ゼロトラストを具現化するマイクロセグメンテーションを知る(2) クラウドセキュリティとマイクロセグメンテーション

企業のクラウド利用が加速する一方で、クラウドの可視性の低さによるセキュリティの懸念も課題となっている。特に、マルチクラウド環境では複雑性が増し、リスクもより高まる。クラウドアクセスを可視化するCASB（Cloud Access Security Broker）の導入も進んでいるが、運用や対応にも課題が残る。

今回は、クラウド移行とその課題、そしてクラウド利用におけるマイクロセグメンテーションの有効性について解説する。

組織はクラウドへの安全な移行に苦慮

企業のクラウド利用が急速に進んでいる。ここでいうクラウドは、Microsoft Azure、Amazon Web Services、Google Cloud PlatformといったIaaS、PaaS（クラウド・コンピューティング）を指し、企業では情報システムや実行環境をクラウドに移行しようという動きが盛んだ。その背景には政府の推進がある。

まず、政府は企業のDXを後押ししている。例えば、経済産業省が「DXレポート」で言及したDX（デジタルトランスフォーメーション）は、デジタル化を推進することでデータを収集、活用しビジネスを変革することを意味する。DXの実現に向けては、Webサービスやアプリを迅速に開発・公開し、改良を重ねていく必要があり、柔軟にスケールできるシステムが求められる。

しかし、従来のオンプレミス環境ではこうした対応が難しく、増強や更新にも時間がかかってしまう。クラウド環境であれば、ニーズに応じてサーバを複製するなどのスケールが容易に行える。また、低コストかつ短期間でシステムを構築でき、新たなサービスをスモールスタートさせる際にも有効だ。システム運用のための設備や人材などの費用を下げる効果も見込める。

また、政府は「クラウド・バイ・デフォルト原則」を発表している。これは、システムの開発や更新をする際には、最初にクラウドを検討する考え方を指す。政府および自治体、関連機関に向けた発表であったが、多くの企業もこの考え方に追従している。

こうして企業のクラウド利用が進んでいるが、クラウドへの安全な移行に悩んでいる企業も多い。企業が抱えている課題の一つがクラウドの選定である。現在は多様なクラウドサービスが提供されており、その機能や特性もさまざまである。その中から、「自社の目的に合致した機能を提供している」「既存のシステムとの親和性が高く移行しやすい」「適切な予算で利用できる」というすべての条件を満たすサービスを見つけることは難しい。

つまり、数多くあるクラウドの調査と比較に時間がかかってしまう。また、費用の面でもサービス内容がわかりづらく、目的の機能を利用するには別のライセンスやオプションサービスの利用が必要になることもある。

加えて、実際に運用を開始してみないとコストがわからないこともある。その結果、複数のクラウドを利用するマルチクラウドの企業も多くなっている。

マルチクラウド環境では、クラウドごとに設定内容や項目の名称が異なるため、うっかり重要なファイルを公開設定にして、情報漏えいを引き起こしてしまうケースも多く見られた。また、重要なデータやクラウドサービスは、新たなサイバー脅威にさらされつつある。

そして、クラウド移行における最大の懸念はセキュリティとなっている。多くの組織がパブリッククラウドのインフラストラクチャまたはプラットフォームサービスで本番アプリケーションを実行している。その一方で、Illumio（イルミオ）が発表した調査結果によると、ゼロトラストの考え方によるセグメンテーションを実践している企業では、環境全体のトラフィックに対する包括的な可視性が高まったと報告する確率が4.3倍にもなっている。

クラウド利用において重要となる“可視性”

クラウド利用は企業の競争力を高める効果が期待できるが、セキュリティ面では課題が残る。その第一の課題が可視性だ。企業は誰がどのクラウドにアクセスし、どのような操作を行っているかなどのアクセス内容を把握することが難しい。クラウドの移行が進んだことで、顧客情報や知的財産、機密情報などの重要なデータがクラウドに保管されていることも多い。

こうした重要なデータに従業員がアクセスしていたとしても、企業が気づきにくい状況となっている。しかも、コロナ禍によってリモートワークが普及したことも、可視化の課題につながっている。緊急事態宣言の公布により、企業は迅速なリモートワークへの移行が求められた。それまでリモートワークは出張や出社できない場合など限られたケースでの利用が多く、セキュリティ対策が整備されていなかった。

例えば、リモートワークでは従業員は自宅からVPNを介して企業ネットワークにアクセスし、インターネットやクラウドへのアクセスは企業ネットワークを経由する。しかし、VPNの用途が限定されていたため、全従業員にVPNを提供するには帯域が十分ではなかった。そのため、従業員ごとに利用時間を限定してVPNを提供するケースも多かった。

また、VPNの利用が急増したため、サイバー攻撃者がVPN環境に標的を定めた。これまではVPN利用が少なかったことから、メンテナンスの不十分なVPN環境が多く、脆弱性が放置されていたためだ。攻撃者にVPNの脆弱性を悪用され、不正アクセスによる被害を受けた企業も少なくなかった。また、クラウドは企業ネットワークを介さなくてもアクセスできるため、企業ネットワークを経由せずにクラウドを利用する従業員も多く、可視性を下げる大きな要因となった。

「目に見えないものは保護できない」という不朽の格言は、他のどのテクノロジー分野よりもクラウドに関連していると考えられる。一貫した可視性がなければ、企業はクラウド利用に対してどのように通信しているかだけでなく、どのサービスが関連しているかについてもほとんど理解することができない。この理解なくしてサービスの安全確保はほぼ不可能といえる。

マイクロセグメンテーションはクラウドの課題をどう解決するか

クラウドは可視性が低いため、セキュリティチームはクラウド上で何が実行されているかをリアルタイムで把握するのに苦労している。前述のように、アプリケーション、ユーザー、コンピューティング・リソース間の通信の挙動を把握することが困難となる。

これは特に、ハイブリッド環境で顕著な課題となる。また、一貫性のある明確なセキュリティポリシーがないため、重要なデータやアプリケーションが不必要にネットワークにさらされることになる。

こうしたクラウドの盲点に対し、CASBが提供されており、導入企業も多い。CASBは、企業ネットワークとクラウドの間にレイヤーを作り、そこを通る通信を可視化するソリューションだ。これにより、従業員のクラウド利用を把握するとともにリスクレベルを評価し、また利用するクラウドサービスが自社のコンプライアンスに適合しているかも判断できる。

しかし、CASBを導入するには、そもそも自社のクラウド利用に関するセキュリティポリシーやルールが明確化されていることが前提条件となる。これらはCASBの機能を最大限に生かすために重要な要件である。さらに、オンプレミスのセキュリティポリシーやルールも確立しておく必要がある。

CASBは、情報漏えいを検知する機能も搭載しているが、基本的に異常を検知して通知するものであるため、対応や原因の特定には人的リソースが必要となる。また、リモートワークの従業員が直接インターネットに接続してクラウドを利用する場合は、CASBで把握することが難しいケースもある。

クラウドの盲点をなくし、自信を持ってパブリッククラウドサービスを採用することに重点を置く企業に適したセキュリティソリューションが、ゼロトラストの考え方をベースとしたマイクロセグメンテーションである。マイクロセグメンテーションは、文字通りに企業ネットワークを細分化する技術だ。

セグメンテーションによるセキュリティソリューションは以前から存在したが、現在のマイクロセグメンテーションはPC1台単位など、より細かなセグメント化が可能になっている。クラウド環境にも適用できることが特徴だ。しかも、セグメント間の通信をゼロトラストの考え方により制御することで、不正な操作やマルウェアの水平移動（ラテラルムーブメント）を自動的に停止できる。

マイクロセグメンテーションは、リアルタイムの洞察を活用してネットワーク露出のリスクを効果的に低減し、セキュリティポリシーを自動化し、ハイブリッドおよびマルチクラウド環境全体に調和した一貫したセキュリティを適用することが可能となる。

また、ハイブリッドおよびマルチクラウド環境におけるトラフィックフローをリアルタイムで表示し、完全な可視化を実現。セキュリティ上の盲点をなくす。さらに、相互作用を明確に可視化し、アプリケーションの通信や依存関係を把握できる。データセンターとクラウドの間で露出を制限し、セグメントを越える通信には最小の権限によるアクセスを維持することで、一貫したセキュリティの適用が可能となる。