「より安全な」ビジネスをクラウドで実現できるのか
2015 年に開催されたクラウド関連の大規模カンファレンスで、米国の大手銀行、Capital One の CIOが、「AWS の方が自社のデータセンタよりも安全に運用できる」と発言し、注目を集めました。果たしてこれは事実なのでしょうか。
自前のデータセンタや物理サーバであれば、すべてを完全にコントロールできます。ソフトウェア、ネットワーク、ハードウェアを自分たちでインストールするため、設定方法を正確に把握できるはずです。自社のニーズに合わせてすべての機器を構成し、自分たちで管理します。セキュリティ、ログ、監査についても、可能な限り高水準のプロセスを採用できます。細部に至るまでを完全にコントロールして監査でき、知らぬ間に外部から自社のデータにアクセスされてしまうこともありません。理論的には、自社環境のあらゆる側面を厳密にコントロールすることで、極めて高水準のセキュリティを実現できるはずです。
ところが、現実的には、インフラストラクチャの保護、サーバの保守、データセンタの運用は、一般的な企業にとってはビジネスの中核ではなく、階層構造の複雑なセキュリティベストプラクティスを実装、保守、監査するための人材や時間の余裕がありません。導入や変更にあたっては、事前にセキュリティ担当者に相談するべきですが、そうでないことが多いのは、変更が多過ぎて、1 つ 1 つの変更を手動で検証するのが不可能であるためです。また、次々と発生するセキュリティアラートに処理が追いつかず、ボトルネックとなるセキュリティ対策やプロセスを無効にしてしまったり、ログを書き換えたり、時には削除したりすることさえあるのが現状です。さらには、暗号鍵がファイルシステムに安全に保存されていないこともあります。複数の人が、十分な監査を経ることなく、構成ファイルを手動で更新します。役割が分離されていないために、不注意で(あるいは意図的に)重要なシステムをすべて削除できてしまうほどの過剰なアクセス権が 1 人に集中しています。
サードパーティのクラウドプラットフォームでは、環境のセキュリティを保証する、新しいアプローチが採用されています。クラウドプロバイダと顧客のセキュリティの役割が明確に分離されており、クラウドプロバイダが管理するシステムやネットワークの側面に顧客がアクセスすることはできません。顧客にとっては、セキュリティ対策の不備につながるように思えるかもしれませんが、クラウドプロバイダのセキュリティプロセスをチェックし、それに勝る対策を自らが実行できるかどうかを考えてみるとよいでしょう。もし、自らのセキュリティ対策の方が優れていると思えるのであれば、おそらく、クラウドを利用せずにビジネスを続けるべきでしょう。ただし、クラウドプロバイダのセキュリティ対策が自社を上回っているのであれば、クラウドを利用した方が安全である可能性があります。
パブリッククラウド最大手のプロバイダのセキュリティプロセスの詳細は、以下のリンクを参照してください。
認定されたプロセスと多数のセキュリティスペシャリストを抱えるクラウドプロバイダに一部のセキュリティ対策をオフロードできるだけでなく、セキュリティ強化につながるクラウドプラットフォームの機能を利用できるというメリットもあります。クラウドプラットフォームには、企業のセキュリティ強化に役立つ、次のような機能が提供されています。
1. インベントリ:
CIS Critical Security Controls(米国の Center for Internet Security によるセキュリティ対策指針)に、「企業は認定されたシステムのインベントリを維持管理すべきである」と明記されていますが、クラウドプラットフォームには、このようなシステムのインベントリを自動的に維持管理する方法が提供されています。クラウドプラットフォームでは、展開されたものすべてがインベントリに追加され、アカウントの所有者は、自分のアカウントで実行中の処理を照会できます。クラウドサービスには、AWS のタグなどの、インベントリ分類のためのさまざまな仕組みが提供されています。これに対し、オンプレミスのサーバでは、これらのインベントリ管理を手動で行わなければなりません。
2. 自動化:
クラウドプロバイダが提供するツールを活用することで、サードパーティのクラウドプラットフォームへの展開を自動化できます。自動展開であれば、人的ミスが排除されます。もちろん、オンプレミスでも自動化の仕組みを構築できますが、ほとんどの企業には、クラウドプラットフォームと同じ速さと正確さでこれを実行するためのリソースがありません。クラウドプラットフォームによって提供されるツールを活用すれば、自動展開のためリソースやメカニズムを利用して、早期に目的を達成できます。
3. サードパーティによる監査:
サードパーティのクラウドプラットフォームは、すべてを監査するという前提で設計されています。たとえば、AWS では、CloudTrail サービスをオンにすると、AWS システムで発生したすべてのアクションが自動的かつ安全にログに保存されます。ユーザアカウントと権限を正しく設定しておけば、AWS によって、すべてのアクションが実行した個人に結び付けられます。このサービスの維持管理は AWS によって実行されるため、顧客側の担当者がクラウドサービスの監査証跡を変更することはできません。このサービスを利用すれば、担当者が少ない企業であっても、人員を増やすことなく、職務の分離とサードパーティによる監査が可能になります。
4. ログの安全な保存:
クラウドプラットフォームで実行されたアクションだけでなく、すべてのシステムで実行されたアクションのログをクラウドプラットフォームに送信することもできます。権限の設定によって、アクションを実行するユーザやシステムはがログを削除したり変更したりできないようにすることもできます。ストレージの拡張性とコスト効率が高いため、長期にわたってログを保存でき、冗長性も向上します。
5. 暗号化と鍵管理:
サードパーティのクラウドには、多くの企業にとって面倒な、鍵管理のソリューションが提供されていることもあります。サードパーティが管理する秘密鍵を割り当てることも、独自の鍵を利用することもできます(後者の場合は、顧客が鍵を確実に保護し、失われないようにする必要があります)。また、HSMや自動鍵管理、さらには、ボタンをクリックするだけでデータベースやストレージを暗号化する機能などを提供しているクラウドもあります。
6. イベント駆動のセキュリティチェック:
一部のクラウドプラットフォームでは、変更に対するセキュリティチェックや監査を実行し、セキュリティポリシーと一致しない変更をブロックしたり、アラートを発行したり、取り消したりすることができます。たとえば、暗号化されていないファイルのアップロードや過剰なアクセスを許可するネットワークルールの作成を禁止することもできます。セキュリティチームがルールを記述して、アカウントのアクションを自動的に許可/禁止するようにしておけば、変更が要求されるたびに手動でチェックする必要はありません。詳細は、イベント駆動のセキュリティの自動化に関するこのホワイトペーパー(英文)を参照してください。
データを安心して保存できる、信頼できるクラウドプラットフォームを選ぶのは、お金を預ける銀行を選ぶのと似ています。重要なのは、SLAや契約書に明記されているセキュリティ対策が適切であり、サードパーティによってそれが認められているプロバイダを選ぶことです。クラウドプラットフォームでは、セキュリティの詳細が関連文書や契約書に記載されています。サードパーティによる監査と認定を参照すれば、クラウドプロバイダが公開しているセキュリティ対策が正しく実施されていることを確認できます。最後に、ブランドの知名度や信用度を評価基準として活用します。断言はできませんが、有名なクラウドプロバイダであれば、セキュリティに多く投資することで、高評価を維持しようと努力しているはずです。
多くの企業にとって、クラウドは、セキュリティを強化できる大きな可能性を秘めています。Schneider Electric の最近の調査によれば、IT 部門の調査対象者の 78% が、クラウドは安全であると考えています。ただし、IT 担当者は必ずしもセキュリティ専門家ではないため、クラウドへの移行にあたっては、セキュリティのベストプラクティスに従うことで、Code Spaces(閉鎖に追い込まれた、クラウド型コードホスティングサービス)と同じような運命をたどらないようにする必要があるでしょう。セキュリティの設計と実装が適切であれば、クラウドの活用によって IT 部門の作業が軽減され、セキュリティとソフトウェア開発が統合され、(Amazon が AWS re:Invent カンファレンスで提唱したような)新たなビジネスのアイデアを安全な方法でシステムやプロセスに組み込めるようになるでしょう。クラウドへのビジネスの移行を検討する際は、この記事でご紹介した基準をぜひ参考にしてください。— Teri Radichel(@teriradichel)