テレワーク普及に合わせ、クラウドセキュリティをどう考えるか
様々なクラウド製品の普及にともない、クラウドの利用目的も多種多様となってきた。また、コロナ禍の長期化や不透明な経済を背景に、企業には外部環境変化への柔軟な適応が求められている。PayPay銀行ではマルチクラウド化が進行中だが、「クラウド利用時のリスク評価の項目は、オンプレミスの場合とさほど変わらない」と岩本氏は見ている。とはいえ、リスク評価の省略は決して行うべきではない。そこで、パブリッククラウド利用時の委託先選定では、FISC(金融情報システムセンター)の「金融機関におけるクラウド利用に関する有識者検討会報告書(PDF)」の内容を参考としつつ独自に項目を追加し、同行としての独自の評価を可能にした。
さらに、PayPay銀行は各種セキュリティ基準やフレームワークも積極的に活用しており、SOCレポートはその1つである。ISMS(情報セキュリティマネジメントシステム)を取得している企業は多いが、認定証明書を見るだけでは、具体的な評価内容がわからない。しかし、SOCレポートであれば、監査法人などによる評価結果を確認できる。
加えて、必要に応じて「FedRAMP(フェドランプ)」も参照。これは、米国連邦政府共通の、クラウドサービス調達のためのセキュリティ基準を示したものだ。日本国内でも2021年3月から、ISMAP(政府情報システムのためのセキュリティ評価制度)の運用が始まっているが、選定に迷った際は、同行のようにリストの掲載有無を確認することも1つの手になりそうだ。ただし、これらを踏まえたセキュリティ観点からの評価は高くても、「価格や使いやすさなどについては、別途検討の必要があると思う」と岩本氏は述べた。
ところで、クラウドにおけるセキュリティ対策といえば、最近では「ゼロトラスト」を連想する動きもあるが、バズワード先行の現状に岩本氏は疑問を投げかける。社内ネットワークが安全と言い切れない時代になってきたものの、端末の遠隔操作を行う攻撃にはログ分析(SIEM)、悪性Webサイトへの誘導にはWebフィルタなどといったように、基本的な対策は従来と大きくは変わらないのではないか。そう考えた岩本氏は、サイバーキルチェーンの攻撃パターンから、入口対策、内部対策、出口対策の3つで整理を試みた。
(画像クリックで拡大)
その結果、クラウドにおけるセキュリティ対策の基本的な対応事項は変わらないが、検討範囲が変わることを実感したという。実際、重要データがクラウド上にある場合、オンプレミス環境だけを守っていても情報漏洩は防げない。「社内から各種クラウドへの通信が業務通信なのか、プライベート通信なのか、不正通信なのかの見極めが肝」と話す岩本氏であるが、難しさも実感している。テレワークを認める以上、社内からのアクセスのみに制限するわけにもいかない。その意味では、クラウドアクセス時の認証強化が重要になりそうだ。
