの増大やガバナンスの複雑化、運用担当者の疲弊を招いている。本来コスト削減やベンダーロックインの回避を目的に導入されたマルチクラウドインフラは、セキュリティ侵害事件や、ログや監視が統一されないツールの乱立といった“副作用”を引き起こしている。
本稿は、CIO(最高情報責任者)が策定・運用するマルチクラウド戦略に潜むリスクと、その緩和策を説明する。
サイバーセキュリティは、企業経営にとって最重要課題の一つだ。
AI(人工知能)技術を活用した開発やイノベーション競争が激化する中で、企業はあらゆるAIサービスやクラウドサービスの検討や導入を迫られている。その結果として、ユーザー企業内のマルチクラウドインフラの複雑性が増している。オンプレミスからクラウドにシステムを移行させる過程で、成熟していないITプロセスやサイバーセキュリティ体制の問題は、さらに顕在化する。
マルチクラウドインフラのガバナンスやリスク管理に取り組む一環として、特に対処すべき領域は以下の通りだ。
マルチクラウドインフラで、単一のネットワークの出入り口に集中したセキュリティ対策やデータ制御は機能しない。クラウドインフラはインターネットからアクセス可能で、クラウドサービスやサーバに異なるアクセス権限が設定されている場合がある。クラウドサービスそれぞれに専門知識が求められることも留意しておくべきだ。例えば「Amazon Web Services」(AWS)のエンジニアがGoogleの「Google Cloud」に精通しているとは限らない。複数のクラウドサービスの仕組みを理解する人材が不足していると、承認されていないクラウドサービスの利用を把握することはほぼ不可能になる。
クラウドサービスを利用すると、ネットワークではなく「ID」がセキュリティの境界になる。マルチクラウドインフラの場合は同一人物でも、複数のIDやアクセスポリシー、ロール、権限を管理する必要が生じる。IDを集中管理せず、クラウドサービスごとに分断して管理していると、誰がどんな権限を持っているのか把握できなくなり、内部不正や過剰な権限が生まれやすくなる。
セキュリティツールは、全てのクラウドサービスで利用可能なわけではない。その結果、必要なセキュリティ機能をクラウドサービスに適用できなくなったり、複数のツールを導入せざるを得なくなったりする。これは非効率であるだけでなく、脆弱性の増加にもつながる。クラウドベンダーごとにサービス提供時のセキュリティの水準が異なる場合もある。ユーザー企業はデータの暗号化やログ取得、自社ポリシーの適用のプロセスを標準化していないと、SIEM(Security Information and Event Management)などのセキュリティツールを適切に調整するための負荷が増大する。
複数のクラウドサービスを管理することで各サービスの可視性が低下し、全てのインフラを横断したフォレンジック分析やログの相関分析が困難になる。さらにユーザー企業と複数のクラウドベンダーの間でセキュリティの責任範囲が一貫していない場合は、脅威の封じ込めは一層難しくなる。
クラウドサービスで発生した障害が、自社への罰金につながる可能性がある。規制当局は、データの所在地やデータサプライチェーンの保護、AIガバナンスに対する監視を今後厳しくする可能性がある。複数のクラウドサービスを利用すれば、その分監視対象となるシステムは増える。
かつてマルチクラウド戦略は、ベンダーロックインを回避し、クラウドサービスの利用料金に関する交渉力を高める手段として有効だった。特に仮想マシン(VM)サービスやストレージサービスを利用する段階では、このアプローチはうまく機能していた。しかし現在、AI(人工知能)技術の台頭により、クラウド市場は大きく変化している。さまざまなクラウドベンダーが、AIモデルやAIエージェントをサービスとして提供するようになったが、これらのツールの仕様は標準化が進んでいない。その結果、IT部門やサイバーセキュリティチームには、日常業務を回しながらクラウドサービスごとに異なる新たなスキルを習得するという負荷が生じている。
各クラウドサービスが固有のスキルを要求するため、IT担当者が取得すべきスキルと既に取得しているスキルのギャップは拡大する。セキュリティエンジニアやクラウドエンジニアが、3つ以上のクラウドサービス全てで深い専門性を維持することは現実的ではない。それにもかかわらず、多くの組織は限られた人材を分散配置し続け、結果として十分な成果を上げられていない。効率化を目指したはずの取り組みが、かえって運用の非効率を招くケースもある。監視対象のクラウドサービスが増えるほど、平均検知時間(MTTD)や平均対応時間(MTTR)は延びる。ある問題への対処に時間を取られている間に、別の問題が連鎖的に発生することがあるためだ。
マルチクラウドインフラを管理するチームは常に複数のクラウドサービスを監視し、問題対応に追われるため、ワークライフバランスを保ちにくく、バーンアウト(燃え尽き症候群)や離職率の上昇につながりやすい。
クラウドインフラのシンプル化は、必ずしも単一クラウドへの集約を意味するわけではない。重要なのは、クラウドプロバイダーごとに「許容される利用範囲」を明確に定義することだ。ユーザー企業が目指すべきは「利用中のクラウドサービスの数を減らすこと」ではなく、「利用パターンを減らすこと」だ。選択肢を完全に排除するのではなく、システムの構造やデータの流れを合理化する必要がある。
クラウドサービスを選ぶ前に、用途ごとのクラウドサービスの利用方法を定義して、一貫した運用をするのがよい。例えば医療分野を手掛けるユーザー企業は、医療データはHIPAA(米国医療保険の相互運用性と説明責任に関する法令)に準拠したセキュリティ制御を備えるクラウドサービス「A」のみで扱う。一方で個人識別情報や決済情報、保護対象保健情報(PHI)を扱わない業務システムは、クラウドサービス「B」に配置する。このようにユースケースを明確にしておけば、誤ってプロバイダーBでPHIが検出された場合にも、不正利用の監視や是正が容易になる。
中核となるシステムへの集約も重要だ。ストレージやVMといった汎用的なサービスは、複数のクラウドサービスに分散させず、利用するサービスやベンダーを絞り込む。その上で前述のように明確な価値を提供する場合にのみ、業種特化型のクラウドサービスを選択すればよい。
サイバーセキュリティの観点では、IAMの集中管理が不可欠だ。シングルサインオン(SSO)を中核とした一元管理のID戦略に移行し、多要素認証(MFA)やゼロトラスト、ログ設定の統一といったセキュリティ対策を徹底する。
CIOとCISO(最高情報セキュリティ責任者)は連携し、組織全体でクラウドサービスの簡素化戦略を構築しなければならない。「何でもあり」の利用を許すのではなく、用途に基づいたガードレールを設定することが不可欠だ。マルチクラウド戦略を見直し、クラウドインフラの簡素化に向けてすべきことは以下の通りだ。
社内にどのようなクラウドサービスが、どの程度の規模で存在しているのかを把握する。利用中のクラウドサービスやアプリケーションやデータフロー、ツールを洗い出して可視化する。未承認のクラウドサービスを特定し、正式に承認する、または利用を止めるための業務フローを整備する。
追加投資なしで実現可能な範囲を見極める。クラウドインフラで実際に稼働しているサイバーセキュリティツールを把握し、法規制の要件やビジネスの要件を満たすクラウドサービスを選ぶ。サイバー攻撃の対象領域を縮小するため、ビジネス価値を生まないワークロードを整理、削減する。
ストレージやVM、ネットワーク、データベースなどの汎用的なクラウドサービスは単一のIaaS(Infrastructure as a Service)に集約してコストを固定化する。
クラウドサービス管理の効率を最大化し、従業員のバーンアウトを抑制するために、事業部門とIT部門が連携して、クラウドとAI技術のセンター・オブ・エクセレンス(CoE:全社横断型の中核的な専門組織)を設立する。クラウドインフラをアプリケーションごとに「一点物」として扱うのではなく、再利用可能なクラウドアーキテクチャのパターンを構築する。
一貫性を確保するため、可能な限りクラウド管理ツールを1つに集約する。クラウドインフラの設定ミスや脆弱性を自動的に検知して修復するCSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)を導入して継続的監視を実行し、IDのプロビジョニングと管理は自動化する。役割ベースのアクセス制御(RBAC)とSSOは、可能な限り全てのインフラで適用すべきだ。
クラウドサービスのシステム障害が事業に影響を及ぼさないよう、特定のクラウドサービスに依存しない標準化されたレファレンスアーキテクチャを策定し、文書化する。フェイルオーバーや事業継続、平常状態への復旧プロセスを定義し、定期的に訓練を実施する。
取締役会が理解できる言葉で成果を伝えることが重要だ。クラウドサービスごとの用途を明確に提示して、導入をスムーズに進められるようにする。クラウドサービスの厳選によって、どのくらいのツールや人員、利用料金が削減できるかを試算して明示する。
利用するクラウドサービスを絞り込むことは、全てのサービスを統制可能にし、サイバー攻撃の対象となる領域を縮小することにつながる。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
