クラウドネイティブ時代に求められるセキュリティプラットフォームのあり方

企業によるクラウド利用が加速している。これに伴い、新たなセキュリティリスクやツールの分散による運用負荷の増大、対応人材の不足といった課題が浮き彫りになってきている。12月13日-14日に開催されたWebセミナー「TECH+フォーラムクラウドインフラ Day 2022 Dec. 変革を支えるニューノーマルのITインフラとは」で、フォーティネットジャパンマーケティング本部プロダクトマーケティングスペシャリスト伊藤史亮氏は、パブリッククラウド活用時に注意すべきセキュリティ課題を解説したうえで、クラウドネイティブ時代に求められるセキュリティプラットフォームについて紹介した。

講演者

伊藤史亮氏
フォーティネットジャパン合同会社
マーケティング本部プロダクトマーケティングスペシャリスト

2025年の崖を考えるうえで重要な3つのポイント

DXを語るうえで欠かせない「2025年の崖」。経済産業省の「DXレポート」で指摘されているこの課題について、伊藤氏はセキュリティに関して大きく3つの重要なポイントがあると指摘する。

1つ目は、システムの老朽化。構築20年を超えるレガシー基幹システムが60%を超える^(※1)ことにより、競合他社・他国に対するビジネス上の競争力が低下するだけでなく、セキュリティパッチが当てられない、OS・ミドルウェアのバージョンアップができないといったセキュリティ上の問題が生じる。

2つ目は、IT人材の不足。DXレポートではセキュリティ人材も含め約43万人が不足する^(※2)と指摘されており、人材を確保できなければ、セキュリティアラートの放置やセキュリティ対応の遅延といった形でセキュリティリスクが上昇することが考えられる。

そして3つ目は、システム維持管理費の高騰。ITシステム予算の90%を維持・管理に投資しなければならず、新しいシステムや技術に投資できない^(※3)という問題だ。セキュリティコストも圧迫され、最新のセキュリティ製品を導入することができず、多様化するサイバー攻撃を防げない可能性が出てくる。

企業によるクラウド利用の現状

フォーティネットが2022年に公表したクラウドセキュリティレポートからは、現在ワークロードの過半数をクラウドで運用していると回答した企業が39%、今後ワークロードの過半数をクラウドで運用する予定と回答した企業の割合が58%と、企業のクラウド利用が加速していることがわかる。^(※4)

同レポートにおいて、クラウド移行によって得られた効果についての回答として1位になったのが、「サービス・プロダクトの市場投入までの期間短縮」である。初期導入の手間が省けたり、スピーディーなデプロイやリリースが可能になったりといったメリットがあげられている。続いて、「顧客ニーズへのレスポンス向上」。その他、「コスト削減」、「リスク軽減とセキュリティ強化」といった項目もクラウド移行の効果としてあがっている。^(※5)

クラウド利用のパターンは、ハイブリットクラウドが39%を占める。また、2社以上のパブリッククラウドを利用していると回答した企業は76%となっている。^(※6)

クラウド利用には課題も多く、こうした状況においては、パブリッククラウド利用における驚異や懸念について考えておく必要がある。たとえば、クラウドの設定ミスやセットアップの間違い、安全ではないインターフェイスやAPIの利用、機密データの流出や不正アクセスといった脅威も問題となる。

マルチクラウド環境ならではの課題もある。クラウドごとに別々のダッシュボードを使うため、多くの技術に精通している必要があり、適切なスキルを持つ人材の確保が難しくなってきている。また、それぞれの環境でデータ保護やプライバシー保護を実現しなければならないこと、異なるソリューションの関連性について理解することなどもマルチクラウド利用の課題としてあげられる。

クラウド利用による新たなセキュリティ課題とは

こうしたなか、新たなセキュリティ課題も発生している。もっとも重大な課題は、セキュリティ対策が追いついていないことだ。対象範囲が拡大しているだけでなく、クラウド化を急ぐことでセキュリティホールや設定ミスが発生しやすくなるという問題もある。そしてそれらをカバーするために多くのセキュリティツールを利用している現状も問題である。

「パブリッククラウドの利用拡大、高度につながったデジタルサプライチェーン、サイバーフィジカルシステムの利用も相まって、攻撃対象範囲が拡大している。クラウドネイティブの環境では、コード、コンテナ、クラスター、クラウドという4Cと言われるそれぞれのレイヤーに対し、さまざまな攻撃手法が存在するため、適切な対処法を講じる必要がある。

また、クラウド環境では開発ツール、管理ツール、分析ツール、ランタイムやプロビジョニングをサポートするツールなど、多くのクラウドネイティブツールを利用していて、それぞれに対してセキュリティの実装も検討しなければいけないため、セキュリティツールが多くなってしまう。セキュリティツールが多いと、出力されるアラートやログが膨大になり、セキュリティチームの運用負荷が増大する」(伊藤氏)

求められるクラウドネイティブセキュリティ

こうした状況においては、どのようなクラウドネイティブセキュリティが求められているのだろうか。ガートナーは、新たなテクノロジー領域としてクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)を提唱している。伊藤氏はCNAPPについて「開発環境と本番環境の両方でクラウドネイティブアプリケーションのセキュリティと保護を支援するために設計された、セキュリティとコンプライアンスに関連した機能のセットと定義されている。クラウドネイティブアプリケーションのライフサイクル全体を追えるようになるため、幅広い攻撃対象をカバーできる」と説明する。

具体的には、CSPM、CIEM、CWPPなど、これまでサイロ化されていた多数の機能を有していること、それらが単一のプラットフォームであることが重要となる。さらに、集約した情報を適切に分析・評価し、具体的な対策をもとに処理を実行するようなOODAループの考えに基づく迅速な意思決定とリスク抑制を実現できるセキュリティプラットフォームであることも欠かせない。

これを実現するものとして、伊藤氏はフォーティネットの新しいプロダクトとして「FortiCNP」を紹介した。FortiCNPは、CSPM、CIEM、CWPPのほか、開発段階での脆弱性対処、データセキュリティ、ネットワーク脅威検知機能などを搭載したクラウドネイティブなセキュリティプラットフォームだ。特長的な機能として、クラウドベンダーのネイティブツールから、設定/構成や脆弱性、機密情報、アクセス権などの情報を吸い出してリスクを評価し、優先順位を決めて対応できるよう手助けするリソース・リスク・インサイトがある。この機能によってセキュリティチームは重要度の高いリスクに集中できるので、効率的な運用が可能となる。

また、AWS、Microsoft Azure、Google Cloud (GCP)などのマルチクラウド環境下でも統合できるため、パフォーマンスを維持しながらセキュリティを簡素化していくことが可能。クラウドベンダーのネイティブツールとフォーティネットが培った高度な脅威インテリジェンスを組み合わせることでセキュリティを容易に拡張でき、コストの削減を実現できるので、セキュリティ投資価値の最大化、セキュリティ管理の生産性向上も期待できる。

伊藤氏は聴講者に対し「FortiCNPの無料トライアルも用意しているので、ぜひ試してみてほしい」と呼びかけて講演を締めくくった。