企業や組織のクラウド利用が広がる中で、ベンダーが提供するセキュリティ対策機能も「クラウドファースト」に変化し始めている。そのような動きをとるベンダーの1つであるマカフィーに、クラウドセキュリティの方向性を聞いた。
大まかにクラウドセキュリティの領域は、SaaSなど一般従業員らが中心になるところと、IaaSなどIT部門が中心となるところに分かれるだろう。前者では、アカウント情報の適切な管理といった基本的な対策、後者ではオンプレミスと同様の多層防御が重要になる。まず前者の領域で統合化の動きが始まった。
マカフィー セールスエンジニアリング本部長の櫻井秀光氏は、その背景にインターネットやマルチデバイスを前提にしたアプリケーションやデータの利用拡大があると指摘する。例えば、在宅勤務で自宅からPCやスマートフォンでウェブのビデオ会議に参加し、出席者らと、Office 365やG Suite上にあるExcelファイルやスプレッドシートを画面で共有しながら議論するといった具合だろう。一方で同社の調査では、2016~2018年にかけて組織がクラウド環境で1カ月に被る侵害は増加し続けているという。
ここでのセキュリティ対策は、アカウント情報の保護や多要素認証、情報共有ページのリンクの漏えいの防止といった基本的なもので、これにPCやスマートフォンなどデバイス側のウイルス対策などと、必要に応じてVPN接続などネットワーク側の対策を組み合わせる。ただ、対策手法の一部は、従来のオンプレミス環境を前提にしているため、クラウドサービスの利用を前提とした対策としては一貫性に欠く。
2019年に米Gartnerは、クラウドを安全に利用するためのセキュリティフレームワークとして「Secure Access Service Edge(SASE、サッシー)」を提唱した。SASEは、SD-WAN(ソフトウェア定義型の広域ネットワーク)、Cloud Access Security Broker(CASB)、Secure Web Gateway(SGW、セキュリティ機能を加えたクラウドProxyサービス)、データ漏えい防止(DLP)、クラウドサービス型のファイアウォールやDNSなどの機能から構成される。
これによりSASEが、いわば「クラウドファースト」のセキュリティ対策の全体像になった格好だ。ネットワークとセキュリティそれぞれの分野にまたがることから、SASEに基づく具体的なクラウドセキュリティのソリューションを実現するというのが、統合化の動きになる。
櫻井氏によれば、マカフィーの場合は、2017年にCASBベンダーのSkyhigh Networksを買収し、SkyhighのテクノロジーをプラットフォームとしてこれにSWGやDLPなどを統合することでSASEを具体化しようとしている。
クラウドセキュリティの統合化のイメージ
3月には、「McAfee MVISION Unified Cloud Edge(UCE)」の名称でこのプラットフォームを発表した。「CASBの切り口では1~2年ほど前から大企業を中心に導入を検討するようになり、理解が進んでいると感じる。SASEについてはこれからになるだろう」(櫻井氏)という。UCEの発表と合わせてブラウザー分離技術を手掛けるLight Point Securityの買収も発表、3月31日に完了した。これもUCEに統合される。
SASEに基づく統合プラットフォームを展開する狙いとして櫻井氏は、デバイスや場所を問わず管理が簡素化され、ポリシーを一元的に適用できるメリットがあると話す。例えば、これまでのDLPは社内から社外に出るコンテンツ(機密語句を含む文書など)を保護するもので、クラウド環境でも同じポリシーを適用して重要なコンテンツを保護することが非常に難しかった。SASEに基づくプラットフォームではこれが容易になるという。
Microsoft OneDriveにあるコンテンツでDLPのポリシーを適用したデモ
ただ、SASEの構成要素は多岐にわたるため、単独で提供するベンダーは存在せず、現在は複数のベンダーが統合化戦略でその実現を競う。櫻井氏は、「SASEにはネットワークからとセキュリティからアプローチする流れがあり、われわれはセキュリティからになる。SASEはネットワークアプローチのパートナーと連携して具体化することになる」と話す。
一方、IaaSなどクラウドのITインフラストラクチャーのセキュリティ対策は、オンプレミスと同様に、仮想サーバーやネットワークなどでさまざま対策機能を組み合わせる多層防御型になる。現在は、これにコンテナーのセキュリティ対策が加わろうとしている。
マカフィーは、2019年にアプリケーションセキュリティを手掛けるNanoSecを買収した。同社では「MVISION」と呼ぶセキュリティ基盤を、エンドポイント(PCなど)とクラウドで展開し、さらにクラウドではUCEとインフラの2つの領域で展開する。NanoSecは、MVISIONのクラウドにおけるインフラ領域のソリューションに当たる。
この領域を担当するサイバー戦略室 シニアセキュリティアドバイザーの佐々木弘志氏は、ウォーターフォール型のソフトウェア開発では欠陥の修正に多くの時間や工数、費用がかかることから、アジャイル型の開発ではテストを開発工程の前半から行うことこれらを抑制する「シフトレフト」の考え方が必要だと話す。
もともとアジャイル型のソフトウェアは、開発と運用を同時並行的に行う(DevOps)ことで、変更や問題解決などの対応を迅速にできるようにするメリットがある。これに「シフトレフト」のセキュリティ対応の仕組みも取り入れるのが「DevSecOps」になる。
コンテナーは、アジャイル型のソフトウェアのメリットを生かす、いわば稼働環境に当たる。コンテナーは、そのイメージをさまざまなクラウド環境で実行できる柔軟性が大きな特徴になる。現在はオンラインゲームやエンターテイメント、eコマース、FinTechなどで採用が本格化している。
将来のコンテナーは、多くのエンタープライズアプリケーションの実行環境として採用されていく可能性がある。セキュリティベンダーがここに取り組むのは、DevSecOpsとコンテナーのセキュリティを早い段階から醸成しておきたいのが狙いだ。
佐々木氏は、かつて制御系システムのソフトウェア開発を手掛けており、「開発工程の後寄りの品質保証テストで脆弱性を修正するのでは非常にコストがかかり、これより前のフェーズで対応できるようにすべきと感じていた」と話す。アジャイル型の開発手法が広がり出し、ようやくシフトレフトやDevSecOpsの必要性が認識され始めているという。
コンテナーのセキュリティにもフォーカスが当たり始めている
マカフィーが買収したNanoSecの主なソリューションは、コンテナーイメージの脆弱性検査や複数のコンテナー間の不正な通信の監視になる。なお、UCEには、クラウド環境の設定や監査などを担う「クラウドセキュリティポスチャー管理(CSPM)があり、クラウドインフラ領域でもこれを提供していく。現状で同社のクラウドセキュリティは、一般従業員などを対象にするUCEと、インフラ領域では従来の仮想サーバーベースの多層防御に、コンテナーベースの対策が加わった状況だが、将来的にそれらが統合化されていくこともありそうだ。