クラウド環境における資産管理の難しさ
河浦氏主に資産管理パッケージソフトウェア「NetInsight」や情報漏洩防止ソリューション「秘文」シリーズ製品のパッケージソフトウェアの開発に携わり、現在はパブリッククラウドのセキュリティ維持や運用支援を行う「クラウドワークロードセキュリティサービス」の企画開発に携わっています。
昨今、企業のIT環境ではオンプレミスからクラウドへの移行が一気に進んでいる印象があります。IT資産管理の視点で、その流れをどう捉えていますか。
河浦氏大きく変わってきたと思います。従来は、IT機器に資産番号を付けて管理するなど物理的資産が対象でしたが、その手法がクラウド化によって通用しなくなってきています。仮想環境の資産管理は、資産管理ソフトウェアのエージェントをインストールするなどが一般的です。しかし、急いでIT環境を準備する必要に迫られパブリッククラウドを使うケースも多く、資産管理が追いつかない場合、管理されないまま放置されてしまう「野良クラウド」が出現してしまいます。
昨今はDXに対応すべく新しいビジネスを早く立ち上げ、IT環境も早く用意しないといけない状況です。クラウド利用のリスクが高まっているのでしょうか。
河浦氏たしかに、DXが進む中、企業でのクラウド利用が急速に増えている印象です。現在は新規サービスのためにクラウドを活用するケースがほとんどで、さまざまなIaaSを適材適所で使うようなマルチクラウドが多いですね。しかし、会社に統一したクラウド利用の方針がないため、それぞれの事業部門が選ぶクラウドサービスを許可せざるを得ず、セキュリティ対策も事業部門任せになってしまっているのが実態のようです。
例えば、事業部門のユーザーが次々に仮想環境を構築してしまうようなことが問題になるのでしょうか。
河浦氏例として、急速な事業展開のためにスピードを優先するあまり、クラウドの管理責任が曖昧なまま契約してしまったりするケースは問題といえます。物理的なIT資産やイントラネットはIT部門が管理しますが、クラウドになると、どの部署が統制管理するのか決まっていないことが多いのです。社内の責任の所在を明確にする前に利用が先行してしまうので管理が遅れてしまい、そのことがさらにマルチクラウド化に拍車を掛けているようですね。
クラウド利用におけるリスク
責任や管理が怪しい状況にこそ、野良クラウドのようなリスクが潜んでいるということですね。
株式会社日立ソリューションズ
セキュリティソリューション本部 セキュリティプロダクト第1部
グループマネージャ 河浦直人氏
河浦氏野良クラウドによって起きる問題は主に3つあります。1点目は、サイバー攻撃によりサービスが停止しても情報セキュリティ管理者が分からないので、企業としての対応や復旧に時間が掛かることです。2点目は、野良クラウドへの不正アクセスによって知らぬ間に重要な情報が盗まれてしまうことです。そして3点目は、野良クラウドが乗っ取られてしまい、別の攻撃の踏み台にされてしまうことです。いずれも会社の信用は失墜しますし、損害賠償問題に発展する恐れもありますが、なかでも3点目が野良クラウドにより起こりやすい状況にあり、特に注意が必要と考えます。
野良クラウドは、クラウドサービスの無償トライアルで作成された環境がそのまま放置されて生じることが多く、ユーザーは手軽に試せる半面、セキュリティも十分ではないことが多いです。つまり、そのまま放置された環境がサイバー攻撃者に乗っ取られてしまうわけです。トライアルなので重要な情報はないかもしれませんが、踏み台になれば自社が加害者になってしまうので、非常に大きなリスクです。
また、クラウドの利用を厳重に統制管理している企業でも、野良クラウドが生まれるケースがあります。例えば、企業買収・合併やグループ会社の統合などで、元々野良クラウドを抱えている会社が管理下に入るケースです。会社によっては申請制度もなかったりするなど、まったく管理されていない状態が見られます。
クラウドを適切に管理できないことで、実際にセキュリティインシデントが発生するケースもあるのでしょうか。
河浦氏まず、よくあるのはシステム構築時のファイアウォールの設定不備です。接続先やIPアドレス、ポートなどの制御が十分ではなく、攻撃を遮断できないケースです。また、システム変更時の設定ミスや、システムメンテナンス時に一時的に通信制御を解除したまま戻し忘れるなどの問題も多いですね。サイバー攻撃者はこうしたミスを効率的に探し出し、数時間で乗っ取ります。従来のようにインターネットからゲートウェイで守られたネットワーク内での設定ミスなら影響は少ないですが、パブリッククラウドの場合は、個々のシステムで設定をミスすると即インターネットに公開されサイバー攻撃の的になってしまう点も大きな違いです。
手作業での管理やセキュリティ対策も現実的ではないように感じます。
河浦氏人手による管理もできますが、やはりクラウド利用の拡大に追いつきません。資産の棚卸しを毎年実施している企業でも、「野良クラウドが増えていく」と聞きます。なにより手間とコストが掛かりすぎます。かといって、利用を制限したり煩雑な手続きを設けたとしても、時間とコストが掛かるばかりでクラウドの利便性が生かせず、事業スピードも落ちてしまいます。統制管理に必要なコストは、大企業では相当な負担になると思います。
「クラウドワークロードセキュリティサービス」のメリット
最近の資産管理ツールはLANに接続された機器も自動検出できますが、クラウドの場合はいかがでしょうか。クラウド上の資産をきちんと把握するためのポイントを教えてください。
河浦氏大きく2つに分けて考えることがポイントになると思います。1つは、会社として契約が把握できていないもの、もう1つは、会社として契約は把握しておりシステム構成も最初は把握していたものの、仮想マシン(VM)が増設されたり構成変更があったことを把握できていないものです。私は、前者を「野良契約」、後者を「野良VM」と呼んでいます。まずはこれら全てを把握することが肝心です。
※クリックすると拡大画像が見られます
ところが、前者の野良契約は、クラウドサービスがHTTPSやSSHなどの暗号化された通信で利用されるという性質上、機械的に把握しづらい側面があります。
当社の「クラウドワークロードセキュリティサービス」は、クラウドサービス事業者から送信されるアカウント発行や請求などに関するメールの情報をもとに、利用状況を把握します(特許出願中)。会社のメールなら、どの部門のどの社員が使っているかを特定できるというメリットもあります。クラウド利用が進む中、厳格な管理によって利用を制限するのではなく、積極的に活用してもらうことが大切だと考えています。そこで手間を掛けずにシステムで自動的に野良契約を見つけ、正規の運用に誘導することで、現場の負担も抑える仕組みにしています。
※クリックすると拡大画像が見られます
また、クラウド上のシステム構成を自動収集、管理することで、日々のセキュリティ運用コストも低減できます。例えば、OSやミドルウェアなどの脆弱性情報や修正パッチが提供されてもシステムの構成を把握していないと、すぐに対応できません。人海戦術で把握しようにも膨大な時間と手間が掛かり、対応が完了するまでセキュリティリスクも高まります。このため「クラウドワークロードセキュリティサービス」ではお客様が利用しているクラウドサービスとAPI連携し、OSパッチ適用状況など、セキュリティ対策状況を自動チェックします。これによりリスクの発見も早くなりますし、セキュリティ運用コストの抑制にもつながります。
野良VMについては、具体的にどのような情報を可視化できるのですか。
河浦氏クラウド上に今現在ある仮想マシンやファイアウォール、データベースなどのリソース情報を可視化できます。さらに、野良VMを見つけるために構成の変更も検知します。また本サービスの特長として、野良VMを利用している部署や担当者も可視化して、事業部門別に管理できるようにしています。部門単位とすることで、情報セキュリティ管理者はメールで事業部門の責任者に対応をうながすことができます。そして事業部門が資産として登録すれば、後は自動的にシステム構成を可視化できますので、結果的に全ての仮想マシンを可視化できるわけです。
※クリックすると拡大画像が見られます
IaaSだけでなくPaaSにも対応しているとのことですが、どのようなものでしょうか。
河浦氏PaaSについては、利用しているアプリケーションを可視化できます。今後、アプリケーションの脆弱性の定期チェックや監視設定といったセキュリティ統制に必要な情報も、可視化できるよう拡張していく予定です。IaaSの場合、OSやソフトウェアの管理をユーザーが行わなければならず、脆弱性対策などに多くの工数が掛かりますが、PaaSの場合、OSの脆弱性対策などをユーザー側で実施する必要もないため、新規のシステムならばPaaSを活用する方が効率もいいでしょう。管理も容易で設定ミスが起こりにくく、セキュリティやコストの改善にもつながります。
クラウドの運用管理を進化させていく
今後のロードマップを教えてください。
ZDNet Japan 編集長 國谷 武史
河浦氏直近では、テンプレートを利用してクラウド導入時から簡単かつ低コストに管理ができる機能の提供を予定しています。テンプレートを活用して、ユーザーはビジネスのスピードを落とすことなく、安全にクラウドを活用できますし、その後の監視も自動的に行えます。また、日々発信されるさまざまなセキュリティ情報と当社のベストプラクティスを活用してIaaSやPaaSのセキュリティ状況を自動的にチェックするような機能も開発中です。こうした機能によって、把握や管理に要する時間やコストを約5分の1に低減することをめざしています。
将来的には、お客様のワークフローシステムと連携してシステム運用の負担をより軽減したり、セキュリティ監視システムと連携して不審な兆候をチェックしたりするなど、「クラウドワークロードセキュリティサービス」でお客様のクラウド運用管理のさらなる効率化をご支援していきたいと考えています。
セキュリティリスクや法規制などにも対応しながら、ビジネスのスピードを落とすことなくクラウドを活用できる環境づくりは本当に大変ですね。
河浦氏ユーザー側に、いかに手間を掛けないようにするかがポイントです。セキュリティが重要とはいえ、クラウド利用時の審査や手続きを重くしすぎると却って未申告のクラウド利用が増え野良化が進んだり、時間とコストが掛かりすぎて事業の機会損失やサービスの競争力低下につながります。だからこそ、自動化により安全性を高めつつ、スピードを上げ、運用コストを下げることが求められます。システムによってビジネスに対するインパクトも違いますから、クラウド特有のさまざまなリスクへ適切に対応できるよう、これからも「クラウドワークロードセキュリティサービス」を進化させていきます。
ありがとうございました。