*本記事は2021年11月9日にNTT Ltd. 社 Gareth Watters が同社ブログに投稿した記事の抄訳です。

元記事：Securing the multicloud in your hybrid workplace (global.ntt)

Software-as-a-Service とパブリック・クラウド・サービスの両方を利用する企業は、事実上マルチクラウド環境で事業を展開しており、これに対応したセキュリティ体制を整える必要があります。

セキュリティ管理者は、組織でマルチクラウドを利用する際に選択の余地を与えられないことが多いようです。マルチクラウドの利用は、パブリッククラウドサービスと、パブリッククラウドインフラストラクチャ上でホストされるSoftware-as-a-Service（SaaS）製品の利用を組み合わせることによって発展してきました。この1年、クラウドサービスは、リモートワークをサポートするための迅速かつ費用対効果の高い拡張性の高い方法として活用されてきましたが、残念ながら、複数のクラウドのセキュリティは後回しにされてきました。ハイブリッド・ワーキングは今後も継続されるため、適切な配慮が必要です。

マルチクラウドの背景

Azure、Amazon Web Services（AWS）、Google Cloud Platform（GCP）などの主要なクラウドサービスプロバイダ（CSP）は、Infrastructure-as-a-Service（IaaS）、Platform-as-a-Service（PaaS）、Function-as-a-Service（FaaS）（別名サーバーレス）や、Software-as-a-Service（SaaS）を提供しています。

SaaSは、Microsoft Teamsを含むMicrosoft 365、Zoom、Salesforce、ServiceNow、Dropbox、GitHubなど、今日の多くのビジネスアプリケーション、コラボレーションツール、開発者向けツールの標準的な提供モデルとなっています。SaaSサービスは、そのサービスとしての性質上、クラウドサービスとして提供される傾向があります。

つまり、マルチクラウドを利用しているかどうかの判断基準は、「異なるクラウドサービスプロバイダーから提供される2つ以上のクラウドサービスを利用しているかどうか？」というシンプルなものになります。

1. SaaS
2. FaaS
3. PaaS
4. IaaS

イエスである可能性が高いです。そして、運用中の個々のサービスやクラウドのセキュリティを管理するよりも、マルチクラウドを全体的に保護することを考えた方が、より効果的、効率的、かつリスクが低くなります。

クラウドへの脅威

2021 Global Threat Intelligence Reportでは、クラウド導入の加速により、サイバーセキュリティ攻撃が増加していることが強調されています。

最も一般的なクラウドの脅威と攻撃には、クラウドの誤設定によるデータ漏洩のほか、企業が在宅勤務やリモートアクセスのソリューションを急いで導入した際に増幅したWeb攻撃やアプリケーション攻撃が含まれます。

サイバー犯罪者もまた、その手口を変えつつあります。2020年最大の脅威の一つであったランサムウェアは、「クラウド内のランサムウェア」に進化すると予測されています。これは、ランサムウェアがクラウドサービスに関連するデータを暗号化し、実質的にクラウドとその中のデータを人質にすることを意味します。また、サイバー犯罪者は、ランサムウェア・アズ・ア・サービス（RaaS）という形でクラウドの力を活用し、スケーラブルでより効率的な攻撃を行うことも確認されています。

マルチクラウドの安全性

クラウド・トランスフォーメーションは、企業にビジネス価値と俊敏性を与えますが、ネットワークとセキュリティの変革という形で必要なサポートを必要とします。

では、変革の一方でパブリッククラウドやSaaSアプリケーションを利用する場合、どのようにリスクを管理すればよいのでしょうか。これは、データ、ユーザー、アプリケーション、インフラストラクチャ、ワークロード、ネットワークなど、あらゆる面で答えを出さなければならない問題です。

ここでは、マルチクラウドを保護するためのベストプラクティスをご紹介します。

戦略

マルチクラウドのセキュリティ確保を開始する前に、適切なセキュリティ戦略を策定してください。この戦略は、組織の短期および長期の目標をサポートし、リスク管理およびコンプライアンス義務を考慮し、セキュリティがビジネスの成果を実現するためのものでなければなりません。

また、組織がテクノロジーとビジネス戦略においてクラウドに期待する役割（例：クラウドファーストアプローチ）を確認することも重要です。戦略的なビジネス成果とクラウドの役割が理解できれば、クラウドのセキュリティを維持しながらビジネスに価値をもたらすようなクラウドのセキュリティ・プログラムを作成する方法が明らかになります。

セキュリティ・プログラム

セキュリティ・プログラムの策定にあたっては、情報セキュリティの現状を評価し、望ましい状態を定義し、望ましい状態に対するギャップ分析を行い、あるべき姿に到達するために必要な作業を把握することが重要です。

目指すべき状態は、企業の戦略的目標や包括的なセキュリティ戦略と結びつけて考える必要があります。

また、セキュリティ、リスク管理、及びビジネス・パフォーマンスの適切なバランスを取るために、事業のリスク選好度を考慮したプログラムを作成する必要があります。健全なリスク評価では、定量的および定性的なリスク評価手法を使用して、望ましいリスクプロファイルを決定します。

最後に、プログラムにとって重要なセキュリティ上の成果には、以下のようなものがあります。

• マルチクラウド、SaaS、パブリッククラウドのビジネス利用をサポート
• 法律や規制の順守
• 静止時、移動時、使用時のデータおよびデータ・プライバシーの保護
• ユーザー、ユーザーID、ユーザーデバイスの保護
• 攻撃を検知し、侵入を防止
• 自動化やDevSecOpsを含む、セキュリティ機能の近代化
• アウトソーシングと自社での能力構築の機会の見極め

組織内では、ITアーキテクチャの設計、計画、実装、管理を支援し、ビジネスの戦略的目標に確実に結びつけるために、エンタープライズセキュリティアーキテクチャ（ESA）のフレームワークと方法論（SABSAまたはTOGAFなど）を検討する必要があります。ESA は、成熟したセキュリティロードマップを実現するための手段です。

クラウド・センター・オブ・エクセレンス（CCOE）の設立

クラウドとその利用は、多くの企業で社内サービスの1つとして提供されるようになるでしょう。

CCOE は、ビジネス、テクノロジー、およびセキュリティの関係者を、クラウド導入のための単一の（不可知論的な）枠組みの下にまとめ、クラウド利用の支援とベストプラクティスを提供します。

また、CCOE は、マルチクラウドのセキュリティ・ポリシー、プロセス、および手順をそのフレームワークに統合する必要があります。

機能、コンポーネント、および技術

アイデンティティ

アイデンティティは、クラウド変革のためのセキュリティの主要な構成要素です。アイデンティティを適切に管理することは、クラウド移行を成功させるための重要な第一歩です。クラウドへの移行やクラウド間の移行を管理しやすくし、複雑さを軽減するために、すべてのIDを単一のIDプロバイダに統合することをお勧めします。

SaaSアプリケーション

オンプレミスからSaaSに移行する場合、オンプレミスで必要な運用セキュリティのオーバーヘッドを削減し、SaaSのメリットを迅速に実現することができます。SaaSアプリケーションは、データ主権、情報へのアクセス、所有権に関する組織のセキュリティ要件を満たしていることを確認し、契約するサードパーティのセキュリティ管理を確認する必要があります。コンプライアンスは、通常、SaaSのためのクラウドアクセスセキュリティブローカー（CASB）で測定することができます。

パブリック・クラウド

クラウドでリファクタリングするためのアプリケーション戦略を理解したら、これらの要件を満たすためのセキュリティ計画を立てます。それは、リフト＆シフトや3層バックエンドのユーザー・インターフェースの更新の場合もあれば、コンテナを使用して配信されるオーケストレーションされたマイクロサービスを使用したクラウド・ネイティブ・アプリケーション・アプローチに完全に再設計する場合もあります。

セキュリティ技術と運用のアプローチは、社内の能力だけでなく、CSP 技術（Azure、AWS、GCP など）またはベンダー技術のいずれによってセキュリティ成果を提供しようとするのかによっても異なります。CSPの用語とサービスの違いについて理解しておく必要があります。また、集中リスク、つまり、1つのCSPのカゴにすべての卵を入れることのリスクを管理する必要があります。CSPはサードパーティサプライヤーでもあるため、万が一に備えてバックアウトプランを用意しておく必要があります。

ハイブリッド・ネットワーク

SaaSやパブリッククラウドへの移行や普及には、ネットワークの近代化が必要です。SD-WANとブロードバンドを利用したハイブリッド・ネットワークへの移行、WANのコストと複雑性のダウンサイジング、ダイレクト・インターネット・アクセス（DIA）への移行は、セキュリティ・アプローチを再構築する機会を提供します。インターネットに接続されたトラフィックのデータセンターへのバックホールを減らし、セキュリティ・アプライアンスで処理できるようにすれば、Secure Access Service Edge（SASE）のような最新のクラウド提供型セキュリティ戦略も可能になります。これにより、ユーザーのWebエクスペリエンスとネットワーク・パフォーマンスの向上が期待できます。また、脅威の大半は暗号化された通信経路を使用しているため、必ずSSL検査を使用してトラフィックを検査するようにしてください。

アプリケーション

2021年の最大の攻撃タイプは、Webアプリケーションとアプリケーション固有の攻撃でした。2022年もアプリケーションへの攻撃は増え続けると予想されるため、アプリケーションがどこにあろうと、アプリケーションのセキュリティは最重要です。

アプリケーションの安全性を確保するためには、以下のことが必要です。

• ゼロ・トラスト・アプローチなどのユーザー（およびデバイス）IDを組み合わせたクラウド提供のセキュリティを使用して、ユーザーとアプリケーションを接続する。
• ソフトウェア構成分析（SCA）、静的アプリケーションセキュリティテスト（SAST）、動的アプリケーションセキュリティテスト（DAST）により、開発ライフサイクルのすべての段階でアプリケーションを確実に保護する。そのためには、アプリケーションのセキュリティと開発に関する能力を高める必要があります。
• Web Application Firewalls (WAF) と Web Application and API Protection (WAAP) を使って、公開アプリケーションと Application Programming Interfaces (API) を保護する。
• 可能であれば、クラウドネイティブソリューションを使って、インフラストラクチャとワークロードを保護する。マルチクラウドのセキュリティ・ソリューションは、主にサードパーティのセキュリティ・ベンダーから提供されます。
• 静止データと移動中のデータを暗号化する。

セキュリティの運用

特定、保護、検知、対応、復旧：これらはNISTサイバーセキュリティフレームワーク（CSF）の中核的な機能です。セキュリティ運用が効果的であるためには、マルチクラウドに対してこれらのタスクをすべて実行できるように進化する必要があります。

現在、サードパーティのセキュリティ・ベンダーは、CSPよりも多くのマルチクラウド・セキュリティ・ソリューションを提供していることに注目することが重要です。ほとんどの CSP は高度なインクラウド・ソリューションを提供しており、サードパーティのツールでは対応できないネットワークの奥深くまで見通すことができるという利点がありますが、CSP は現在のところ成熟したマルチクラウド・セキュリティ・ソリューションを提供していません。

複雑なエコシステムの維持や監視に伴う運用上のオーバーヘッドを軽減し、マルチクラウド環境全体における脅威の検知や対応能力を向上させるためには、クラウドやマネージド・セキュリティ・サービス・プロバイダへの運用のアウトソーシングを検討することが必要です。

測定

NIST、CSA（Cloud Security Alliance）、ISOなどの業界標準に対するコンプライアンスの測定は、以下のようなツールを使って実現できます。

• クラウドセキュリティポスチャー管理（CSPM）
• SaaS向けクラウドアクセスセキュリティブローカー(CASB)
• クラウドワークロードプロテクションプラットフォーム(CWPP)

これらのクラウドネイティブツールは、すぐに使える機能だけでなく、カスタム測定値を作成する機能も備えており、報告やコンプライアンスの実証に重要な役割を果たします。

文化

成功のためには、リーダーシップ、コミュニケーション、教育が重要です。マルチクラウド・セキュリティを実現するためには、企業文化を変え、セキュリティ意識を高めることが必要です。デジタル IT、セキュリティ、開発者、運用、および技術部門以外の従業員を含むすべてのチームに対して、セキュリティ教育を継続的に実施することも重要です。

最後に

2022年には、マルチクラウドとハイブリッドワークプレイスは切っても切り離せない存在になるでしょう。多くの企業は、デジタルトランスフォーメーションに関する長期的かつ戦略的な思考に移行しています。ハイブリッドワークプレイスプログラムの安全性を確保するために、セキュリティは最初の段階で考慮する必要があります。

NTT Com DDが提供するセキュリティソリューション