「第5回:異常事態にどう備え、どう対処するか?」はこちら>
「第6回:突然、セキュリティ担当者に指名されたら?」はこちら>
「第7回:「暗号化」すれば安心?」はこちら>
クラウド選定時の着眼点
「クラウド・バイ・デフォルト原則」は、政府が取り扱う情報システムを構築する際に第一候補としてクラウドサービスの利用を検討する、という方針を示したものですが、民間企業におけるDX推進の際にも参考となる部分が多くあります。
クラウド利用を自社システム(オンプレ環境)と比較すると、平均的には
・セキュリティ対策
・災害(障害)復旧
・業務の効率化
・開発期間の短縮やコストなどの削減
などのメリットがあるとされています。
しかしながら、クラウドを利用したサービスでは、クラウドの障害などに起因してサービスが停止し、復旧に比較的長い時間を要する事態も見られます。クラウド事業者との間で締結されるSLA(Service Level Agreement)に記載されたサービスの定義や範囲、内容、達成目標などには明示されていない、クラウド事業者の回線や電源系統の多重化、セキュリティ対策の内容、データセンターの立地条件や災害対策の内容なども、サービスを選ぶ際には注目していただきたいと思います。
クラウドサービスの選定時には十分な検討が必要です。組織内のシステムや情報資産をすべてクラウド上に移してしまうと、クラウドの障害などによるデータ消失や情報漏えいの可能性があります。障害やサイバー攻撃によりサービスが長時間停止するリスクも想定しておきたいものです。
クラウド事業者は国内外を問わず多数存在し、サービス内容も多様化しています。マルチクラウドやプライベートクラウドをオンプレミスと組み合わせて利用するケースも増えており、利用や構築に要するコストも気になりますが、セキュリティ関連の認証制度に準拠した事業者かどうか、ガイドライン類に沿ったサービスを展開しているかどうかチェックするなどリサーチした上で、サービスを選択することが望ましいと思います。
クラウドの稼働状態はどうなのか?
自社システムも残しつつクラウドを併用するハイブリッドクラウドの利用が、可用性をはじめとするセキュリティ面でのメリットから増加しています。この場合、自社システムとクラウドの双方の監視が必要となるため、SASE(Secure Access Service Edge ※)などを利用したセキュリティ対策も見られます。
※ エンドポイントだけでなくクラウドやモバイル環境、ネットワークの状態などを監視し、可視化・分析により総合的なセキュリティ対策を行うクラウドサービス。
ハイブリッドクラウド環境においては、クラウド上の仮想サーバやアプリケーション・インスタンスなどの死活状況、リソースの使用率などを、クラウド事業者の提供するツールやサービスを利用して監視・可視化し、データを防護するのか(※)、それとも自前で体制を構築して監視するのか、導入前に十分検討しておく必要があります。従業員などが各種Webサイトを利用する場合には、Web リクエストをポリシーと照合して、マルウェアや悪意あるパケットを検知・URL フィルタリングを行うクラウド型プロキシ機能(SWG:Secure Web Gateway)を併せ持つSASEを利用したサービスも提供されています。
※ CASB(Cloud Access Security Broker)。クラウドサービスのセキュリティを一括管理するソリューション。
SASE以外にもSIEM(Security Information and Event Management)、CNAPP(Cloud Native Application Protection Platform)など、さまざまなセキュリティツールやソリューションが提供されていますが、名称に横文字が多く、一見して概念や意味がわかりにくいかもしれません。いずれにせよ「どこで障害が発生したのかがわかるよう、モニタリングする」ことが大切で、検出結果をわかりやすく可視化して提供するクラウドセキュリティ動態管理(CSPM:Cloud Security Posture Management)やクラウドワークロード保護プラットフォーム(CWPP:Cloud Workload Protection Platform)などのサービスも増加しています。なお、前出のCNAPPはCSPMとCWPPの両方の機能を有しています。
SASEを支えるZTNA
第7回で、VPNを用いるだけではセキュリティの確保は難しい、と申し上げました。実際にVPNシステムへのサイバー攻撃が増加した状況などを受け、近年、ファイアウォールなどの外部との接点(境界)でサイバー攻撃を食い止める従来型の防御手法(境界防護)に対し、アクセスのすべての要素を信頼せずつねに検証する「ゼロトラスト」の考え方が台頭してきています。
ZTNA(Zero Trust Network Access)は、「ゼロトラスト」の考え方に即してすべてのアクセスを的確に制御する機能で、さまざまなベンダーが製品やサービスを提供しています。
VPNとは異なり、ZTNAでは最小限のアクセス権限を付与し、接続後も継続的なセキュリティチェックが行われます。パブリッククラウド、マルチクラウド上で最小権限を付与する仕組みはクラウドインフラストラクチャ権限管理(Cloud Infrastructure Entitlement Management)と呼ばれ、権限管理が適切に行われていない場合に生じる「過剰権限」「Shadow Admin」などを悪用した不正や攻撃を防止するために利用されます。
また、アクセス制御に関しても、従来の役割(ロール)ベースや属性ベースのアクセス制御から、アクセス時刻や位置、端末の状況などのきめ細かな情報(コンテキスト)を用いたリスク(コンテキスト)ベースのアクセス制御へと移行しつつあります。
ZTNAには、端末に専用のエージェントをインストールしたエージェントベースや、エージェントの無いサービスベースがあります。また、アプリのアクセス制御に着目したZTAA(Zero Trust Application Access)というサービスもあります。
ゼロトラストの導入時には、一度の認証でシステムを利用できるSSO(Single Sign On)や、その認証情報を管理するIdP(Identify Provider)との連携が必要となります。DX推進の際は、利用する目的や範囲などに応じて、セキュリティベンダーなどの意見を踏まえてサービスを選定していただきたいと思います。
「第9回:サプライチェーンのセキュリティを守るために」はこちら>
羽室英太郎(はむろ えいたろう)
一般財団法人保安通信協会 保安通信部長(元警察庁技術審議官、元奈良県警察本部長)
1958年、京都府生まれ。1983年、警察庁入庁。管区警察局や茨城・石川県警などでも勤務、旧通産省安全保障貿易管理室(戦略物資輸出審査官)、警察大学校警察通信研究センター教授などを経験。1996年に発足した警察庁コンピュータ(ハイテク)犯罪捜査支援プロジェクトや警察庁技術対策課でサイバー犯罪に関する電磁的記録解析や捜査支援などを担当。警察庁サイバーテロ対策技術室長、情報管理課長、情報技術解析課長などを歴任し、2010年12月からは政府の「情報保全に関する検討委員会」における情報保全システムに関する有識者会議の委員も務めた。2019年より現職。著書に『ハイテク犯罪捜査の基礎知識』(立花書房,2000年)、『サイバー犯罪・サイバーテロの攻撃手法と対策』(同,2007年)、『デジタル・フォレンジック概論』(共著:東京法令,2015年)、『サイバーセキュリティ入門:図解×Q&A【第2版】』(慶應義塾大学出版会,2022年)ほか。
『サイバーセキュリティ入門:図解×Q&A』【第2版】
著:羽室英太郎
発行:慶應義塾大学出版会(2022年)
PDF形式のファイルをご覧になるには、Adobe Systems Incorporated (アドビシステムズ社)のAdobe Acrobat Readerが必要です。
