コロナ禍で増加するサイバー攻撃

年々高度化するサイバー攻撃に対して、日々の運用の中に潜む危険を見逃しているケースや、クラウドの安全な使い方を十分理解しないまま、セキュリティに漠然とした不安を抱えていないでしょうか。今回は、クラウドを活用したビジネス環境におけるセキュリティ対策について考えます。

【関連記事】
≪HCIが実現するハイブリッド・マルチクラウドの未来≫
≪デジタルスキル不足解消とビジネスプロセスの最適化を実現する自動化の真価≫

世界各国に急速に広がっているサイバー攻撃は日本においても企業の規模を問わず、深刻化しています。新型コロナウイルスの感染拡大により、テレワークやデジタル・トランスフォーメーション(DX)を推進する企業が増加していますが、総務省によると2020年4月以降、クラウドサービスを標的としたものを含め、企業などに深刻な被害をもたらすサイバー攻撃が前年同月比で33%以上増加しています。

特に、金銭的な利益を目的にしたランサムウェア感染が増えており、これらの攻撃は組織の弱点を狙って、目立たない形で行われています。

企業は、より安全で柔軟な働き方を求められる一方で、新たなリスクや規制の枠組みにも立ち向かわなければなりません。ハイブリッド・マルチクラウド環境を安全かつ効果的に利用するには、初めからセキュリティ対策について意識的に考え、人による作業が必要な部分とそうではない部分を区別する必要があります。

DXにおいてリスクを生む危険な認識

日本では、クラウド導入に向けての課題を抱えている企業が多いですが、他国で進む導入事例から、クラウド導入の良い点と悪い点の両方を学び、検討することができます。日本政府は、デジタル庁を設置し、社会全体のデジタル化の取り組みを推進しています。

日本でのテレワークの普及は顕著ではありませんが、企業や非営利団体に関わらず、働き方改革の必要性が引き続き問われています。DXという難しい変革の中で失敗を避けるためには、リスクを生み出す要因を把握しなければなりません。

特に、日本に限ったことではありませんが、企業にはセキュリティは「IT部門の責任」という考え方がいまだに、まん延しています。しかし、ランサムウェア攻撃は特定のIT専門家を狙うものではないため、この潜在意識はリスクを生む要因となります。通常、ランサムウェア攻撃は、IT部門とはかけ離れた人の脆弱性を突くように設計されています。

また、パブリッククラウドをオンプレミスのデータセンターと同じように扱うのも間違いです。企業は、オンプレミス環境に対する考え方を、そのままパブリッククラウド環境に当てはめるのではなく、発想を逆転させる必要があります。

閉鎖的な考え方から、すべてがパブリックなインターネット上にあると考える、ゼロトラストのアプローチに変えるべきです。多くの企業にとってこれは難しい改革ですが、DXにおけるセキュリティ対策には必要不可欠な認識です。

さらに、問題となるのはセキュリティ対策が企業活動を制限すると考えられてしまうことです。企業では、知らず知らずのうちに部門間で敵対意識が芽生えてしまうことがあります。例えば、ルールが業務を阻害していると考え、従業員は達成すべきことを達成するためにルールを回避するなど、各部門や従業員がルールを無視してしまうような事態に繋がる可能性が高くなります。

このような状況を防ぐためには、企業が組織的にセキュリティ対策を体系化し、個人ではなくポリシーに基づいて企業活動を推進できるようにする必要があります。セキュリティが日常業務にプログラム的に組み込まれていればいるほど、各部門や従業員の負担は軽減されます。

パブリッククラウドのドアの鍵を管理するのは企業

すべてのクラウドベンダーが独自のセキュリティ機能を提供しているのに、なぜ正しい考え方を持つことがそれほど重要なのかと疑問に思うかもしれません。パブリッククラウドは、貸し倉庫のようなものと考えてください。パブリッククラウドには、防犯カメラやフェンスが標準装備されていますが、ドアの鍵を守るのは組織の責任です。そして、クラウドベンダーは最終的な責任がどこにあるのかを常に明確にしています。

これは、完全にクラウド化する場合も、ハイブリッド・マルチクラウド戦略を採用する場合でも、同じルールが適用されます。つまり、常に適切なデータだけが公開されるようにし、クラウドサービスがシステムに新たなリスクをもたらさないように管理することが肝要なのです。

サイバー犯罪は常に進化しているため、リスクは常に存在します。ハイブリッド・マルチクラウド戦略が役立つのは、適切な認識のもと、実行管理できる現実性があるからです。パブリックとプライベートの領域に資産を分散させることで、「すべてが安全」という前提から「すべてがさらされている」という前提へとシフトする必要があります。

ゼロトラストモデルに向けて

複数のアプリケーションが相互に接続され、複雑なユーザーデータベースを持ち、多くのアウトソーシングが存在する大規模な組織において、ゼロトラストのセキュリティモデルの実装は、スイッチのオン・オフのように簡単にできるというわけではありませんが、実現は可能です。

ハイブリッド・マルチクラウド環境の運用において、最も重要な資産から順に外側に向かって防御の輪を考えていくことが賢明なアプローチです。クラウド管理プラットフォームを活用することで、ビルトインされているセキュリティとともに統合管理が可能です。

クラウド管理プラットフォームは、どのシステムが相互に通信できるかを決定するマイクロセグメンテーション、暗号化、自動セキュリティチェック、ランサムウェアの検出とリスク軽減など、このプロセスにおいて重要な役割を果たします。

基本的な認証、暗号化、マイクロセグメンテーション技術をすでに導入している場合は、新しいアプリケーションの導入も容易になります。そして、自動化することにより人為的なミスを防ぎ、リスクを軽減することが可能ですが、人による監視の必要性が一切不要になるわけではありません。

コンプライアンスについても同様で、基準を満たすため製品の機能、実装、運用の手順が必要となるため、クラウド管理ベンダーは要件を満たす機能を提供しています。それらの活用により、セキュリティチームの負担を軽減できますが、機能をオンにし、監視・警戒を怠らないことはユーザーの責任です。

留意すべき点は、監査における基準に準拠しているかの認定は、あくまでも一連の基準に準拠しているか否かだけで判断されており、リスクがなくなったということではありません。サイバー犯罪やセキュリティ上の脅威は変化のスピードが速いため、規制機関が追いつくことは期待できません。

企業は、コンプライアンスや新しいセキュリティ対策を「目的」ではなく「出発点」であると考える必要があります。