「クラウド上にある我が社のシステムは安全なのか」
本連載では、CISOやセキュリティ プロフェッショナルからさらに社内で問い合わせを受ける、社内のクラウド活用推進部隊を救援するべく、マイクロソフトのセキュリティソリューションを中心にソリューションの解説を行います。クラウドセキュリティの文脈で、各回ワンポイントで設定したテーマに沿った内容をお届けします。主なトピックとして、CSPM, CWPP, CIEM, SIEM, SOAR, XDR/EDRなどセキュリティにおいてホットな分野を分かりやすく解説します。
これからクラウドの標準化を進める企業、標準化されたクラウドに対してセキュリティを強化していく必要がある企業の責任者および担当者に最適です。
本連載をきっかけにセキュリティのトップガン(エキスパート)を目指しましょう!
ビジネスを支えるクラウドIT環境の 3 要素(People, Process, Solution)
【People】CCoE発足の初日(1 日目)からセキュリティ担当に活躍の場を与える
クラウド化に伴い、組織の中でCCoE(Cloud Center of Exellence) と呼ばれるチームを設置する企業が増えています。主な役割は、クラウド化を推進することにあり、全社横断型のチームであることが特徴です。成果の例として、クラウド利用時の標準ガイドラインを設定し、社内へ情報発信を行っていくことで、クラウド活用が進んだといった事例があります。
この活動は多くの企業に広がっており、素晴らしい実績を残しています。一方で問題となっているのは、セキュリティの専門家がCCoEチームにいない、もしくはセキュリティの専門家が社内にいてもクラウド活用の経験が乏しい点です。
セキュリティ人材の獲得に頭を悩ませる経営層が多いと聞く昨今の状況を鑑みると、セキュリティに対する意識は持っていたとしても、実際の活動へ反映されていないケースが想定できます。セキュリティ専門家レベルの人材がいない場合は、社内から選抜して育てることも一案でしょう。もちろんスキルアップのために、トレーニングや資格取得の投資が必要となります。そこまでしてセキュリティ人材を配置する必要がある理由は、セキュリティが予め組織の一部として組み込まれていることが重要であるからです。クラウド化の推進と並行して、CCoEをはじめとした組織を徐々に作り上げていく段階では、チームメンバーが一緒に「走りながら考える」ことになります。そこで育まれる一種の哲学のようなものは、持続可能な組織の中核を担うことになるでしょう。スキルは後からでも習得できますが、考え方を醸成することは簡単ではありません。
Azure 用の Microsoft クラウド導入フレームワーク
【Process】5 週間先を見据えるのではなく 5 年先まで対応可能なセキュリティ態勢を導入する
持続可能な組織を目指す上で、セキュリティは必要不可欠な存在です。どれ位の持続期間を目指してセキュリティの検討を進めるべきでしょうか。この問いに対する正解はありませんが、明確な誤りは分かっています。それは、5 週間先のことを考えてしまうことです。ここでは、5 週間先ではなく、5 年先のことを見据えたセキュリティ態勢を考えることを提案していきたいと思います。
システムのクラウド化を進める場合、移行のための設計・開発は数か月で完了させることが可能です。この移行検討段階では、プロジェクトの期間を気にしてしまい、つい 5 週間先のことを考えて、運用面の課題などを後回しにしてしまいがちです。セキュリティ運用のよくある課題例として、システムの権限周りやセキュリティアラートの対応が挙げられます。クラウド化されたシステムの運用は 5 年間以上続くことが一般的であるため、5 週間先ではなく 5 年先のことを念頭に進めるべきでしょう。
一方で、時間のかけ過ぎによってクラウド化によってもたらされる目標が未達のままとなってしまうことは避けたいため、スモールスタートを行い、実績を積み上げていく形を一連のプロセスとして確立しておくことが重要となります。纏めると、5 年間のクラウド移行戦略の策定、四半期ごとの成果指標を満たすための優先度付け、段階的なセキュリティ強化を行うロードマップが必要です。
【Solution】ビルドインされたソリューションで網羅性 100% を目指す
マイクロソフトが実現するマルチクラウドにおける包括的な保護
持続可能なセキュリティ導入プロセスを5年間で考える場合、セキュリティ機器やサービスの網羅性についてチェックするべきでしょう。例えば、Azure や AWS, GCP などマルチクラウドに対応可能か、脅威の検出にインテリジェントな機械学習アルゴリズムを使用しているか、業界標準の規制コンプライアンス(ISO 27001 など)、ベンチマーク(CISなど)の対応が可能か、防御策が有効であることを明示的にスコアとして確認可能か、脅威を分類するフレームワーク(MITREなど)を使用可能かといった点が挙げられます。
更に、それらが全てビルドインされていることが重要です。長期的に段階的なセキュリティ強化を行う際に、途中で製品(プロダクト)を調達する手間、既存のソリューションへ統合する手間を省くことが可能であるためです。
包括的なセキュリティソリューションがあれば、複数の製品(プロダクト)を組み合わせた時に生じる隙間(脆弱性)、各製品に対する評価、学習、運用コストの低減につながります。
今回のポイントのおさらい:「クラウド化に潜む不正を防止するための 3 要素」
- 【People】 CCoE発足の初日(1 日目)からセキュリティ担当に活躍の場を与える
- 【Process】 5 週間先を見据えるのではなく 5 年先まで対応可能なセキュリティ態勢を導入する
- 【Solution】 ビルドインされたソリューションで網羅性 100% を目指す
次回以降の連載では、各回ワンポイントで設定したセキュリティのテーマに沿った内容をお届けします。
最後まで読んでいただきありがとうございました。
クラウド & ソリューション事業本部セキュリティ統括本部
セキュリティ第一技術営業本部
村田 裕昭 経歴:
マイクロソフトで 10 年間、お客様の成功を第一の目的とし、マイクロソフト セキュリティ ソリューションの訴求活動と導入を行う。直近の一年間は、 50 社のエンタープライズ顧客へ、各企業に寄り添う形でゼロトラスト戦略を推進。コンサルタントとして、Microsoft 365 による DX のグローバル導入(1 億円規模)から、セキュリティインシデント対応・再発防止について、顧客プロジェクトとして IT 部門と同じ立場で支援した経験があり、顧客の実態に即したアドバイスができることを強みとする。
