IT環境の変化が明らかにした既存のセキュリティ対策の限界
この数年、クラウドサービスの活用や働き方改革といった形で徐々に進んできたIT環境の変化が、新型コロナウイルスの影響で一気に加速した。緊急事態宣言にともなって多くの企業でリモートワークが広がったほか、店舗での物理的な接客が困難になったことからオンライン販売を拡大するなど、文字通り生き残りをかけ、積極的にデジタルトランスフォーメーション(DX)に取り組む企業も増えている。
ただ、一連の変化にともなって、既存のセキュリティ対策にはいくつかの限界があることも明らかになってきた。
たとえば、業務に必要なアプリケーションやデータがすべてオンプレミスやデータセンターにあった時代ならば、企業の内側と外側を分ける境界線上で様々な防御策を講じる「境界型セキュリティ」で守ることができた。しかし、多くのアプリケーションがクラウド上に移行し、在宅勤務も珍しくない状況下。つまり、境界線の外側に様々なリソースが存在する中では、囲い込みをベースとした境界防御でセキュリティを保つのは困難だ。そこで、ゼロトラストセキュリティやSASEといった新たなアプローチが模索されていることは、多くの方も耳にしているだろう。
「え、そんなはずは……」で漏洩が多発するクラウド環境のセキュリティ対策
IT環境の変化の中でもう1つ浮上してきたリスクが、クラウド環境そのもののセキュリティ対策だ。事業のデジタル化、オンライン化を素早く、コスト効率よく進めるには、柔軟性を特徴とするクラウドサービスの力が欠かせない。だが、オンプレミス環境との違いを理解しないまま安易に導入すると、セキュリティリスクを招く恐れがある。
たとえば、「クラウドストレージが公開され、○○件の個人情報が閲覧できる状態になっていた」といったニュースを耳にした方も少なくないはずだ。その多くが、クラウドサービスの権限設定やアクセス制御の不備に起因している。「関係者だけが閲覧できる状態のはず」とオンプレミスの感覚で利用していたら、実は不特定多数の第三者が自由にアクセスできる状態だった、というわけだ。
また、クラウドサービス利用時の認証にもオンプレミスの環境と同等、いやそれ以上の強固さが必要だ。だが残念ながらIDとパスワードだけで認証しているケースは少なくない。この結果、フィッシング詐欺にだまされて盗み取られた情報を元に、本人になりすましたアクセスを受ける恐れがある。さらに、ユーザーや業務ごとにアカウントを整理せず、多数の従業員に特権アカウントを与えていたりすると、侵入後に改ざんや情報の持ち出しなど、より深いダメージを受ける場合もあるのだ。
それ以前に、クラウド環境のセキュリティ検査に手が回りきらない、というケースも珍しくない。そもそもクラウドサービスを利用する際には「責任共有」が大前提だ。インフラやファシリティ面はクラウドサービス事業者が責任をもって担保するとしても、その上で動かすOSやアプリケーションのセキュリティは利用企業の責任であり、自らが対策し、確認しなければならない。
だが、DXに必要なサービス開発を優先するあまり、セキュリティ面のチェックにまで手が回らないどころか、自社でどのようなクラウドサービスを利用しているのか、俯瞰して把握できていないケースも少なくない。こうして野良サーバーならぬ「野良インスタンス」があちこちに放置された結果、サイバー攻撃者のかっこうのターゲットになってしまっている。そのため、一つの脆弱性を突かれた後にラテラルムーブメント(横展開)され、複数のインスタンスにコインマイナーやランサムウェアなどを仕掛けられてしまうインシデントも発生している。
ただ、それにも無理からぬ事情はあるだろう。そもそもクラウド活用は、様々な環境の変化に迅速に対応し、DXを推進する原動力として活用するもの。「ちょっと新機能をテストで動かしてみよう」という具合に利用したり、新規ビジネスのコンセプトを試すためスモールスタートで始めたりできるのは、クラウドにおける最大のメリットだ。もし、「セキュリティの検査をしないとリリースは認められません」と数ヶ月ブレーキをかけてしまうと、競合他社に追い越されてしまうことになるだろう。これでは何のためのクラウドであり何のためのDXなのか、本末転倒だ。
では、最大の強みである拡張性や柔軟性を生かしながら、必要十分なセキュリティを担保するにはどうすればいいのだろうか。特に、CI/CDなどを組み合わせて迅速にアプリケーションをリリースし、ときにオートスケールによって環境が自動的に拡張していく中で、自社のセキュリティポリシーを徹底するにはどうしたらいいのだろうか。
