【インタビュー】クラウドのセキュリティ対策はもはや経営課題に(株式会社ラック)
※ この記事は 2017年05月19日に DX LEADERS に掲載されたものです。
業務効率化や、働き方改革の一環としてクラウドを導入している企業、導入を検討している企業は多い。しかし、セキュリティ対策はもはや経営課題と捉える時代となり、重要なデータを社内ではなく、自分たちの手の届かないクラウド上に置くことに関して不安に思う声もあるだろう。
そこで今回は、日本におけるセキュリティ対策のリーディングカンパニーである株式会社ラック 事業企画部 信太 貞昭氏、川野辺 満氏に、クラウドの安心安全な利用を推進するためのマイクロソフトとのIDベースドセキュリティに関する取り組みについて話を伺った。
クラウド導入においてセキュリティが大きな壁になっている
「企業がオンプレミスで作ってきたシステムのどこまでをクラウドに移行すべきかの利用基準が明確になっていません。標準化・テンプレート化・こうすると安心・理想など、正解が用意されていると、自社も導入していこうというモデルができやすいのではないでしょうか。」(信太氏)
日本の文化として、横に倣うところがあるという。ここが導入しているから大丈夫だろう、この基準に則っているから安全だ、などがそれにあたる。2015年、経済産業省がサイバーセキュリティ経営ガイドラインを制定し、経営者のリーダーシップの下でサイバーセキュリティ対策を推進することを求めているが、クラウド業務に関する規定については述べられておらず、どのような業務をクラウドに活用すべきか、どうセキュアにクラウドを活用すべきか、という指針はまだ出ていない。
「そのために、各社が指針のないままに個別にクラウドにおけるセキュリティに対して向き合わなければならないというのが企業にとって大きな負担になっているのではないかと考えられます。」(信太氏)
さらに、日本の社内システムは管轄部門が分かれていることも多く、各社、各部門に導入ポリシーが異なり、全社として一括でリプレイスすることが難しいケースもある。各部署との調整、業務要件、システム要件を踏まえ、現状の環境を考慮しながらクラウド導入を決めていくため、決定までの道筋が非常に難しいオペレーションとなる。
「クラウドを導入する際に多い課題は、システムリプレイスそのものに関する課題と、セキュリティ的な課題です。セキュリティはクラウドに関わらず100%守れるものではないので、コストパフォーマンスも考慮した上で、どう折り合いをつけるかがポイントになってきます。」(信太氏)
理想とするセキュリティポリシーとクラウドによって実現したい業務効率との間で折り合いをつけ、どこを合格点とするかを各社で判断を行う必要があるのだ。
IDを守ることがクラウドを守るキーファクター
「クラウドのセキュリティは、従来型(オンプレミス)のセキュリティとかなり異なります。オンプレミスの場合は、Firewall/VPN、IPS/IDS/UTM/WAFなど様々なネットワークセキュリティソリューションを情報の出入り口(ゲートウェイ)に積み重ねる事で堅牢な防壁を作り、イントラネット内の情報資産を守るのが一般的です。(図1参照)」(川野辺氏)
図1:従来型のセキュリティ
「一方で、クラウド(SaaS)の場合は、事業者側で外部との防壁を用意していますが、それらをユーザが直接コントロールすることはできず、主にユーザは「ID」の制御によって自身の情報資産を守らなければなりません。認証における非正規ユーザの排除は勿論ですが、漏えいしたID情報を利用した非正規ユーザによるアクセスをも想定して、認証やクラウド上のデータ操作に対する記録(ロギング)と追跡性(トレーサビリティ)の確保は、クラウドセキュリティの基本になると考えています。そういった事も含め、クラウドを守るためにはIDをいかに管理するかが極めて重要になってきます。(図2参照)」(川野辺氏)
図2:クラウド(SaaS)型セキュリティ
「クラウドではIDの不正利用が最も懸念されるところですが、そういった脅威の検知技術も進化しています。Office365ではIPアドレスなどの情報からログインしたユーザの接続元の位置情報を取得することで、明らかに不正が疑われるような脅威を検出できます。例えば、1分前には東京でログインしているのに、現在はニューヨークからログインされていたら、それを脅威とみなしセキュリティリポートに記録します。認証システムとしては、パスワードが一致すれば悪意のある人でもアクセスできるのが従来のシステムでしたが、悪意ある第三者によるIDの不正利用を前提に、IDにまつわる様々な脅威を検知するクラウド上の仕組みも整ってきています。」(信太氏)
シングルサインオンやデバイス制御などのソリューションを活用し、より安全なクラウド利用を
「企業が業務に採用するクラウドの数は日増しに増加する傾向にあります。Office365はもとより、名刺管理にはSansan、ファイル共有にはBoxといったように目的によって複数のクラウドを使う企業は珍しくありません。しかし、こういった場合に、クラウドごとにID管理を行うと、例えば異動や入退社に伴う管理者の作業は煩雑な上、ユーザもクラウドごとに発行されるID情報を使い分ける必要があり、セキュリティ的にも様々な懸念があります。そのため、ID情報を分散させずにインターネット上で統合しながら、異なるクラウドへも同一のIDでログインできる環境の整備が重要になってきます。Azure Active Directory では、インターネット上で利用可能なディレクトリサービスとしてIDの一元管理を行えるのと同時に、SAML等に対応した SSO(Single Sign On) の機能を活用することで、単一のIDで異なる複数のクラウドにログインできる環境を構築することが可能です。」(信太氏)
IDを分散させない取り組みは、ID情報の漏えい抑止に効果的であり、ID管理の観点で非常に重要な取り組みだ。そして、IDが集約管理されることで、認証機能に対する要求は今まで以上に高まっている。従来型のパスワード認証だけではなく、デバイス認証などを組み合わせた多要素認証の導入も重要で、クラウドのオプションとして、そういった機能が提供されているかどうかを事前に確認することもクラウドを選定する上で重要だ。
「怖いから使わない」ではなく、どうしたら使えるかを考え、活用できる動きに
「クラウドはセキュリティ観点から見て怖いものとするのではなく、先に述べたAzure Active Directory SSO や、EMSといったマイクロソフトが用意しているソリューションを活用することにより、一定のセキュリティレベルを担保することで、クラウドセキュリティに懸念のあるユーザが導入に際してハードルを下げていくことができます。さらにラックが運営する日本最大級のセキュリティ監視・運用センター JSOCによるクラウドセキュリティ運用サービスを実現することで企業の皆様により安心してクラウドをご活用いただける環境づくりを目指しています。」(信太氏)
信太氏はこうも語っていた。
「企業の働き方改革を推進するにあたり、クラウドの活用は重要なポイントだが、そこにはセキュリティの壁も存在している。そういった企業のクラウドセキュリティにまつわる様々な不安材料を取り除く支援をしていくことが、ラックの責任であると考えます。」(信太氏)
クラウドは怖いから使わない、使わせない、ではなく、クラウドのメリットやデメリットを見極めたうえで、どうしたら使えるか・活用できるかを検討することこそが重要である。クラウドを使うことによって、企業には業務の効率化を含めた様々な導入効果を期待できる。今のビジネスにおいてセキュリティの確保は重要事項だが、従来のセキュリティの考え方に固執して、クラウドの採用を見送ったり、躊躇するのは大きな機会損失につながる可能性がある。
2017年2月、マイクロソフトは、”マイクロソフト セキュリティ フォーラム”にて、ラックと共同でセキュリティ対策を推進する組織を発足。協業によってセキュリティ対策を加速していく考えを示した。クラウドやIoTの拡大を想定し、今回述べたIDベースのセキュリティを推進する組織として「ID-based Securityイニシアティブ」を設立する。具体的な取り組みとしては、IoTデバイスのセキュリティ検証や技術者の育成、マルウエア対策などだ。セキュリティベンダーやSaaSベンダー、IoTベンダー、ネットワークベンダーなど、多くの企業が参画する予定である。
セキュリティリスクはなくなることはない。将来はクラウドに代わる新しいソリューションも出てくるかもしれない。ソリューションが変われば、それに対する脅威も変化していくだろう。だが、変化に遅れることなく、新しいソリューションを迎え入れたうえでパートナーと協業しながら、安心安全に利用するための取り組みを同社は行っているといえる。
取材・文:池田 優里