クラウドの進化に追い付かないセキュリティ対策

民間企業におけるビジネスニーズの変化とデジタル庁による行政・地方自治体のサービス向上推進により、クラウドベースのテクノロジーとシステムへの移行が加速しています。IDC の2020年の調査によれば、日本の企業の42%以上が、クラウドサービス利用の重要性は高まっていると回答しています。

2025年には235億ドルに達すると予想されるクラウドサービス市場の成長に追従していくには、情報セキュリティ部門が業務の取り組み方を変えねばならず、さらに今までとは違った段階でソリューションを導入する必要も出てくるでしょう。

クラウドネイティブなアーキテクチャの採用が進み成熟するにつれて、セキュリティ対策のベストプラクティスをシステムに埋め込むことが必要となり、それらを頻繁に変化し続けるシステムにおいていかに確実に実行できるかが課題となっています。

現状、開発部門が新製品や機能をリリースする速度に、セキュリティは追いついていません。企業は、インフラの規模を迅速に拡大できるのですが、その速度こそがクラウドの各所に設定の不一致を生む原因となり、多くの場合、その数は膨大になります。

クラウドネイティブのインフラによる自己修復が必要

クラウドの設定の不一致はクラウドネイティブのテクノロジーの導入が常に単純なプロセスではないことに起因しており、特に、要求があるたびに特権を持つユーザーが設定値を変えていることが問題となっています。

多彩なテクノロジーについて、各々の詳細を把握していなければ、クラウドの設定を正しく行うことはできません。また、複数の人が設定作業を行うと一貫性が損なわれ、不一致が生じるのは避けられないといえます。その結果、生じた設定ミスはやがて脆弱性となり、IT管理において問題になる可能性が高いことから、コストの問題にもつながります。

従来、このような問題に対処するセキュリティツールは、問題と関連情報を十分に把握したものではなく、対処に使う制御方法への理解も不十分でした。

特に関連情報が欠如していると、セキュリティ担当者は環境に対する真のリスクを完全に把握できません。また、レガシーなソリューションはコードの記述段階でセキュリティ上の措置を講じることができないので、事業に対して深刻なセキュリティリスクをもたらす結果になりかねません。このような状態では、クラウドサービスに保管された機密情報が盗まれて、お客様に多大な迷惑をかける結果を招く危険性があります。

また、ヒューマンエラーによるインフラの設定ミスもネットワークのリスクとなり、犯罪者が不正確な設定値を悪用して攻撃を仕掛ける経路となることもあります。

真の意味でのサイバーレジリエンスを達成する唯一の方法は、クラウドネイティブのインフラによる自己修復であり、すなわち、開発ライフサイクル全体を通してセキュリティをコード化させることです。クラウド環境では、クラウドインフラは初めからセキュアである必要があります。そこで登場するのがIaC (Infrastructure as Code) 、つまり「インフラのコード化」です。

インフラのコード化とは:CISOにとって必要な理由

IaCとは、コンピュータのデータの設定と統制を、機械可読な定義ファイルによって実行するプロセスのことです。物理的なハードウェアの構成や相互操作による設定ツールは使いません。手短に言えば、IaCは、コードで定義されたITインフラを構成ファイルによって管理することです。

IaCでは、すべてのリソースとそれぞれの設定値がコードで定義されています。スキャンすれば、どのような制御方法があって、それらが何に効果があるのかを簡単に判断できます。また、脆弱性が発見された場合は、広域の環境に対する影響を定量化できます。ソフトウェアツールが問題を自動的に検出して、実行段階の前に修正できるという機能が、高度な効果を発揮するDevSecOpsチーム組成の中核になります。

IaCは、侵入経路を可視化して分析するために必要な情報を提供するので、セキュリティチームはリスクを詳細に可視化して、その問題は緊急で修正すべきかどうか、最小限のダウンタイムでリスクを削除する方法は何かなどを判断することができます。

このように、IaCによって合理化されたアプローチによって時間にゆとりが生まれるので、複雑な脆弱性やクラウド上の設定ミスなどの対応にリソースを回すことができます。

IaCを導入することで得られるメリットの一つに、インフラ管理のコストダウンが挙げられます。IaCと共にクラウドコンピューティングを活用すれば、大きな経費節減効果が得られます。同時に、ミスが付きまとう手動による作業が省かれるので、IT担当者とセキュリティ担当者は喫緊の問題に集中できます。

また、IaCを使って開発担当者を優先するアプローチを採用すると、コードが修正されたらただちにデプロイすることも可能になり、生産段階で実行された設定変更を上書きしてしまう心配もありません。

最後に、IaCでは大規模な環境に構成が展開されるため、IaCのセキュリティは環境全体のセキュリティといえます。IaCを実行すると、サイバーリスクへの理解が深まり、ひいては高度なセキュリティ脅威のモデリングや侵入経路の予測などに関連した次世代機能の推進につながります。

このように、IaCによって、クラウドネイティブなインフラを採用する企業が自己修復機能によってサイバーレジリエンスを実現すること、そしてクラウドベースのイノベーションに積極的に取り組むことが可能になります。

IaCを導入するアプローチ

IaCを導入する際は、バージョンコントロールシステムを使ったタスクの自動実行を可能にするソフトウェアツールを利用します。コードの記述方法は、大きく2通りあります。

1つ目は「宣言」方式で、柔軟性に優れているためよく使われます。この方式では、ユーザーは、最終状態または「望ましい」状態を定義するだけで、ツールまたはプラットフォームが、最終状態を達成するのに必要なステップを決めて実行します。

2つ目は「命令」方式です。この方式では、ユーザーは、最終状態または「望ましい」状態を達成するのに必要なコマンドを指定します。ツールまたはプラットフォームは、指定されたコマンド通りに実行します。

コード化されたインフラの採用

クラウドシステムとソリューションは、ビジネスのイノベーションと発展に多大な影響を与えました。しかし、日本の企業がここから先に進み、クラウド活用の効率化を達成するには、IaCの採用が次への合理的なステップといえます。

CISOならびにDevOpsチームは、IaCを「クラウドネイティブシステムとDevOpsの成功を結び付けるもの」と捉えることが重要です。DX(デジタルトランスフォーメーション)を進める中、片方だけでは機能しません。

このように考え方をシフトさせると、クラウドコンピューティングとセキュリティが相互に潜在能力をフルに発揮できるようになり、問題点や侵害への事後対応は激減するでしょう。そして、セキュリティを担保しながら、有効なクラウドシステムの構築が可能となるのです。

著者プロフィール


貴島 直也(きしま なおや)

Tenable Network Security Japan株式会社 カントリーマネージャー

アダムネット株式会社(現 三井情報株式会社)やEMCジャパン株式会社で主に金融担当営業および営業マネージャーを経て、EMCジャパンのセキュリティ部門であるRSAに執行役員として所属。GRCソリューションやxDRのビジネスの立ち上げ・拡大に従事、さらに韓国のゼネラルマネージャーも兼務。その後、RSAの独立に伴い執行役員社長としてRSAのビジネスの拡張を牽引。2021年4月より現職。日本企業のセキュリティマーケットの拡大およびチャネルアクティビティの実行を統括。