クラウドの利用にあたり、セキュリティ面において懸念や顕在的な課題を抱えている企業は多い。

　具体的には、クラウドのセキュリティの設定ミスや管理の徹底、各種ガイドラインなどへの遵守などが挙げられる。

　そこで、伊藤忠テクノソリューションズ（以下、CTC）のクラウドセキュリティの匠こと萩原氏と山本氏に、クラウド活用におけるセキュリティの主要な課題と、有効な解決策について伺ってみた。

• 萩原聡
• 伊藤忠テクノソリューションズ株式会社
• サイバーセキュリティサービス部　ソリューション課　課長
• 2003年より、セキュリティの製品主管業務に従事
• 2014年より、セキュリティのプリセールス・導入に従事
• 2021年（現在）、セキュリティソリューション/サービスの企画・開発・推進、プリセールス、構築を担当
• 山本高弘
• 伊藤忠テクノソリューションズ株式会社
• サイバーセキュリティサービス部　ソリューション課
• 2019年よりセキュリティ製品のプリセールス・導入に従事
• 2021年（現在）、主にネットワーク、クラウド領域のセキュリティ対策について提案・検討から導入支援までを担当

▼目次
・クラウドセキュリティの課題
・クラウドセキュリティの課題対策
・クラウドの設定ミスを招いている要因、管理が徹底できていない要因
・IaaSの設定ミスを抑制、管理を徹底するCSPMとは

1. クラウドセキュリティの課題

　クラウドを活用する企業が抱えるセキュリティの課題や要求事項について尋ねてみた。

Q1-1. クラウドにおけるセキュリティの課題や要求事項とは？

萩原　特に重要となるのが次の5つです。

• サービス利用状況の可視化、制御
• クラウド上のデータ可視化、保護
• ワークロード保護
• マルチクラウド環境でのガバナンス徹底
• 透過的なセキュリティ

Q1-2. 5つの課題のうち、セキュリティ対策の要となるのはどれですか？

萩原　「サービス利用状況の可視化・制御」と「クラウド上のデータ可視化・保護」です。

　これ等は保護対象資産の特定とリスク評価に通じるもので、この2つがしっかりできていないと、そもそも何を守ればいいのか、システムや情報資産をどのように守っていくのか、対策の優先度が決められず、その先の対応につながりません。

Q1-3. ワークロード保護とは？

萩原　ワークロードの保護とは、システムやアプリケーションの実行環境となるワークロードをどのように守るか、という課題です。

　オンプレミス環境で実施していたサーバの保護に加えて、クラウド上ではコンテナやサーバレスといったクラウド環境固有のワークロードもあります。そうしたワークロードに対して、対策を講じていく必要があります。

Q1-4. マルチクラウド環境でのガバナンス徹底とは？

萩原　マルチクラウド環境でのガバナンス徹底とは、複数のIaaSを組み合わせたマルチクラウド活用が増えている中で、個々のサービス環境ごとに個別のセキュリティ対策やルールを実装するのではなく、すべての環境を横断的に一元的に管理していく仕組みの必要性を示しています。

Q1-5. 透過的なセキュリティとは？

萩原　透過的なセキュリティとは、利用者側に必要以上のセキュリティ対策を意識させない取り組みです。

　セキュリティ対策は重要ですが、そのために利用者に対して、対応事項や禁止事項といった要求が増えてしまうと、クラウドシフトで得られるスピード感やビジネスメリットが失われてしまいます。

　そこで、利用者に大きな負担や制約をかけることなく、セキュリティを実装していく、どんな使い方をしてもセキュリティを担保していく、ゼロトラストの概念を取り入れた対策が必要となります。

　ゼロトラストセキュリティを実現する上で、何から取り組めばよいかについては、以下が参考になると思います。是非ご覧ください。

2. クラウドセキュリティの課題対策

　クラウドセキュリティの課題に対して有効な解決策について尋ねてみた。

Q2-1. クラウドセキュリティの課題に対する有効なソリューションとは？

山本　いま注目されている3つのソリューションがあります。

• CSPM（Cloud Security Posture Management）
• IaaSの設定や利用状況を可視化し管理するソリューション
• マルチクラウド環境においても、一元的な可視化とマネジメントを提供する
• CWPP（Cloud Workload Protection Platform）
• コンテナやサーバレス等のクラウドネイティブなサービスに対応したワークロード保護のソリューション
• マルチクラウド環境はもちろん、最近ではオンプレミス環境とクラウド環境の両方を使うハイブリッドクラウド環境でも、統合した保護を提供する
• SDP（Software Defined Perimeter）、ZTNA（Zero-Trust Network Access）
• ネットワーク部分のアクセス制御やマイクロセグメンテーションなどに必要なソリューション
• SSPM（SaaS Security Posture Management）
• SaaSアプリケーションに対して設定不備の可視化や監査を行うソリューション
• 日常的にアップデートが行われるSaaSアプリケーションに対して、継続的に設定不備の監視を提供する

　特に注目されているソリューションが CSPMです。

Q2-2. CSPMが注目されている理由とは？

山本　理由の一つとして、IaaSの設定ミスによる情報漏洩のリスクが増えてきていることが挙げられます。

Q2-3. 具体的には、どのようなリスクが増えているのか？

山本　ネットワークやストレージに関する設定ミスに起因する情報漏洩リスクが増えています。

3. クラウドの設定ミスを招く要因、管理を徹底できていない要因

　米国ベライゾン社は、AWSのS3で公開する範囲を間違えてしまい、1400万件もの個人情報が流出させた。

　また、調査会社のガートナーは、2025年までに発生するクラウドのセキュリティに関するインシデントの99%が、利用者側の設定ミスや使い方の問題によるものだと予測している。

　そこで、クラウドの設定ミスを招く要因、或いは管理を手低出来ていない要因について尋ねてみた。

Q3-1. クラウドの設定ミスの発生、管理が徹底できていない背景とは？

萩原　クラウド環境の責任共有モデルを確認してみましょう。

　図のように、IaaS環境では、これまでのオンプレミス環境で行ってきたセキュリティ対策の延長線上にある保護対象の他にも、緑で示している部分への対応が必要になります。

　IaaS環境では、ネットワーク設定や通信制御設定にアカウント管理など、ユーザ側に責任のある範囲に対して、固有の実装が求められています。

Q3-2. IaaS環境の管理課題とは？

萩原　IaaSの設定管理に関して、大きく3つの課題があります。

• 環境変化のスピードについていけない
• IaaSでは、オンプレミス環境とは比べ物にならないほど容易にサーバの追加やネットワーク構成を変更することができる。このため、現状の構成や設定を正確に把握するのが困難になっている
• 設定状況が適切かどうかの判断基準がない
• IaaSやパブリッククラウドでは、数多くの設定項目があり、更新も頻繁なので、運用者がすべての設定を把握して的確な状態に維持していくのが難しくなっている
• 部門個別利用に伴うガバナンス低下
• 全社管理部門で一元的に管理していたオンプレミス環境とは違い、クラウドサービスについては各部門などが個別に契約して使っていく例が増えている。そうなると、情報システム部門やセキュリティ対策部門で、個別のクラウドアカウントの利用状況を把握できなくなる。とはいえ、ルールを強要しても形骸化する心配もあり、利便性とセキュリティ対策をどのように折り合いをつけていくのかが、課題となる

4. IaaSの設定ミスを抑制、管理を徹底するCSPMとは

　CSPMとはCloud Security Posture Managementの略で、IaaSの設定や利用状況を一元的に可視化して管理するソリューションを指すことが、前述の山本の解説から理解できた。さらに、CSPMの特徴と期待できる効果について尋ねてみた。

Q4-1. CSPMの特徴とは？

山本　CSPMの特徴は主に2点です。

• API連携によりクラウド側の設定や構成情報を自動的に収集し、設定ミスや各種ガイドラインへの違反がないかを継続的にチェックできる
• クラウドサービスを利用する際のベストプラクティスがチェックルールとしてあらかじめ用意されており、利用者へより安全な利用方法を提示する

　CSPMに該当する機能は、アマゾン ウェブ サービスやMicrosoft Azureなどにおいても用意されていますが、管理対象がサービスごとに閉じているので、マルチクラウドへの一元的なセキュリティ対応を考えると、個別に対策するのではなく、サードパーティが提供しているソリューションの利用が適していると考えます。

Q4-2. IaaSの設定や管理を徹底する上で、CSPMに期待できる効果とは？

山本　CSPM（Cloud Security Posture Management）になります。前述したIaaS設定管理の3つの課題に対し、CSPMは次のような効果を期待できます。

• 課題①「環境変化のスピードについていけない」に対して期待できる効果
• CSPMを導入すると、ほぼリアルタイムでの自動診断と可視化ができる
• 課題②「設定状況が適切かどうかの判断基準がない」に対して期待できる効果
• 各種ガイドラインやベストプラクティスに基づいた対策、リスク評価ができる
• 代表的なガイドラインのCIS(Center of Internet Security)ベンチマークやPCI DSS（Payment Card Industry Data Security Standard）、ISO27001等で要求されている対応事項が、サービスの一部としてあらかじめ実装されていますし、ガイドライン側の更新に合わせて随時更新も行われていくため、利用者が一からガイドラインを集めたり、維持メンテナンスに手間をかけたりすることなく、容易に利用できる
• 課題③「部門個別利用に伴うガバナンス低下」に対して期待できる効果
• マルチクラウド/アカウント環境下でも全社統一基準に基づく一元管理の実現により解決できる

　この他に、下記の効果も期待できます。

• 継続的なモニタリングと維持運用プロセスの実現によるセキュリティ対策が可能となる
• 運用においても、API方式でデータを取得するため、既存システムやユーザ利便性への影響は無く、利用者側の理解も期待できる

Q4-3. CSPMの代表的なサービスとは？

山本　代表的な製品やサービスには、次のようなものがあります。

• Palo Alto Networks社
• Prisma Cloud
• CheckPoint社
• CloudGuard Cloud Security Posture Management
• （CloudGuard Dome9）
• Skyhigh Security社
• Skyhigh for CSPM

Q4-4. IaaSの設定や管理を徹底する上で、CTCが支援できることは？

萩原　各CSPMソリューションは基本的な機能こそ大きく変わりませんが、それぞれの強みや特性があります。

　CTCでは社内での評価検証やお客様への提案・導入を通じて各社ソリューションに関する様な情報を収集していますので、数多くあるCSPMソリューションの中から、お客様に最適なソリューションをご提案できると考えています。

　また、CSPMを導入していただければ、一定の可視化や対策の検討につながると思います。しかし、そこで得られた情報をどのように把握するか、実際の対策にどのように結びつけていくか、そういった点で弊社に蓄積されているクラウドおよびセキュリティ分野の知見がお役に立てると思います。

Q4-5. 支援内容とは？

萩原　代表例を挙げると、IaaS環境の設定や利用状況を第三者視点で評価し、潜在リスクの可視化、対策方針の計画策定を支援するサービスを提供しています。

　具体的には、認証/アカウント管理、ロギング/監視、 仮想マシン、ネットワーク、 ストレージ、データベースなどを評価して、システムの依存関係やアカウントの利用状況/権限を可視化します。

　また、国際的なガイドラインへの適合状況を評価するお手伝いもできます。

　対象となるマルチクラウドは、AWS/Azure/GCPとなります。

　ツールと弊社のノウハウを組み合わせることで、お客様の課題解決につながると考えています。

まとめ

　クラウド活用におけるセキュリティの課題と要求事項は、以下の5点となる。

• サービス利用状況の可視化、制御
• クラウド上のデータ可視化、保護
• ワークロード保護
• マルチクラウド環境でのガバナンス徹底
• 透過的なセキュリティ

　これらの課題に対して、CTCではCSPM(Cloud Security Posture Management)の導入を提案している。

　その導入効果は、以下になる。

• リアルタイムでの自動診断と可視化
• 継続的なモニタリング、維持運用プロセスの実現
• 各種ガイドラインやベストプラクティスに基づいた対策、リスク評価
• マルチクラウド、アカウント環境下においても、全社統一基準に基づく一元管理の実現
• API方式でユーザーへの影響は皆無

　今後もCTCでは、IaaS環境の設定や利用状況を第三者視点で評価し、潜在リスクの可視化に対策方針と計画策定を支援していく。