クラウド移行を進める多くの企業が見落としている点とは?
日本マイクロソフト
エンタープライズアーキテクト統括本部
クラウドインフラアーキテクト第二本部 本部長
福原 毅氏
疫病や国際紛争、経済情勢などのさまざまな要因により、激しく変化を続けている市場環境。それに追随するためのビジネス革新に力を入れる企業に不可欠な武器がテクノロジーだ。なかでもAIやIoT、ビッグデータなどの先進手法を手軽に利用でき、高い拡張性を備え、なおかつコスト負担を大きく抑えられるクラウドは、変化に対応していくための最適なテクノロジーだと言える。実際、今日では多くの企業がクラウドを用いてビジネス革新としてのデジタル変革(DX)を推進している。
ただし、DX基盤としてクラウドの活用を進める企業の多くが見落としていることがあると日本マイクロソフトで企業のクラウド活用を支援している福原毅氏(エンタープライズアーキテクト統括本部 クラウドインフラアーキテクト第二本部 本部長)は指摘する。
「システム環境をクラウドに移行すればDXの推進が容易になり、市場の変化への追随性が劇的に向上します。しかし、変化しているのはビジネスだけではありません。企業の重要なビジネス資産であるデータを狙ったサイバー攻撃の手法も日々変化し、巧妙化しています。クラウドに移行するタイミングで、テクノロジーの使い方だけでなくセキュリティへのアプローチも変えていかなければ、ビジネスに大きな損失が及ぶ恐れがあるのです」(福原氏)
DXのためのクラウド移行に取り組む企業は、同時にセキュリティについても変革を進めなければならないということだ。実際、企業ネットワークの外にあるクラウドへとシステムが移れば、ネットワークの境界(内と外)に依存した従来型アプローチでは高いセキュリティを保てなくなる。暗黙的な信頼を前提としない「ゼロトラスト」へとセキュリティアプローチを変革しなければならないだろう。「そのためには、改革への強い意思を持った経営層の下で、ビジネスとIT、セキュリティにかかわる各組織が緊密に連携しながら3つの変革を同時に進めていかなければなりません」と福原氏は強調する。
「激化するセキュリティ脅威に備えよ」は世界的トレンド
「激化するサイバー攻撃に対して、経営層のリーダーシップの下で組織を挙げて対応すべし」という考えは、今や世界的な潮流になりつつある。
例えば、2023年1月にスイスで開催された世界経済フォーラム年次総会(通称:ダボス会議)では、今年のグローバルサイバーセキュリティに関する見通しを示すレポートが公表された。それによれば、組織のリーダーたちの間でサイバー空間の脅威への危機感が高まっており、アンケート回答者の91%が今後2年以内に広範囲に及ぶ破滅的なサイバーイベントが発生する可能性があると考えているという。また、43%が今後2年以内にサイバー攻撃が自分の組織に重大な影響を与える可能性があると回答した※1。
※1 世界経済フォーラム「Experts at Davos 2023 call for a global response to the gathering 'cyber storm'」 「Global Cybersecurity Outlook 2023」より
「さらに、レポートでは組織が脅威に立ち向かうべくセキュリティ重視の文化を築くためには、サイバーセキュリティの情報を経営層やビジネス界にとって重要で測定可能な指標に置き換える共通言語が必要だと提言しています」(福原氏)
この共通言語の1つを挙げるとすれば、やはり「コスト」だろう。実は、この提言が求めるツールの1つが、1月に情報処理推進機構(IPA)によって公開されている。それが「NANBOK※2」 だ。これは企業のIT/セキュリティ担当者が経営層に対して情報セキュリティ対策の予算取りを行うのを支援するExcelベースのツールである。同ツールを使うことで、IPAが昨年8月に公表した「情報セキュリティ10大脅威2022」にランクインしているランサムウェア攻撃や標的型攻撃、サプライチェーン攻撃、テレワーク体制を狙った攻撃、内部不正による情報漏洩などのセキュリティインシデントで想定される脅威シナリオと、それによって被る損害額や損害事項などを簡単に見積もることができる。
「NANBOKを使えば、セキュリティ改革を怠ったままクラウド移行した場合のリスクを確認し、サイバー攻撃を受けた際の損害額まで見積もることができます。それぞれの脅威に対してとりうる対策と有効なソリューション、国内における導入状況まで紹介されているので、情報セキュリティにかかわる方は、一度NANBOKで自社が直面するセキュリティ脅威をコスト換算し、経営層に説明することをお勧めします」(福原氏)
※2 IPA「セキュリティ関連費用の可視化」より
セキュリティには継続的な投資が必要
IPAがセキュリティ担当者を支援するツールとしてNANBOKを公開した狙いの1つは、セキュリティ投資に対する経営層の理解を促進することだと推察される。特に「セキュリティには継続的な投資が必要」だという認識を持つ必要があると福原氏は力を込める。
「情報セキュリティは、一度投資したら終わりではなく、変化し続ける脅威に対応するために継続的な投資が必要です。毎年どれだけの費用をかけるのかを経営層とセキュリティ部門がしっかりと合意して対策を行っていかなければなりません。しかし現状、日本企業は他国と比べてそのような意識が低いと言わざるをえません」(福原氏)
一昨年に発足し、政府機関におけるクラウド活用の旗振り役を務めているデジタル庁は、各機関がクラウドの利用メリットを十分に得られることを目的とする基本方針「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針※3」の「 5)クラウド上で稼働するアプリケーションについて」の中で、旧来の技術を使い続けることの弊害と継続的な改善の必要性を次のように訴えている(以下は同方針からの抜粋/要約)。
- 閉域ネットワークに依存したセキュリティ対策など、旧来の技術/運用を使い続けることは今日のクラウドでは高コストである
- 本番稼働後の運用フェーズも含めて日々改善していくことを前提に予算、体制、スケジュールなどを計画する。クラウドから提供されるサービスのアップデートへの対応についても、通常のアップデートと捉えて日常的に対応していく必要がある
※3 デジタル庁「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」
「政府情報システムのためのセキュリティ評価制度(ISMAP:Information system Security Management and Assessment Program) 」の認定を受けたパブリッククラウドとしてMicrosoft Azureを提供するマイクロソフトも、デジタル庁が示す方針と同様の考え方でセキュリティに取り組んできたと福原氏は強調する。
「どのようなIT資産も、最盛期を過ぎれば古くなります。ビジネスを健全に保つには、それらのIT資産を計画的かつ定期的に更新していくことが必要であり、それはセキュリティに関しても同様です。これをしっかりとやらず場当たり的な施策に終始すれば、旧式化したIT環境によってビジネスの俊敏性が損なわれ、刻々と手法が変わるサイバー攻撃によって重大なインシデントが発生する恐れがあります。せっかくクラウドに移行したのに、結局は高コストについてしまうのです」(福原氏)
それを避けるために、セキュリティも含めたIT環境を健全に保つための計画と予算をしっかりと立てることもDXの一部と認識して取り組むよう福原氏はアドバイスする。セキュリティ施策についても、クラウド上の各所にあるIT資産を柔軟かつ安全に活用できるゼロトラストのアプローチに転換。DevSecOpsのセキュアかつアジャイルな開発スタイルを取り入れ、データをはじめとするIT資産を活用してDXを推進していくのだ。
パートナーとともに企業のクラウド活用を包括支援
以上のような考えに基づき、マイクロソフトは現在、パートナーとともにDXのためのクラウド移行やセキュリティ改革を包括的に支援している。マイクロソフトとパートナー各社によるクラウド(Azure)活用支援のポイントは大きく6つあると福原氏は説明する。
「1つは、『クラウド利活用戦略』の策定からご支援していることです。『なぜクラウド/Azureを使うのか』『それがビジネスにどのようなメリットをもたらすのか』 をお客様とともに一から考えて明確にし、ビジネスや既存IT資産、組織体制に最適な戦略の立案をお手伝いします」(福原氏)
実際にいつ、どのワークロードを、どの程度使うのかといった「利用計画の策定」や、クラウド活用を促進するための「推進体制の構築」、社内や企業グループの共通プラットフォームとしてクラウドを使うための「共通基盤構築計画」、必要なガバナンスを効かせながら利用していくための「運用管理/統制計画」の策定も支援している。
「また、クラウド移行に際して、多くの組織がクラウドを使いこなせる人材やパートナー企業の確保に苦労します。そこで、既存社員に対するクラウド活用スキルの移転やパートナー選定などについての計画策定もご支援しています」(福原氏)
ガイドラインや統合セキュリティツールも提供
さらに、マイクロソフトは上記のクラウド活用支援が依拠する各種のガイドラインとして「Azure Architecture Center」「Microsoft Cloud Adoption Framework for Azure(CAF)」「Microsoft Azure Well-Architected Framework(WAF)」などを提供している。
「これらのガイドラインでは、クラウドを用いたシステムのアーキテクチャ設計パターンや、戦略策定から計画立案、準備、クラウド移行、運用管理までを網羅したクラウド活用のベストプラクティス、クラウドで品質の高いシステムを作るための基本原則などを紹介しています。もちろん、セキュリティも極めて重要な要素であり、設計や運用にどう組み込んで安全なシステムを維持していくかが説明されています」(福原氏)
Azureならば、これらのガイドラインに従い、マイクロソフトやパートナー各社の支援を受けながらクラウドの利点を生かしたシステム活用を効果的に推進することができる。繰り返すが、この中で忘れてはならないのが、IT資産のライフサイクル管理にセキュリティをしっかりと組み込み、適切な対策を施すことだ。その際、CAFとWAFに基づくAzureの統合セキュリティツール「Microsoft Defender for Cloud」を使えば、Azureだけでなく、他社のクラウドやオンプレミス環境のセキュリティまで一元的に管理していくことが可能となる。
「Defender for Cloudのようなソリューションを活用することで、最新のアプローチや自動化も取り入れながらセキュリティ管理を高度化および効率化し、システムの安全性を無理なく維持していくことができます。市場の変化に対応していくためのDX基盤としてクラウドの本格的な活用を検討されているお客様は、ぜひクラウド移行の最初の段階でセキュリティも考慮した活用戦略をご検討ください。マイクロソフトとパートナー各社がご支援します」(福原氏)
