ガートナー ジャパンが7月24日~26日に開催した「セキュリティ&リスク・マネジメント サミット 2018」の3日目の講演では、米ガートナーのバイス プレジデント兼最上級アナリスト、ニール・マクドナルド氏が登壇。「ハイブリッド・データセンター・インフラストラクチャ向けのセキュリティ戦略とアーキテクチャ」と題し、ハイブリッドクラウドのセキュリティを概観した。

ハイブリッド環境のセキュリティ事情

クラウドの活用が進むなか、オンプレミスとクラウド、パブリッククラウドとプライベートクラウドといったハイブリッドなかたちでのクラウド運用が当たり前になってきた。だが、「ハイブリッドクラウドのセキュリティ」と言う場合、何をどこまで実施すればいいのかイメージが湧きにくい。

マクドナルド氏は「そうした混乱はユーザーのなかにも見られる」とし、「誤ったシナリオを当てはめて、セキュリティリスクを高めるミスを犯している企業も見受けられます」と指摘した。例えば、エンドポイント向けのセキュリティ製品である「マルウェア対策ソフト」をクラウド上で稼働するサーバにインストールして「サーバのマルウェア対策」としてしまうような過ちだ。

「当然、エンドポイント製品とサーバ製品はアーキテクチャから検知の仕組み、対応する脆弱性までまったく異なります。デスクトップアプリの脆弱性を悪用するマルウェアが、サーバで同じように動作するわけではないのです。こうしたミスを防ぐためにもハイブリッドクラウドのセキュリティ対策として何が求められるのかを正しく理解しておく必要があります」(マクドナルド氏)

米ガートナーのバイス プレジデント兼最上級アナリスト、ニール・マクドナルド氏

マクドナルド氏によると、クラウドの活用によってワークロードとその現れ方は進化しているが、必要なセキュリティ機能は変わっていないという。とは言え、セキュリティ機能を提供する方法は変化しており、環境に合わせて適切な対策を導入していくことが求められる。

「パブリッククラウドだけ、もしくは、プライベートクラウドだけという環境はまずあり得ません。ガートナーが実施した5年後のITの姿を聞く調査でも、100%パブリッククラウドや100%オンプレミスは3%に過ぎず、最も多かった回答はオンプレミス/コロケーション/パブリッククラウドの混在で52%でした。オンプレミスとクラウドの混在環境は27%でした」(マクドナルド氏)

これまでのようにファイアウォールやアクセス管理、侵入検知といったセキュリティ機能はもちろん必要だ。ただし、それらをハイブリッド環境で合わせてうまく組み合わせていくことが求められる。

ガートナーではこれからのセキュリティの在り方として「アダプティブセキュリティアーキテクチャ」を提唱している。ブロック/防御、検知/対応という2つの対策を柱にしながら、継続的な可視化と検証ができるプラットフォームを構築していくというものだ。

具体的なセキュリティ機能としては、「優先順位を付けたリスク評価」「脅威/攻撃の予測」「システムの隔離」「インシデントの検知」「インシデントの封じ込め」「修復」「設計/モデル・ポリシーの変更」など、12の機能がある。

また、ハイブリッドクラウド環境に対しても「CWPP(クラウドワークロード保護プラットフォーム)」という緊急性の度合いに応じた対策を提唱している。このCWPPでは、「ウイルス対策」「偽装テクノロジ」「脆弱性シールド機能搭載HIPS」といった、エンドポイントで話題になる機能は緊急性が低く、対策の重要性も低くなっている。これは、クラウドベンダー側の対策でカバーできてしまうためだ。サーバ向けのEDR(検知と対応)や、暗号化、脆弱性のブロックなども、WAFなどのクラウドサービスをベンダーが提供するため、緊急度は低い。

クラウドワークロード保護プラットフォーム/出典:ガートナー(2018年7月)

その一方で、ユーザー側で求められるのは、「ホワイトリスト方式を中心としたアプリケーション制御」や「システムの完全性のモニタリング」「セグメンテーションや可視化」「構成管理、脆弱性管理」などだという。

「サーバ側ではシグニチャベースのマルウェア対策スキャンはほとんど意味がありません。クラウド上でNFSやSMB、FTPなどの汎用的なプロトコルを使うのでない以上、マルウェア対策ソフトのスキャンは無効にしてください。その代わり、脆弱性防御/メモリ保護と組み合わせたアプリケーション制御をホワイトリスト方式で実施していくことを基本的なセキュリティ戦略に据えます」(マクドナルド氏)