セキュリティの面で「クラウドを無条件に安全であると考えるのは誤解」だと指摘するのは、日本クラウドセキュリティアライアンス クラウドセキュリティWGリーダーの釜山公徳氏だ。その理由は、オンプレミスに比べてシステムの可視性が低い、つまりハードウエアやネットワーク構成の詳細が把握しにくいためである。したがってクラウドは適材適所で利用することとし、クラウドであっても事業者任せにせず、サプライチェーンリスクも考慮に入れたセキュリティ対策を講じることが必要なのだと説く。

7月23日~24日に開催された「TECH+フォーラム - クラウドインフラ 2024 Jul. 理想の環境にアップデートする」に同氏が登壇。サイバーレジリエンスの考え方を基に、サプライチェーンにはどのような脅威があり、どう対応すべきかを解説した。

サイバーレジリエンスとは

講演冒頭で釜山氏は、サイバーレジリエンスとは、サイバー資源を有するシステムが攻撃などによって困難な状況になった場合、またはその前に、攻撃や侵害を予測し、耐え、回復し、適応できる能力のことであると述べ、単純な回復や復旧の力ではないと強調した。

サイバーレジリエンスには前述のように予測、耐性、回復、適応の4つの目的が定義されている。いつ来るか分からない逆境状態に備えた態勢を準備して維持するのが予測だ。耐性は、逆境に耐えるだけでなく事業を継続することが重要である。回復はその後の組織におけるミッションやビジネス機能を回復することで、いかに早く復旧するかがポイントになる。そして適応は、予測に基づいてミッションやビジネス機能を改善していくことだが、これは繰り返し行うことが重要だという。

  • サイバーレジリエンスの考え方

サプライチェーンリスクは必ず発生すると考えるべき

サプライチェーンは大まかにハードウエアとソフトウエアの2つがあり、サイバーセキュリティにおいてはソフトウエアを指すことが多いが、それにもCPUの脆弱性などハードウエアが関わる場合がある。またクラウドにおいても、IaaS、PaaS、SaaSといったサービスモデルの抽象度に関わらず、サプライチェーンのセキュリティを考慮しなければならない。クラウドだからといって業者任せにするわけにはいかないことを頭に入れておく必要があるのだ。また、ソフトウエアは孤立して開発されることはない。そのため、サプライチェーン内のどこかに脆弱性が発生する可能性があると考えるべきである。

この記事は
Members+会員の方のみ御覧いただけます

ログイン/無料会員登録

会員サービスの詳細はこちら