ニューリジェンセキュリティのコンサルタントの安田良明です。
日本では、2020年1月15日に新型コロナウイルス感染症が発生してから、働き方やビジネスモデルにより大きな変化が起こりました。在宅勤務の導入は多くの組織で普通になり、今後もいつ発生するかわからない脅威に迅速に対応することを前提として、出社しない勤務形態を基本の働き方に変更しています。これは、パンデミックや自然災害などの予測困難な外的要因に適切に対処するために、組織が強靭さや柔軟性を持つ必要があるからです。強靭さや柔軟性を備えている組織は、DXを推進することで、デジタル技術を活用した事業モデルの改善にアジャイルマインドを取り入れます。そうすることで、不安定な社会経済状況に対して主導的な行動ができる組織に変わっていきます。もちろん、アジャイルな取り組みが可能なのは、モバイルやクラウドを重視する戦略に早くから挑戦し、アップグレードしたIT環境を整えているからです。そのおかげで、変わりゆく社会経済状況に適応することができています。
DXは、組織がITの活用で業務プロセスを革新し、新しい価値を生み出すことに挑戦する取り組みですが、DXを進める上で不可欠な要素の1つとしてクラウドサービスが挙げられます。大企業はもちろん、中堅・中小企業、官公庁、学術機関等においてクラウドサービスの利用で、ITリソースを有効に活用し、業務またはサービスの拡大や変化に素早く対応できるようになっています。しかし、クラウドサービスの導入ではセキュリティの課題と問題が付きまとうため、クラウドサービスを適切に設定・運用できなければ、セキュリティ問題が起こり、個人情報や機密情報の流出につながる恐れがあります。そのため、クラウドサービスを運用する場合はセキュリティの課題と問題を理解し、必要なセキュリティ対策を実施する必要があります。今回は、日本のクラウド市場に関して振り返りつつ、特にパブリッククラウドにおいてクラウド使用者として、どのようなクラウドセキュリティ対策に取り組むべきかについて考察したいと思います。
1. 日本国内のクラウドサービス市場
日本のクラウドサービス市場の現状と今後の見通しを確認していきます。総務省が発表した「令和4年版 情報通信白書:クラウドサービス市場の動向」*1によると、日本のパブリッククラウドサービス市場は、2021年に前年比28.5%増の1兆5,879億円となり、新型コロナウイルス感染症の影響でオンプレミス環境からクラウドへの移行が進んでいること等が要因とされています。そして、2022年には、オフィスの移転・縮小に伴うクラウドサービスへの移行やDX、データドリブン経営に向けたクラウドサービスの活用が加速することなどにより、前年比29.8%増の2兆1,594億円にまで拡大する見込みです。クラウドファーストストラテジーを採用した組織は、クラウドサービスの導入で得られるメリットを実感したら、更にクラウドサービスの利用を効率的に進めていくでしょう。今後もクラウドサービスの需要は産官学や組織規模に関係なく継続的に成長していくと予想します。
2. クラウドサービス導入時のメリットと課題
ここでは、クラウドサービスを導入する際の利点と課題について、いくつか例を示したいと思います。一般的には、組織はITインフラを効率的に運用し、ビジネスの拡大と変化に対応できる強力なツールを得られます。クラウドサービスを導入することで得られる主要な利点の例をいくつか紹介します。
| # | メリット | 概要 |
|---|---|---|
| 1 | コスト削減 | クラウドサービスでは、自分で物理的なインフラストラクチャを整備・管理する必要がないので、初期費用や運用費用を大きく抑えられる。 |
| 2 | スケーラビリティ | クラウドサービスでは、ビジネスの需要に沿ってリソースをすばやくかつ柔軟に増減できる。これにより、いつも最適な量のリソースを利用できる。 |
| 3 | アクセシビリティ | クラウドサービスでは、インターネットに接続できるところならどこでもデータやアプリケーションにアクセスできる。そのため、リモートワークもしやすい。 |
| 4 | データの保護 | クラウドサービス事業者は、データのバックアップやリカバリーのための専門的なツールとプロセスを提供するので、データの損失リスクを減らせる。 |
表1 クラウドサービス導入時のメリット(例示)
コスト削減の面では、クラウドサービスへの移行により、最新のソフトウェアを運用費だけで利用することができ、初期投資の負担を少なくすることができます。さらに、必要な量のリソースが確保できることや、いつでも、どこでも、どんなデバイスからでも作業が可能になることもメリットです。 しかし、クラウドサービスを導入することはセキュリティやプライバシーの問題をもたらします。クラウドサービスのメリットと同じくらい重要なこととして、クラウドサービスを導入する際に気を付けるべきセキュリティの課題や問題についていくつか紹介します。
| # | 課題 | 概要 |
|---|---|---|
| 1 | 法規制の遵守 | データが国境を越えて移動するリスクがあるので、クラウドサービスでは、各国のデータ保護法やプライバシー法に従うことが必要。 |
| 2 | データの保護 | クラウドサービスでは、企業の重要なデータが外部のサーバーに保管されるので、データの保護が大きな課題。データの暗号化やバックアップなどの対策が要求される。 |
| 3 | アクセス制御 | 不正アクセスを防ぐために、アクセス制御の設定が重要。識別、認証、認可やアカウンティング(IAAA: Identity, Authentication, Authorization, Accounting)の仕組みを適切に設定することが必要。 |
| 4 | 責任共有モデル | クラウドサービス事業者が定めた責任範囲と利用者側の責任範囲は分かりやすく区別し、それぞれの範囲のセキュリティを分担して対処することが必要。 |
表2 クラウドサービス導入時の課題と問題(例示)
クラウドサービスの導入は、組織にさまざまな利点をもたらしますが、それと同時にセキュリティの問題にも対処する必要があります。これらのセキュリティ問題を把握し、適切な対策を行うことで、クラウドサービスを安全に利用することができます。次に、クラウドサービスのセキュリティ問題について考えていきます。
3. クラウドサービスにおけるセキュリティ対策の特徴
引き続き述べますが、クラウドサービスを導入するときには多くのセキュリティの課題があります。それらは規制や業界の基準に沿うコンプライアンスの遵守、データの暗号化、バックアップ、そしてデータの完全性を確保するデータの保護、IAAAのメカニズムを用いて不正なアクセスを防ぐアクセス制御、攻撃者がシステムを悪用できるようなセキュリティ上の弱点であるシステムの脆弱性など様々です。システムの脆弱性に対処するには、ハードウェア、ファームウェア、ソフトウェアの各レベルで対策が必要ですが、クラウドサービスを利用する際には特にクラウド利用者が適切な設定の管理に努める必要があります。なぜなら、クラウドサービスではクラウド事業者とクラウド利用者が責任共有モデルに基づいて取り組まなければならないからです。以下の図に示すように、Infrastructure as a Service(IaaS)ではOS層以上を、Platform as a Service(PaaS)ではアプリケーション層以上を利用者がセキュリティの管理責任として負うことになります。
IaaSを例にとれば、セキュリティの設定や管理はクラウド利用者の責任です。OSの更新やセキュリティパッチの適用、クラウドサービス事業者が提供するセキュリティ機能の利用などは、クラウド利用者が行わなければなりません。クラウドサービスの形態によっては、クラウドサービス事業者がIT統制のサポート機能を提供しているので、セキュリティ対策の作業が低減されることがありますが、クラウド利用者のIT環境はそれぞれ異なるので、自分の環境に合ったセキュリティ構成を考えて管理する必要があります。クラウド利用者がどんな責任と管理を担うべきかは、クラウド事業者のWebサイトや利用規約などで確認できます。クラウド事業者の中の一つであるAWSでは、責任共有モデルを説明するWebサイト*2にて、「AWSのクラウドのセキュリティ責任」、「お客様のクラウドにおけるセキュリティ責任」というのを示しており、責任共有モデルを理解して、クラウド利用者に必要なIT統制とセキュリティ対策を判断するための情報を提供しています。
AWSのクラウドを利用するときは、まず自分の組織やワークロードに関する業務要件、法律や規制など、さまざまな要因を把握しておくことが求められます。次に、運用する AWS のサービスやリージョンの特性を IT 環境に統合し、各サービスの機能を理解して、セキュリティ対策を考えることが必要です。
4. クラウド利用者が担う責任を果たすための態勢
これまでの考察で、クラウド利用者はセキュリティ対策を十分に理解し、各サービスに適した設計、実装、運用を行う責任を負っていることを強調してきました。クラウド事業者と協力して適切な責任共有モデルを作成することができれば、セキュリティのリスクに遭遇する可能性を低減することができます。しかし、クラウドは多くのサービスが統合される分散統制環境の特徴を持ち、スケーラビリティ等のメリットを事業やサービスで活用するために、動的な設定変更が運用上起こります。また、クラウドが提供するセキュリティ機能自体の数の増加、高度化、複雑化にも対応しなければならないため、クラウドセキュリティに詳しい人材が組織に不可欠です。もし、クラウドセキュリティに詳しい人材が組織にいない場合、クラウド利用者のセキュリティ問題のリスクが高くなり、アクセス許可の設定ミス、セキュリティ設定の勘違い、または知識不足によってデータ漏洩や不正アクセスが引き起こされる可能性が高くなります。特に設定ミスは、クラウド環境の複雑さと、クラウドサービス事業者が提供するセキュリティ設定の多様性によってさらに増えるため、クラウド利用者としてはクラウドセキュリティ態勢を確立することが重要です。
5. 管理可能なクラウドセキュリティ態勢に取り組む
クラウドセキュリティの態勢を整えるには、専門知識のある人材を確保するだけでなく、人為的なミスや誤りから組織を守る仕組みも必要です。クラウドセキュリティにおいて設定ミスを検知する方法として、Cloud Security Posture Management (CSPM)があります。CSPMは、クラウド環境のセキュリティリスクを管理し、コンプライアンスを維持するためのソリューションです。CSPMは、クラウド環境全体のセキュリティポスチャを継続的に評価し、設定ミスや不適切なアクセス許可などの問題を特定します。CSPMは、クラウド環境の設定を自動的に監視し、ポリシー違反や脆弱性を特定します。これにより、組織はリスクを軽減し、セキュリティインシデントを未然に防ぐことができるため、クラウド環境のセキュリティ問題と設定ミスの対策として効果的です。これにより、組織はセキュリティポスチャを強化し、データ漏洩のリスクを最小限に抑えることができます。しかし、CSPMもソリューションの1つでしかありませんので、機能の特徴や取り組む際の問題点を理解し、適切にクラウド利用者が設計・運用方法を検討していく必要があります。以下に、CSPMの代表的な機能と問題点を紹介します。
| 機能 | 説明 |
|---|---|
| クラウド環境のセキュリティ向上 | CSPMは、クラウド環境におけるセキュリティリスクを把握できるようにします。組織は、自分たちがどのようなリスクにさらされているかを理解し、必要な対策をとることができます。 |
| 設定の監視 | CSPMは、クラウド環境の設定を自動的にチェックし、ポリシー違反や脆弱性を検出します。これにより、組織はリスクを低減し、セキュリティインシデントを予防することができます。 |
| コンプライアンスの確保 | CSPMは、組織がコンプライアンス要件に従っていることを検証するのに役立ちます。これにより、組織は法的な問題や罰則を回避することができます。 |
表3:CSPMの代表的な機能(例示)
| 問題点 | 説明 |
|---|---|
| コスト | CSPMソリューションには、導入と維持のために費用がかかります。これは、特に小規模な組織では大きな問題となる可能性があります。 |
| 複雑さ | CSPMソリューションは、多くの場合複雑であり、正しく設定と管理するには専門的な知識が求められます。これは、リソースやスキルが限られている組織にとっては困難です。 |
| 完全なセキュリティの保証がない | CSPMは、クラウド環境のセキュリティを大きく向上させることができますが、それだけで全てのセキュリティ問題を解決できるとは限りません。組織は、CSPMを他のセキュリティ対策と併用する必要があります。 |
表4:CSPMの代表的な問題点
6. CSPM導入時のスキルとリソース
クラウドセキュリティの課題に対応できるように、CSPMを適切に活用することで、組織はクラウド環境を安全かつ効率的に、そしてコンプライアンスを遵守しながら利用することができます。しかし、クラウドセキュリティのためにCSPMを導入する前に、組織の特定の要件、リソース、およびリスク容認度に基づいて細かく検討する必要があります。そのために、CSPMを使うためのスキルやリソースを組織が保有しているか確認していきます。スキル面ではクラウド技術の理解や脆弱性管理に加えて、クラウド環境に必要となるセキュリティポリシーを策定できるスキルが必要です。また、リソースとしては、人材、費用、時間というサイバーセキュリティ対策を行う上で検討しなければならない課題がクラウドセキュリティにおいても同様に必要となります。一般的に要求されるスキルとリソースの項目については次の通りです。
| 項目 | 説明 |
|---|---|
| クラウド技術についての知識 | CSPMを効果的に利用するには、クラウド技術とそのセキュリティについての詳しい知識が必要です。これには、クラウドサービスプロバイダーが提供するサービス、API、セキュリティ設定の理解が含まれます。 |
| クラウド環境を含むセキュリティポリシーの作成 | CSPMは、組織のセキュリティポリシーに従って動作します。そのため、適切なポリシーを作成し、それをCSPMに反映する能力が必要です。 |
| 作成したポリシーから組織の要件に適切なフレームワークやガイドラインをベースに評価基準を開発する必要があります。 | CPSMを使用する際、フレームワークやガイドラインに関するスキルが必要です。 |
| 脆弱性管理 | CSPMは、クラウド環境の脆弱性を検出しますが、それらの脆弱性を修正するには、脆弱性管理のスキルが必要です。 |
表5:CSPMの導入と運用時に要求されるスキル
| 項目 | 内容 |
|---|---|
| 人材 | CSPMの設定と運用には、セキュリティアナリストやクラウドエンジニアなどの専門的なスキルを持ったスタッフが必要です。 |
| 費用 | CSPMのソリューションは、導入と維持のために費用がかかります。これにはソフトウェアライセンスの料金、トレーニングの料金、そして運用の料金が含まれます。 |
| 時間 | CSPMを導入するには、計画、実行、テスト、そして運用の各段階で時間がかかります。また、CSPMは常に監視と管理が必要なので、これには定期的に時間を割く必要があります。 |
表6:CSPMの導入と運用時に要求されるリソース
クラウドの利用の際には、クラウド利用者自身が原因で起こる設定ミスに注意しなければなりません。設定ミスは軽度で済むものから深刻なインシデントに発展する可能性があります。クラウド利用者のスキルによっても変わりますが、最終的には設定を行うのはクラウド利用者ですから、設定ミスが全くないとは言えません。したがって、どのレベルのスキルを持っていても、クラウド環境での組織的なセキュリティ対策の仕組みを考える必要があります。そのためには、よくある設定ミスのパターンとそのリスクを知ることが重要です。その参考資料として、「独立行政法人情報処理推進機構」の「クラウドセキュリティ~設定ミスとの付き合い方~」にある設定ミスのカテゴリを見ておくことをお勧めします。
| カテゴリ | 設定ミス概要 | 想定されるリスク |
|---|---|---|
| ID とアクセス管理 | 退職者の認証情報を失効させずに放置してしまう API のアクセスキーやシークレットアクセスキーなどをパブリックのリポジトリに誤って登録してしまう ゲストの利⽤者に対して誤って強⼒な権限を付与してしまっていた |
ユーザー情報が悪⽤される アクセスキーやシークレットアクセスキーが漏えいし不正アクセスに利⽤される ゲスト(第3者)に機密データアクセスを許し、持ち出される |
| ロギング | ロギングの設定ができていない 想定していたよりもログ容量が⼤きくなってしまう |
インシデント発⽣時に影響範囲の特定ができない 想定以上に多額の料⾦を請求される |
| オブジェクトストレージ・データベース | 適切なライフサイクル設定ができていない 暗号化の設定ができていない 誤ってストレージが公開設定となっており、第三者に閲覧可能な状況となっていた サービス停⽌と共に主なリソースは削除したが、ストレージが公開設定のまま残っていた |
保存しているデータを喪失してしまう 情報漏えい時にデータの内容を保護できない インターネットからデータにアクセスされ、情報漏えいする インターネットからデータにアクセスされ、情報漏えいする |
| 仮想サーバー | 運⽤中の仮想サーバーを誤って削除してしまう 不要な仮想サーバーを誤って起動する、起動したままにする |
稼働中のサービスが意図せず停⽌する 脆弱性の放置された仮想サーバーが攻撃の踏み台に悪⽤される |
| ネットワーク | 仮想サーバーに接続できず、トラブルシューティングのために任意の IP アドレスからの SSH 接続を許可したが、元に戻すことを忘れてしまう ⼀時的なメンテナンスのために RDP 接続を許可したが、元に戻すことを忘れてしまう DNS設定⼿順を誤ってしまう |
SSH ポートから不正アクセスを受ける RDP ポートから不正アクセスを受ける ドメイン名ハイジャックを受ける |
表7:独立行政法人情報処理推進機構|クラウドセキュリティ~設定ミスとの付き合い方~|発生しやすい設定ミスから引用
7. CSPMソリューションとコンサルティングサービスの活用
組織は、CSPMを採用する前に、自分たちに必要なスキルやリソースを持っているかどうかを評価することが重要です。自分たちのニーズとリソースに応じて、CSPMソリューションを導入するかどうかを決める必要があります。クラウド技術は多様で変化が早いので、常に最新の知識を持つこと、内的要因・外的要因を考慮したセキュリティポリシーを作成してクラウド環境に適用すること、見つかった脆弱性を理解して修正することがクラウド利用者の責務です。そのため、CSPMの運用時期に、CSPMソリューションとクラウドセキュリティコンサルティングを提供するサードパーティーのサービスを利用することも可能です。例えば、運用中のクラウド環境のセキュリティ対策の状況を確認したり、リリース予定のクラウド環境のセキュリティ対策の効果を事前に把握したりするために、CSPMソリューションとコンサルタントの力を借りたCSPMアセスメントを受けることで、専門家の視点で組織のクラウドセキュリティ対策をチェックできます。
セキュリティコンサルタントサービスとCSPMソリューションを併用することで、組織は専門家からのアドバイスを受けて、クラウドでの設定ミスや使い方のミスをCSPMソリューションを用いて防ぐことができるので、セキュリティリスクを減らすことができます。さらにCSPMの導入と運用に必要な時間とリソースを節約することができます。これにより、組織は競合他社に勝利するために必要なビジネスの成長と革新に集中することができます。このようなCSPMを活用したコンサルティングサービスは日本国内において様々なセキュリティベンダーが提供しています。代表的なCSPMソリューションとクラウドセキュリティコンサルティングを組み合わせたサービスを紹介します。
| サービス名 | 内容 |
|---|---|
| CSPM導入支援サービス | CSPMの導入をクラウドセキュリティコンサルタントがサポート。CSPMの選択やセキュリティポリシーの作成、またCSPMの設定と運用方法の教育などが含まれる。 |
| CSPMアセスメントサービス | 組織のCSPMの設定と運用をクラウドセキュリティコンサルタントが定期的にアセスメント。定期的なアセスメントにより組織はCSPMの運用が正しいか確認でき、改善すべき点を見つけることが可能。 CSPMソリューションをツールとして活用することで、要望するタイミングに応じてスナップショットとしてのアセスメントサービスも提供されている。 |
| CSPM最適化サービス | クラウドセキュリティコンサルタントが組織のCSPMの設定を最適化するサポートを行う。CSPMの運用状況を技術的な視点も加味し、クラウド環境のセキュリティを高め、コンプライアンスを守ることが可能。 |
| CSPMカスタマイズサービス | 組織の個別の要求に応じてCSPMの設定をクラウドセキュリティコンサルタントがカスタマイズ。組織の個々のビジネス要件とリスク許容度に合ったセキュリティポスチャを保つことが可能。 |
表8:CSPMソリューションとクラウドセキュリティコンサルティングを組み合わせた代表的なサービス例
8. まとめ
現代のビジネスリーダーにとって、クラウドセキュリティとCSPMに関する知識と利用は、必須のスキルです。それは、組織がDXを実現し、競争力を保つための重要な要素の1つであり、今日のデジタル化されたビジネス環境で、組織の成功に欠かせません。クラウドセキュリティは、組織のビジネスのパフォーマンスとブランドへの信頼に影響するため、適切なセキュリティ対策をすることは、組織にとって重要な投資です。今回考察したクラウドセキュリティ対策のソリューションであるCSPMはその1つであり、クラウド利用者が正しく使用すれば、組織のクラウドセキュリティポスチャを強化する上で役立つツールです。
これから組織のクラウドセキュリティへ取り組みたい経営陣やクラウド利用者の方、また1度は取り組んでみたものの諦めてしまった方の参考になることを願っています。
※1 総務省|令和4年版 情報通信白書|クラウドサービス市場の動向 https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nd236800.html
※2 AWS 責任共有モデル https://aws.amazon.com/jp/compliance/shared-responsibility-model/
※3クラウドセキュリティ〜設定ミスとの付き合い方〜 https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2023/cloud-security.html
