第3回は、ゼロトラストセキュリティを考察した。その背景には、テレワークやクラウド活用の広がりで守るべき情報資産とその資産へのアクセスデバイスの分散があると述べたが、特にクラウド利用はコロナ禍であろうとなかろうと市場が拡大することが大きな潮流である。ゼロトラストセキュリティの具体的な導入検討は今後進むはずだ。
しかしながら、日本企業はゼロトラストセキュリティという新たなアーキテクチャへの検討以前、もしくは同時に、クラウドコンピューティングの真の価値とは何かを改めて考え直す必要がありそうだ。
2020年5月のガートナージャパンの発表によれば、日本のクラウドコンピューティング導入率は、平均すると18%という極めて低い調査結果が出ている。本調査はクラウド機能や環境ごとで平均化しており、極端に利用率の低いクラウド機能があったり、集計が分散したりといった点の考慮など、数字の持つ意味の理解に注意を払う必要はあるが、「クラウドの浸透は相当にスローな状況」という評価となっている。
総務省による「令和2年 情報通信白書」では、企業における2019年のクラウド利用状況は64.7%となっている。前年から6ポイント増えており、普及期に入っていると捉えて良いだろう。
しかしながら、平成25年版の情報通信白書では、2012年当時は日米間で1.7倍の格差があり、米国は既に70%を超える導入率であった。今の日本の64.7%という数字は米国の8年前の水準にも至っていないという事になり、「相当にスローな状況」という評価は世界基準から見ると的を射ていると捉えた方が良いだろう。
このような状況の日本ではゼロトラストセキュリティの検討が早急に進むとは考えにくい。今回は日本企業において、何がクラウド導入を躊躇させるのか、その背景と問題点へのアプローチを考察する。
クラウドにはセキュリティ責任共有モデルが存在する
日本企業において、クラウドの浸透がスローであることの背景を考える前に、クラウド利用の特徴である「セキュリティ責任共有モデル」について述べる。セキュリティ責任共有モデルに関しては、クラウドの各提供会社でもその内容が公開されているが、ここではクラウドセキュリティ実現のために国際的に活動する日本クラウドセキュリティアライアンス(CSAジャパン)が公開している「クラウドにおけるセキュリティサービスの効果的な管理のガイドライン」を元にまとめる。
セキュリティ責任共有モデルとは、図1の通り、クラウドでのセキュリティはその責任が提供会社と利用者の間で共有されることを定義付けている。
※クリックすると拡大画像が見られます
IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)とクラウドモデルごとにセキュリティ責任分界点を示し、IaaS、PaaS、SaaSの順に、責任分界点が段階的に上がっていく。
IaaSにおいては、提供会社側の管理が最も少なく、利用者にはそれを補うセキュリティ責任が委ねられる。
SaaSにおいては、利用者側の管理が最も少なく、提供会社が大部分のセキュリティ責任を負う。このようにクラウドを利用する上での、利用者のセキュリティ上の責任範囲と、利用者自身がクラウドを“運転”(管理、運用)しなければならない範囲が明確に定義付けられているのである。