「マルチクラウド当たり前」の時代に求められる、デコボコのないセキュリティ対策とは?

 今さら「クラウドファースト」と主張するのがはばかられるほど、クラウドは企業システムにとって不可欠な存在になってきた。とかく海外に比べると遅れていると言われてきた日本市場でも確実に採用が広がっている。それも、情報系や手軽なサービスだけでなく、重要な情報を扱う基幹系システムでのクラウド移行が増えてきた。

 背景には、意外なようだが「クラウドの方が、自社で対策するよりセキュリティが強固だ」と考える企業が増えていることが挙げられる。海外では62%の企業がクラウドのセキュリティの方が優れていると考えている。この意識は国内にも及び、総務省の通信利用動向調査では、クラウド採用の理由として「資産・保守体制を社内に持つ必要がないから」といった理由だけでなく、「セキュリティが高くなるから」と回答する企業が25%に上った。

 こうした状況は、オラクルがKPMGと共同で実施した調査「Oracle and KPMG Cloud Threat Report 2018」の結果からも明らかだ。クラウドファーストを志向する企業は87%に上り、何らかの機密データをクラウドで扱っている企業は90%となっている。「これまで言われてきた開発/テスト用だけでなく、本番環境についてもクラウドの本格活用が始まっている」と、日本オラクルの大澤清吾氏(クラウドプラットフォームソリューション統括 Cloud Platformビジネス推進本部シニアマネジャー)は述べる。

 一方で調査からは、いくつかの課題も浮かび上がってきた。ほぼ全ての企業がクラウド利用に当たって何らかのポリシーやルールを定めているが、「回答企業の82%が、社員が実際にそれらのポリシーを守っているかどうかを懸念している」というのだ。ルールはあるが、それが遵守されているかどうかはまた別の話。過去にオンプレミスで繰り返されてきた課題が、クラウド時代になってもまたつきまとっている。

 さらに、回答企業の38%は今後の課題として、「クラウドでのセキュリティインシデントの検出」を挙げている。WannaCryの被害でも明らかになったが、セキュリティと安定したIT運用が切っても切れない関係になっていることを背景に、監視し検知する仕組みや体制作りが課題となっている。


※クリックすると拡大画像が見られます

ハイブリッドクラウド、マルチクラウドを前提としたセキュリティ対策の必要性

 最近、国内ではオンプレミスとクラウドを組み合わせたハイブリッドクラウド環境を採用するケースが多い。加えて、働き方改革の一環として、クラウドサービスを組み合わせたテレワークに取り組む企業も増えている。それにともない、従来はいったん自社データセンターに集約していた社員のリモートアクセスを、自宅や外出先から直接、インターネットにアクセスできる形にして、コストや帯域を節約するのは理にかなった話だ。

 だが、「こうなると、ネットワークという意味で内と外との区別がなくなる。内側を介さず、外から外にダイレクトにアクセスするパターンが増えてくるが、そうするとオンプレミスには一切触れていないのに、クラウドをまたがって攻撃し、情報を盗むパターンも増えていく」(大澤氏)

 こうした状況を踏まえ、「クラウドファーストにともなって、守らなければいけないシステムも増えている。ハイブリッドクラウド、マルチクラウドを前提に、セキュリティをどう高めるかが課題だ」と大澤氏は述べる。

 クラウド事業者側もこうしたニーズを踏まえ、アカウント監視やログ管理といった機能を追加し、クラウド上のセキュリティ運用を手助けし始めている。だからこそ、先に紹介した調査のように、セキュリティの高さを理由にクラウドを選択する企業が増えてきているわけだが、それでも問題は残る。単一のクラウドだけ利用しているうちはいいが、複数のIaaSやPaaS、SaaSを組み合わせた「マルチクラウド環境」で単一のポリシーを適用しようとすると困難がつきまとうのだ。

 事実、マルチクラウドという「鎖」を構成するサービスのうち、最も弱い「輪」から侵入し、芋づる式に侵入して被害が発生した事件もある。米国の著名なWebサービスでは、開発者になりすましてソースコード共有サービス「GitHub」上にアクセスし、そこに保存されていた資格情報を盗み出してAmazon Web Services(AWS)にログインし、大量の顧客情報が漏洩してしまった。

 「各社が提供する機能は、1社のサービスだけを使うなら完結できるが、マルチクラウドに対応できるわけではなく、実際にやろうとするとコストも工数もかかる。AWSやMicrosoft Azure、Oracle Cloud Infrastructure(Oracle Cloud)といったIaaS、Office 365、Salesforce、Box、Slack、GitHubなどのSaaS、それにオンプレミスへまたがり、横串で見ていく仕組みが重要になる」と大澤氏は説明した。

適切に管理できているか、今何が起きているかを横串で把握する「Oracle Identity SOC」

提供:日本オラクル株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2018年7月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]