クラウドセキュリティ・ソリューションが不可欠な時代へ
企業では現在、クラウドサービスの利用が加速しています。必要に応じて必要な分だけシステムを構築できるクラウドは柔軟性が高く、DevOpsにより短いサイクルでアプリケーション開発を行うことにも適しています。また日本では、政府が「クラウド・バイ・デフォルト」を提言しており、システム構築を考える企業に対し、最初にクラウドを検討するよう呼びかけています。
こうした中、クラウド・セキュリティはビジネスに必要不可欠なものとなっています。チェック・ポイント・ソフトウェア・テクノロジーズの「2020年Cloud Security Report」によると、調査対象の組織の75%が、クラウド・セキュリティについて「非常に懸念している」または「極めて懸念している」と回答しています。
また、米国のリサーチ会社のフォレスターが最近発表した調査結果では、クラウド・セキュリティに対する信頼性が、より多くのクラウドサービスを採用するために必要な要素だと述べられています。
下の図は、組織がクラウド環境を保護し、堅牢なクラウド・セキュリティ体制を確保するために導入する必要がある、多層・統合されたクラウド・セキュリティ・プラットフォームの種類を示しています。
クラウド・セキュリティは、責任共有モデルの中で行われることを認識する必要があります。クラウドサービスでは、サービス提供者(プロバイダー)と利用者の責任範囲が明確に定義されており、これを「責任共有モデル」といいます。
例えばIaaSでは、プロバイダーは仮想環境を提供するためのリソース部分(コンピュータ、ネットワーク、ストレージなど)を保護し、利用者はその仮想環境上に構築した仮想マシンやデータ、アプリケーションなどの資産を保護する責任があります。
クラウドのプロバイダーが提供するツールやサービスは、ユーザーが責任分担モデルを維持するのに役立つもので、クラウドネットワークの重要なセキュリティ・ソリューションです。しかし、クラウドのプロバイダーはセキュリティの専門家ではありません。
エンタープライズレベルのクラウドのセキュリティを実現するには、クラウドのプロバイダーが提供するツールやサービスに加えて、企業自身が保護しなければならない資産を保護するセキュリティソリューションが必要です。
それは上図に示したようなソリューションで、最も重要な基盤はクラウド・ネットワーク・セキュリティです。具体的には、仮想セキュリティ・ゲートウェイを導入して、高度な脅威防御、トラフィック検査、マイクロセグメンテーションを実現する必要があります。
このようなセキュリティ・ソリューションでは、ファイアウォール、IPS、アプリケーション・コントロール、DLPなど、レイヤーごとにセキュリティ技術を使用します。
クラウド・セキュリティ・ソリューションに必要な機能とは
図1の通り、クラウド・セキュリティ・ソリューションは、複数のレイヤーとセキュリティの技術から構成されています。それでは、クラウド・セキュリティ・ソリューションを選択する際に、企業が検討すべき重要事項は何でしょうか。また、クラウド・セキュリティ・ソリューションが、企業の成功とクラウド・セキュリティの双方において重要な機能を備えているかどうかを確認する方法は何でしょうか。以下、10の項目に分けて詳しく見ていきましょう。
(1)高度な脅威防御とディープセキュリティ
複雑なサイバー・セキュリティの環境においてクラウド資産を効果的に保護するには、脅威の検知だけでは不十分です。既知の脆弱性と未知の脆弱性(ゼロデイ)の両方を対象とした、多層構造のリアルタイムな脅威防御が必要です。また、詳細なトラフィック検査、強化された脅威インテリジェンス、サンドボックスなどの機能により、高度なセキュリティを実現するソリューションでなければなりません。さらに、これらの高度な機能は、南北(インバウンド、アウトバウンド)および東西(ネットワーク内の横方向)の両方のトラフィックを検知できる必要があります。
(2)ボーダーレス
クラウド・セキュリティ・ソリューションは、複雑なマルチクラウドやハイブリッド(パブリック・クラウド、プライベート・クラウド、オンプレミスを併用している環境)環境であっても、透過的かつ一貫して動作する必要があります。統一された管理インタフェース(single pane-of-glass:一枚のガラスとも呼ばれる)は、クラウド・セキュリティの真の状態を伝える単一のソースと、集中管理が可能なコンソールを提供する必要があります。
(3)きめ細やかなトラフィック検査と制御
次世代ファイアウォール(NGFW)には、基本的なホワイトリストに加え、きめ細かなマッチング、許可されたポートが正しい通信を行っているかを確認する詳細な検査、URLアドレスに基づく高度なフィルタリング、ポートレベルだけでなくアプリケーションレベルでの制御などの機能があります。