Azureをはじめ多彩なクラウド環境でも、オンプレミスと同等の堅牢なセキュリティを担保できる理由Fortune 500の大半の企業を支えるゲートウェイセキュリティ技術

Microsoft Azureをはじめとするクラウドのセキュリティは事業者に丸投げできるものではない。「Check Point CloudGuard IaaS」は多層防御を実現し、ハイブリッドクラウド/マルチクラウド環境で同一レベルのセキュリティを実現する。

» 2018年08月20日 10時00分 公開
[PR/@IT]
PR

 ITとビジネスが密接に結び付き、デジタルビジネスの重要性が増している昨今、企業には、常に変化する市場のニーズに合わせて迅速にITサービスを開発し、提供することが求められている。これまでのITシステムのインフラは長らくオンプレミスで運用されてきたが、デジタルビジネスに対応するには従来のインフラ調達のライフサイクルでは間に合わなくなってきた。そこで着目されているのが、「Microsoft Azure」をはじめとするパブリッククラウドだ。スモールスタートで試験的にITサービス開発を始めて拡張したり、リリース後に顧客の声を聞きながら方向性を修正していったりといったビジネススタイルを実現するには、従量課金で利用でき、素早い拡張、縮小が可能なクラウドは最適な環境となっている。

 むしろ今や、新規ITサービスの構築においてクラウドを第一の選択肢にする「クラウドファースト」は当たり前。サービスの内容や既存アプリケーションとの連携の有無に応じて、オンプレミス環境やプライベートクラウドと組み合わせた「ハイブリッドクラウド」や、クラウド事業者それぞれの強みを生かし、組み合わせて活用する「マルチクラウド」という選択肢も広がっている。2017年のRightScaleの調査によると、回答企業の67%がハイブリッドクラウドやマルチクラウドを採用しているという。

 だが一方で課題も残る。セキュリティの確保だ。「果たしてクラウドでも、オンプレミスで実現してきたのと同等のセキュリティを担保できるのか」が、多くの企業にとって懸念事項となっている。2017年の総務省の情報通信白書では、クラウドサービスを利用しない理由として、依然としてセキュリティを懸念する声が多い他、前述のRightScaleの調査でも企業の40%が「クラウドセキュリティを重要な経営課題と認識している」という結果になった。

 クラウドのセキュリティ確保には、従来のオンプレミス環境とは違った考え方で取り組まなければならない点に注意が必要だ。チェック・ポイント・ソフトウェア・テクノロジーズでヘッド オブ エマージングテクノロジーを務める内橋雅樹氏は、「オンプレミス環境では自分の庭、自分の敷地に全てのアセットが置かれ、ファイアウォールを設置して守る形で保護できてきた。しかしクラウドの世界では、インターネットを経由してコンピューティングリソースを利用することになる」と指摘する。

 しかもクラウド、特にIaaSのセキュリティは、クラウド事業者に丸投げできるものではない。物理的なファシリティーや入退室管理、ネットワークレイヤーでのアクセスコントロールといった部分は事業者が担保するとしても、アプリケーションやデータといった、そこから上のレイヤーのセキュリティを担保するのは基本的にはユーザー自身。つまり、クラウドを使う側の企業の責任だ。

クラウドを制する者は、ビジネスを制す

 「クラウド利用ばかりが先行してセキュリティが置き去りになっていたり、クラウドセキュリティの『責任共有モデル』に気付いていなかったりする企業も多い」(内橋氏)

25年にわたって培ってきた技術をクラウド環境に提供する「Check Point CloudGuard IaaS」

 チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)では、クラウド普及に伴うそのようなITインフラ環境の変化とギャップを踏まえ、クラウド向けのセキュリティソリューション「Check Point CloudGuard IaaS」を提供している。1つの仮想アプライアンスで多層防御を実現し、クラウド事業者が提供する基本的なセキュリティ対策を強化し安全な運用を支援するソリューションだ。

 クラウド専業のエンジニアにとってはなじみが少ないかもしれないが、長年ネットワークやセキュリティに携わってきた技術者ならば、チェック・ポイントという名前を聞いて、「ああ、ファイアウォールの……」と連想する人も少なくないだろう。クラウドやモバイルが影も形もなかったインターネットの黎明期から、「FireWall-1」から脈々と続くセキュリティソリューションを提供してきたイスラエル発のベンダーだ。

 近年では、独自のモジュール型アーキテクチャ「Software Blade」に基づいて、ファイアウォールだけではなくVPN、不正侵入検知(IDS)とWebアプリケーションファイアウォール(WAF)の基本機能を含むIPS(侵入防止システム)、アンチマルウェア、URLフィルタリング、アプリケーションコントロールやコンテンツ制御、さらには未知の脅威を検出するサンドボックスとの連携技術に至るまで複数のセキュリティ機能を提供し、必要に応じて導入できるようになっている。

チェック・ポイント・ソフトウェア・テクノロジーズ ヘッド オブ エマージングテクノロジー 内橋雅樹氏

 Check Point CloudGuard IaaSは、オンプレミス向けに25年以上にわたって提供してきた信頼のセキュリティをベースに、Fortune 500の大半の企業の信頼を勝ち得ているという強力なセキュリティ機能をMicrosoft Azureをはじめとするクラウドサービス上に提供する。

 「1つの仮想アプライアンス上で動作するため、機能ごとに複数のVMを用意する必要はない。またオートスケールにも対応しており、インスタンスの増減に応じて適宜セキュリティを適用し、デプロイした瞬間からセキュアにできる。テストなどのために一時的に立ち上げたインスタンスのセキュリティを放置し、そこが足掛かりとなって侵入される、といったうっかりミスの可能性もなくなる」(内橋氏)

 その特長は、25年以上にわたって開発されてきた単一のコードベースを基にしていることだ。

 「x86アーキテクチャ上で動作するソフトウェアとして開発されており、それと同じものがクラウド上でも動作する。ASICなど専用ハードウェアを用いたアプライアンス向けにチューニングされたものと分けて二重管理する必要はなく、x86向けに開発されてきたシングルソースコードがそのまま動くため、パフォーマンスも高い」(内橋氏)

統合管理インタフェース「R80」を通じて異なる環境に同一レベルのセキュリティを

 もう1つのポイントは、クラウド環境だけではなく、既存のオンプレミス環境やプライベートクラウドで利用している「Azure Stack」「Hyper-V」でも全く同じ機能が利用でき、チェック・ポイントのバージョン「R80」をベースとした管理サーバを通じて統合管理できることだ。環境の違いを意識することなく同一の操作性で、同一レベルのセキュリティポリシーを適用できる。

ビジネスのスピードに追随するセキュリティ

 セキュリティの世界では常に弱い鎖が狙われる。「オンプレミス環境ではできていた対策が、クラウドではできない」といった状態が続けば、まずクラウド上のインスタンスが侵入され、そこから社内のシステムに侵害が広がる恐れがあるが、R80でオンプレミス、プライベートクラウド、パブリッククラウド全てに同一レベルのポリシーを適用できれば、そんな「スキ」が生じることもない。

 現場のエンジニアにとっては、そうした作業を少ない手間で実現できることもポイントだ。アプリケーションの追加やサービスリリースに伴ってセキュリティポリシーを変更する必要に迫られることは少なくないが、コンソールからログインして設定を変更して……といった作業を繰り返すのは大きな手間だ。クラウドとオンプレミス、それぞれに設定画面やパラメーターが異なれば、作業はさらに複雑になる。

 その点R80では、一度の操作で全てのインスタンスに修正を反映できる。万一インシデントが起こったときには迅速な対策が必要になるが、異なる管理コンソールを使い分けていては情報収集だけでも手間がかかり、レスポンスの足かせになりかねない。しかし、統合管理が可能ならば、そうした懸念もなくなる。

 「ソリューションの検討時には初期コストに目が行きがちだが、セキュリティで重要なのは運用コストだ。デプロイ後、いかにシステム全体を少ない手間で管理できるかがポイントになる。セキュリティソリューションは導入して終わりではなく、その後の運用が重要だ。攻撃は常にやってくる。従って、今どういった攻撃が来ており、それらからどう守っているかを常にモニタリングすることが重要だ」(内橋氏)

物理、仮想、クラウドセキュリティ全てを一画面で統合管理

 だからといって導入コストがかさむわけではない。あらかじめ定めたスペックの仮想マシンが必要になるのではなく、必要なパフォーマンスに合わせて、vCPU単位で追加、削除が可能な柔軟なライセンス体系が用意されているからだ。

 こうした利点を総合的に評価し、Microsoft Azureへの移行に合わせてCheck Point CloudGuard IaaSを導入した企業は、eコマース、ファストフードチェーン、医薬品メーカーなど他業種にわたっているという。

Microsoftとの密接な関係をベースに、「Microsoft Preferred Solution」にも選出

 チェック・ポイントは、オンプレミスでWindowsサーバが稼働する時代からMicrosoftと協業してきた。その関係はクラウド時代になっても変わらず、「Microsoftとチェック・ポイントは、クラウド推進というビジョンを共有し、エグゼクティブ層からエンジニア層に至るまで密に連携している」と内橋氏は述べる。

 例えば、Check Point CloudGuard IaaSは、Active DirectoryやAzure Security Centerと統合されている。シングルサインオンでユーザー認証を行える他、Check Point CloudGuard IaaSが発したセキュリティ警告をAzure Security Centerで把握したり、逆にMicrosoft AzureからCheck Point CloudGuard IaaSのセキュリティ機能を迅速にプロビジョニングしたりすることも可能だ。こうした利点も相まって、CloudGuard IaaSが最も利用されているパブリッククラウドはMicrosoft Azureとなっており、「Microsoft Preferred Solution」にも選出された。

 だからといって、特定の環境に縛り付けられるわけではない。Check Point CloudGuard IaaSはMicrosoft AzureやAzure Stack、Hyper-Vはもちろん、それ以外の複数の仮想化技術、クラウド環境にも広く対応しており、適材適所で環境を組み合わせながら一定のセキュリティポリシーを保つという、相反する課題を解決できる。



 あらかじめサイジングをして稟議を通して発注を掛け、ハードウェア本体が来たら必要なアプリケーションを導入して設定して……という従来のITインフラ調達の手間を省き、必要なときにいつでも迅速に活用できるクラウド。セキュリティはその足かせになるのではなく、加速させる役割を果たさなければならないが、Check Point CloudGuard IaaSはそれを可能にしてくれるだろう。

関連ホワイトペーパー

安全なクラウド環境を構築するための「5大原則」──Azureでの実装方法

社内外での情報共有基盤として多くの企業が導入しているクラウド型コンテンツ管理ツール。社員1万人に導入し、働き方改革を実現した資生堂の事例から、組織や地域を超えたコラボレーションの強化の方法を探った。


関連ホワイトペーパー

クラウド標準のセキュリティで大丈夫? 「責任共有」の限界と具体的な脅威対策

クラウドのセキュリティは通常「責任共有モデル」という形で提供され、クラウド事業者が責任を負う部分と、ユーザー企業自身でデータ保護しなければいけない部分とに分かれている。高度な脅威に対応するには別途対策が必要だ。


Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本マイクロソフト株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年9月19日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。