一昔前は、クラウドサービスのセキュリティが疑問視されていたが、今では、クラウドサービスを利用したほうが安全という認識が浸透している。その結果、企業はDX(デジタルトランスフォーメーション)を進める上で、また、ハイブリッドワークを実現する上で、クラウドサービスの利用を進めている。

クラウドサービス自体のセキュリティは、Amazon Web Services(AWS)やマイクロソフトといったプロバイダーが維持していたとしても、利用の仕方を誤るとセキュリティが低下してしまう。

では、クラウドサービスの安全性を確保しつつ、メリットを享受するには、どうしたらよいのか。

米Palo Alto Networksでクラウド事業を統括する SVP & GM, Prisma Cloud Ankur Shah氏に、クラウドセキュリティ、同社がクラウドセキュリティのカギの一つと見なしているAIの活用について聞いた。

  • 米Palo Alto Networks SVP & GM, Prisma Cloud Ankur Shah氏

パブリッククラウドで起きていることを見極めよ

クラウドセキュリティを進める上で、Shah氏は「パブリッククラウドで何が起きているかを理解することが大事」と話す。その理由について、同氏は次のように説明する。

「企業で使われている100以上のアプリケーションがパブリッククラウド上で稼働しています。なぜ、企業はパブリッククラウドを利用するのか。それは、デジタル変革を目指しているからです。企業では、パブリッククラウドの急速に移行が進むことにより、リスクが高まっています」

同社の調査により、「日本企業はクラウドへの投資に積極的」という結果が出ている一方、クラウド上のワークロードデバイスを狙ったLinux マルウェアも増加している。

Shah氏は、「SolarWinds製品を狙ったサプライチェーン攻撃に始まり、Amazon PrimeやUberを狙った大規模なセキュリティ侵害が多発しています。最近では、米国のカジノ大手のMGMもハッキングに遭いました」と語る。

脆弱性増加の理由は開発者のオープンソース活用

Shah氏は、クラウドセキュリティが脅かされている背景に、開発者がオープンソースのコンポーネントを使っていることがあると指摘する。それゆえ、クラウド上に1万個以上の脆弱性が存在する状況だという。

アプリケーションの開発と共にデプロイのスピードも増しており、脆弱性が次から次へとクラウドに送り込まれている状況だ。「開発者は脆弱性を修正する時間もない」とShah氏。

「現在、インターネットに接しているクラウドに既知の脆弱性がデプロイされているが、そうなると、クラウドは攻撃者にとって標的にしやすい」と、Shah氏は指摘する。

さらに、こうした問題を解決するセキュリティ人材が不足している。開発者10人に対し、セキュリティ人材はわずか1人しかいないそうだ。

脆弱性解消のための3つの施策

では、脆弱性解消に向けて、どのような手を打つのが効果的なのだろうか。Shah氏は「施策は3つある」と話す。

1つ目の施策は、プラットフォームによるアプローチだ。例えば、トヨタ自動車では、組み立てラインプロセスごとに品質保証を行っているが、セキュリティも同じだという。「コードを書いたら、クラウドに置かれるまでに確認すればよい」とShah氏。

さらに、Shah氏は「アプリケーションライフサイクルの全体をとらえて対策を講じる必要がある。ポイントプロダクトではなく、プラットフォームを導入しなければいけない」と話す。

2つ目の施策は、AIの活用だ。パロアルトネットワークスは7億5000万のイベントを毎日ブロックし、その中から新しい攻撃を150万件検知しているが、これらすべてAIで実現している。

3つ目の施策は、予防だ。開発者を教育することで、パブリッククラウドにコードが上がった時点でクリーンアップすることがないよう、コードのパイプラインの早い段階でセキュリティに配慮したコードを書くことを実現する。

「人間は病気になる前に予防するが、セキュリティも同じ。攻撃に遭う前に、予防することが大事」(Shah氏)