SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

DX時代を見据えた、改訂版「ITインフラ構築の教科書」

マルチクラウド、ハイブリッドクラウド時代に求められる新たな対策

【第2回】注目を集める「CSPM」と「CWPP」とは何か

 新型コロナウイルスの影響を受け、生き残りをかけてデジタルトランスフォーメーション(DX)に取り組む企業が増えている。その基盤として、高い柔軟性・拡張性を持つクラウドサービスの採用も広がっているが、クラウドの設定ミスや不備に起因する情報漏洩や不正アクセスが後を絶たない。そのリスクへの対策として注目されるのが「CSPM」と「CWPP」だ。

IT環境の変化が明らかにした既存のセキュリティ対策の限界

 この数年、クラウドサービスの活用や働き方改革といった形で徐々に進んできたIT環境の変化が、新型コロナウイルスの影響で一気に加速した。緊急事態宣言にともなって多くの企業でリモートワークが広がったほか、店舗での物理的な接客が困難になったことからオンライン販売を拡大するなど、文字通り生き残りをかけ、積極的にデジタルトランスフォーメーション(DX)に取り組む企業も増えている。

 ただ、一連の変化にともなって、既存のセキュリティ対策にはいくつかの限界があることも明らかになってきた

 たとえば、業務に必要なアプリケーションやデータがすべてオンプレミスやデータセンターにあった時代ならば、企業の内側と外側を分ける境界線上で様々な防御策を講じる「境界型セキュリティ」で守ることができた。しかし、多くのアプリケーションがクラウド上に移行し、在宅勤務も珍しくない状況下。つまり、境界線の外側に様々なリソースが存在する中では、囲い込みをベースとした境界防御でセキュリティを保つのは困難だ。そこで、ゼロトラストセキュリティやSASEといった新たなアプローチが模索されていることは、多くの方も耳にしているだろう。

「え、そんなはずは……」で漏洩が多発するクラウド環境のセキュリティ対策

 IT環境の変化の中でもう1つ浮上してきたリスクが、クラウド環境そのもののセキュリティ対策だ。事業のデジタル化、オンライン化を素早く、コスト効率よく進めるには、柔軟性を特徴とするクラウドサービスの力が欠かせない。だが、オンプレミス環境との違いを理解しないまま安易に導入すると、セキュリティリスクを招く恐れがある。

 たとえば、「クラウドストレージが公開され、○○件の個人情報が閲覧できる状態になっていた」といったニュースを耳にした方も少なくないはずだ。その多くが、クラウドサービスの権限設定やアクセス制御の不備に起因している。「関係者だけが閲覧できる状態のはず」とオンプレミスの感覚で利用していたら、実は不特定多数の第三者が自由にアクセスできる状態だった、というわけだ。

 また、クラウドサービス利用時の認証にもオンプレミスの環境と同等、いやそれ以上の強固さが必要だ。だが残念ながらIDとパスワードだけで認証しているケースは少なくない。この結果、フィッシング詐欺にだまされて盗み取られた情報を元に、本人になりすましたアクセスを受ける恐れがある。さらに、ユーザーや業務ごとにアカウントを整理せず、多数の従業員に特権アカウントを与えていたりすると、侵入後に改ざんや情報の持ち出しなど、より深いダメージを受ける場合もあるのだ。

 それ以前に、クラウド環境のセキュリティ検査に手が回りきらない、というケースも珍しくない。そもそもクラウドサービスを利用する際には「責任共有」が大前提だ。インフラやファシリティ面はクラウドサービス事業者が責任をもって担保するとしても、その上で動かすOSやアプリケーションのセキュリティは利用企業の責任であり、自らが対策し、確認しなければならない。

 だが、DXに必要なサービス開発を優先するあまり、セキュリティ面のチェックにまで手が回らないどころか、自社でどのようなクラウドサービスを利用しているのか、俯瞰して把握できていないケースも少なくない。こうして野良サーバーならぬ「野良インスタンス」があちこちに放置された結果、サイバー攻撃者のかっこうのターゲットになってしまっている。そのため、一つの脆弱性を突かれた後にラテラルムーブメント(横展開)され、複数のインスタンスにコインマイナーやランサムウェアなどを仕掛けられてしまうインシデントも発生している。

[画像クリックで拡大]

 ただ、それにも無理からぬ事情はあるだろう。そもそもクラウド活用は、様々な環境の変化に迅速に対応し、DXを推進する原動力として活用するもの。「ちょっと新機能をテストで動かしてみよう」という具合に利用したり、新規ビジネスのコンセプトを試すためスモールスタートで始めたりできるのは、クラウドにおける最大のメリットだ。もし、「セキュリティの検査をしないとリリースは認められません」と数ヶ月ブレーキをかけてしまうと、競合他社に追い越されてしまうことになるだろう。これでは何のためのクラウドであり何のためのDXなのか、本末転倒だ。

 では、最大の強みである拡張性や柔軟性を生かしながら、必要十分なセキュリティを担保するにはどうすればいいのだろうか。特に、CI/CDなどを組み合わせて迅速にアプリケーションをリリースし、ときにオートスケールによって環境が自動的に拡張していく中で、自社のセキュリティポリシーを徹底するにはどうしたらいいのだろうか。

次のページ
クラウドの強みを生かしながら保護を実現するCSPMとCWPP

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
DX時代を見据えた、改訂版「ITインフラ構築の教科書」連載記事一覧
この記事の著者

髙岡 隆佳(タカオカ タカヨシ)

ゼットスケーラー株式会社 エバンジェリスト&アーキテクト   セキュリティ業界で18年の経験を活かし、製品やソリューションに捉われない、セキュリティ投資の方向性について啓蒙活動を実施。2019年よりゼットスケーラーのエバンジェリスト&アーキテクトとして、国内大手企業に対して...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/14185 2021/04/06 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング