編集部からのお知らせ
オススメ記事選集PDF:MAツールのいま
「これからの企業IT」の記事はこちら

マルチクラウド環境におけるセキュリティ強化のポイント、国内企業で導入が進む最新ソリューションと活用事例

企業でクラウドサービスの利用が加速するのに伴い、複数のクラウドサービスを併用したマルチクラウド環境におけるセキュリティやITガバナンスをいかにして確立・強化するかが緊急課題として浮上してきた。これにどのようなアプローチで臨むべきか、また具体的なソリューションとして何が利用でき、先行企業はどのような成果を得ているのか──国内企業における事例を基に、デロイト トーマツ リスクサービスの西誉氏と日本オラクルの大澤清吾氏が解説する。

クラウドファースト時代のセキュリティ対策のポイントとは?

デロイト トーマツ リスクサービスの西誉氏
デロイト トーマツ リスクサービスの西誉氏

 日本におけるデロイト・トウシュ・トーマツのサイバーリスクコンサルティング領域を担う企業として、サイバーセキュリティやITガバナンス、事業継続管理などに関する多くの知見とノウハウ、実績を基に、企業のリスク管理を支援しているデロイト トーマツ リスクサービス。同社で企業のITガバナンス管理を支援している西氏は、「近年、クラウドの利用に伴うセキュリティ対策などのリスク管理に関して、第三者の視点からアドバイスを求められるケースが増えています」と話す。

 「自民党が毎年発表している2030年の近未来政府に関する提言『デジタル・ニッポン』の中で、省庁などの共通ITインフラに関して“クラウドファースト”が謳われるなど、今日ではクラウドありきで検討することが主流となっています。加えて、現在はAIや自動化機構の活用が注目されており、セキュリティ対策の中でもこれらの有効利用を検討していくことが今後は重要なポイントになるでしょう」(西氏)

 実際に現在、国内企業の多くがさまざまなクラウドサービスを併用するマルチクラウドを推進しているが、そうした状況でセキュリティやガバナンスの強化を図る際には、クラウドサービスの採用に関する基準やルールを制定しておくことが肝要だ。例えば、米国立標準技術研究所(National Institute of Standards and Technology:NIST)が策定したガイドラインに基づく「Cyber Security Framework」では、クラウドを利用する際のセキュリティ上の検討事項がまとめられており、この中でクラウド環境に付加すべき機能として「特定」、「防御」、「検知」、「対応」、「復旧」の5つが規定されている。

 「まず資産を“特定”し、それに対してリスクアセスメントを行い、リスクの度合いに応じて“防御”や“検知”の対策を講じます。ただし、防御だけで最新の攻撃を防ぐことはできないため、何かインシデントが起きた際の“対応”のルールや手続きを整え、さらに“復旧”させることを前提にルールを作ります。この考え方は、クラウドに限らず、広くサイバーセキュリティへの対応を検討する際の参考になるでしょう」(西氏)

多くの企業がコンプライアンス対応を優先し、次いでマルチクラウド環境におけるアクセス管理、シャドーIT対策を実施

 実際にクラウドサービスを使う際にどのような対応を行うかについては、NISTの関連機関としてサイバーセキュリティを扱う非営利団体Center for Internet Security(CIS)が策定したベンチマーク「CIS Benchmark」が参考になる。同ベンチマークは米国政府がベンダー各社の製品やクラウドサービスを利用する中で確立したベストプラクティスを体系化したものであり、この中で各社のクラウドサービスを使う際のセキュリティ要件やチェック項目、推奨設定などをまとめている。


※クリックすると拡大画像が見られます

 西氏は、これらのフレームワークも活用して企業がクラウドセキュリティ対策を講じる際には“リスクベース”のアプローチをとるのが現実的だと西氏は指摘する。

 「利用するクラウド環境に対してリスクアセスメントを実施し、想定される脅威に対して全ての対策を講じるのではなく、それぞれのリスクの度合いに応じてどこまで対策し、どこまでのリスクを許容するかを検討して対策を打つという考え方が広まりつつあります。」(西氏)

 また、クラウド利用におけるリスク対策のモデルとして、西氏は3段構えで対応する「スリーラインオブディフェンス」のアプローチを推奨する。

 「まず第1の防御線である『リスク対応』として、対策や運用手順などを整備します。そして、第2の防御線となる『リスク管理』として定期的なリスクアセスメントを実施し、その時点でのリスクを把握して対応状況をモニタリングします。第3の防御線は『内部監査』であり、当事者では評価できない領域について、外部の視点を入れながらリスク管理/対応を総合的に強化していくことが重要です」(西氏)

 なお、実際にクラウドセキュリティ対策を講じる企業の多くは、まずコンプライアンス対応に最優先で取り組むケースが多いという。その後、自社の環境を踏まえて個々のリスクへの対策を講じるが、「認証・アクセス制御・管理を行うIdentity as a Service(IDaaS)に最優先で対応し、続いてシャドーITの検出、マルチクラウド環境の利用状況やセキュリティ脅威を可視化するテクノロジーであるCloud Access Security Broker(CASB)の活用を検討。さらにその他の仕組みを段階的に導入してセキュリティやガバナンスを強化していくという流れが一般的」だと西氏。その中で、複数のクラウドサービスから収集した膨大なログを管理するSecurity information and event Management(SIEM)ツール、潜在的な脅威を効果的に発見するAI・機械学習テクノロジー、迅速な対応を実現する自動化テクノロジーの活用を検討する企業が増えているという。


※クリックすると拡大画像が見られます
提供:日本オラクル株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2018年12月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]