多様化する環境と複雑化する運用、セキュリティにおける課題
ハイブリッドやマルチクラウドに対応し、あらゆるインフラやサービスの運用管理を自動化、標準化する製品サービスを展開するHashiCorp。今年に同社がグローバルで企業向けにクラウド導入や運用の現状について調査を実施したところ、既にマルチクラウドを活用していると回答した企業は8割を超えているという。
そしてそれらの企業の9割が、マルチクラウドが各社のIT戦略において機能していると回答。また86%の企業がCCoE(Cloud Center of Excellence)やプラットフォームチームといった中核組織を組成し、組織横断的に各社のクラウド戦略を推進していると答えたとのこと。
一方、意思決定者にとってはセキュリティ確保への意識がより高まっている。「我々の調査でも、CIOやCTOら意思決定をする立場からの回答では、クラウド活用を進める上ではセキュリティが最も重要な鍵との声が89%ありました。グローバルでの調査結果でこの高い数値ですから、セキュリティへのアンテナが高い国内市場に絞るとより高い結果になると考えられます」と話すのは、HashiCorpで日本市場のマーケティング責任者を務める坂田州氏だ。
あらゆる便利なサービスがクラウドで提供される昨今では、大きな組織になればなるほど部門毎に異なる環境やサービスの採用が行われ、結果的に異なる運用フローが点在しやすい。そうなれば運用コストもかさみ、介在する人の数も増えれば求められるスキルセットも多様となり、管理も難易度が増す。「各社が各種クラウドサービスを導入しながらも、ある一定のガバナンスを効かせ、尚且つセキュリティを確保することが多くの企業にとって課題となっています」と坂田氏は指摘する。
確かに様々なサービスが点在すれば、たとえば個々の環境で利用する暗号鍵の管理も繁雑化、複雑化するといった課題は容易に生起する。複雑化し、そこに人が介在することでミスが生起し、情報漏洩のリスクにつながってしまう。実際に漏洩被害に遭い、痛い目を見てから慌てて鍵管理ソリューションを探す企業もあるという。
「利用するクラウドサービスが多様化し、またそのサービス仕様や機能が追加されたり、ある日突然変わる可能性のある環境においては、利用するサービス毎に適したセキュリティ対策を実施することは容易ではありません」と語るのは、HashiCorp Japanで技術営業組織を統括する小原光弥氏だ。セキュリティリスクが見つかったりセキュリティ事故が発生してから対応完了するまでの時間は最小限にすることが求められるため、現場での対応は一層困難となる。
一方、複雑化するマルチクラウド環境においても変わらないのは“システムにアクセスする主体(アイデンティティ)”だ。「誰がもしくは何がどこにつながるのか、その接続は正しいのか。クラウド環境は変化してもアクセスする主体である“アイデンディティ”が存在することは変わりません。一方、アイデンティティ自体は変化・多様化しているのも事実です。だからこそ変わらず存在する“アイデンディティ”に注目し、それを起点に正しいアクセスを定義するというシンプルな対応が求められます」と小原氏は指摘する。
さらにクラウドの世界は変化が速く、ユーザーだけでキャッチアップすることもまた大変な労力だ。結果的にクラウドでの開発運用においても、パートナーなど外部の力に頼ることが普通となり、これもまた新たなリスクを生む結果となる。
散在するクラウド環境に内部、外部の人間が安全にアクセスすれば、ガバナンスを確保する必要があるためだ。従来、外部の人間については契約などで縛る“性善説”で対処してきた。しかしながら今はゼロトラストといった、インシデントは起こるものと考え「テクノロジーで守り、仕組みでガバナンスが効くようにすることが重要です」と小原氏は言う。
