米国連邦政府は、将来に向けた連邦IT調達改革法(FITARA法)を改正するに当たり、連邦政府のもと各政府機関が米国民に重要な資源を提供する方法を改善する法令(Performance Enhancement Reform Act:PDF)の議論を続けています。米国救済計画法を通じたITモダナイゼーションに対する10憶ドルの投資など、デジタル変革とITインフラストラクチャーへの多額の投資が行われています。これには、高まりつつあるクラウド、特にマルチクラウド環境への移行が含まれています。このことから、9月1日にデジタル庁が発足する日本が学べることについて、前回紹介した米Veeam Softwareで戦略担当を担い、日本のシステム障害にも知見を持つシニアディレクター リック・バノーバー(Rick Vanover)とともに俯瞰してみましょう。
多くの場合、マルチクラウドは政府機関にとってスマートなアプローチです。なぜなら、IT管理者が、予定されている業務に適したクラウドプラットフォームとIT環境を選択できるからです。そしてこれは、理論的には政府の取り組みを進めるのに理想的な議論でもあります。その一方で、不十分なセキュリティプラクティスあるいは一貫性のないセキュリティポリシーを増大させる危険性を伴うのも事実です。
マルチクラウド環境が適切に管理、確保されていない場合、セキュリティリスクとその影響を各クラウド環境にわたって追跡することは困難です。その結果、脆弱性がもたらされ、リスクの深刻度が高まり、サイバー事件からの回復が複雑になります。
近年、仮想化やクラウドを中心テーマに研究を重ねるVanoverによれば、政府機関は、マルチクラウドに安全なアプローチを実装するために、適切な対策を講じる必要があります。その第一歩には、標準的なセキュリティプラクティスの一貫した適用、強力なデータ保護戦略の実行、定期的なトレーニングおよびセキュリティに対する意識を向上させる教育的な取り組みの継続が挙げられます。
一貫性のあるセキュリティプラクティス
米国連邦政府全体の観点で、マルチクラウドのセキュリティを促進させるためには、まず基本となる強力なサイバーセキュリティプラクティスおよび本連載で繰り返し述べているデジタル衛生管理に着手する必要があります。
いかなる形でもセキュリティの抜け穴が生じてしまえば、それは複数のクラウド環境で拡大するばかりです。暗号化、多要素認証、データバックアップといった基本的なプラクティスの標準化は当り前と思われがちですが、実際には多くの場合で、一貫した実行がなされていません。本連載で述べているこの一貫性こそが、複数のクラウドを採用している政府機関にとって最も重要なのです。
一貫性を保たなければならないのは、プラクティスのみならず、職員の意識も同様です。政府機関の職員はマルチクラウドのメリットを認識しているかもしれませんが、セキュリティが果たす役目やそれを維持する自身の役割についてはこれから学ぶ必要があります。つまり、個人所有のデバイスを政府の仕事に使用することや、不十分なパスワード使用といったセキュリティプラクティスが、いかにマルチクラウド環境を阻止し、サイバー犯罪者に付け入る隙を与えてしまうかを認識しなければならないのです。