2020年でも「おっかなびっくり、クラウド恐怖症」の根底には何がある？「責任共有モデル」を理解し現状を打破する再考ポイント：特集：withコロナ時代のクラウドセキュリティ最前線（1）

クラウドサービスの活用が急務の今、必要となる“考え方の転換”やアプローチについて、クラウドセキュリティにおける意識調査のレポートを公開した2社に話を聞いた。

[宮田健，＠IT]

　クラウドセキュリティへの対応が急務となっている。IaaS、PaaSといったクラウドサービスは身近なものとなり、本格活用に当たっては、安全性が求められる。これまでの境界型セキュリティとは異なる“クラウドセキュリティ”の知見が必要で、単なる製品／ソリューションの導入ではなく“考え方の転換”が迫られる。

　では、その転換はどの程度まで進んでいるのだろうか。そして足りないのはどの部分なのか。

　日本オラクルとKPMGコンサルティングは、クラウドセキュリティにおける意識調査を行い、2020年7月に最新の状況をレポートとして公開している。グローバルと日本における差異が端的に表れており、クラウドセキュリティの現状を把握しやすいレポートといえるだろう。

• 日本オラクルとKPMGコンサルティング、クラウド・セキュリティに関する意識調査を公開

　＠IT特集「withコロナ時代のクラウドセキュリティ最前線」では、この結果をさらに深掘りすべく、調査に関係したKPMGコンサルティング パートナーの澤田智輝氏と日本オラクル テクノロジー事業戦略統括 ビジネス推進本部 シニアマネージャーの大澤清吾氏に話を伺う機会を得た。両者共にサイバーセキュリティ分野、特にクラウドに関連する支援を行っているキーパーソンだ。

　クラウドセキュリティにおいてグローバルに追い付くために、日本の良さを延ばすためのポイントを考えていきたい。

グローバルと日本で異なる「気になる数値」は

　まず両氏に今回のレポートにおける“順当な結果”を聞いたところ、クラウドサービスの利用状況に関する数値が挙がった。

クラウドサービスの利用状況では、図の左右の指標で大きな違いが表れた（出典：KPMGコンサルティング）

　クラウドサービスの利用状況は、IaaS、SaaSともにグローバルと日本で大差はない。これはおそらく読者も納得できるものだろう。大きな違いが表れたのは、「今後2年間で半分以上のデータをクラウドに移行する予定」という企業の割合だ。グローバルは49％とほぼ半数が移行予定と答えたが、日本においては22％しかない。

　「日本もPoC（概念実証）を中心にクラウドを活用している企業が多い。しかし、PoCはあくまでPoC。本当の意味で活用しているかというと、まだ“おっかなびっくり”という状況ではないか」（澤田氏）

クラウドの安全性に対する認識について、日本はグローバルの2年遅れ（出典：KPMGコンサルティング）

　それは「クラウドの安全性に対する認識」に表れている。「オンプレミスのシステムに比べ、クラウドは十分に安全だと認識しているかどうか」という問いに対し、グローバルでは40％が「安全である」と回答しているが、日本では「21％」と低い水準だ。これはグローバルにおける2018年の数値と同様であり、「日本の認識は2年遅れ」ともいえる。

　しかし、澤田氏はこの結果を見て、個人的には「日本も思った以上に進んでいる」と感じたという。「“クラウド恐怖症”にかかっている顧客も多い。基幹システムやミッションクリティカル、顧客情報のクラウド移行は『とてもじゃないが無理だ』というのが現場の皮膚感覚だ」（澤田氏）

　大澤氏もこれに同意する。「Oracleもクラウドサービスを提供している。利用は拡大しているものの、本格活用までは進んでいない印象がある。とはいえ、これはコロナ禍の影響が出てくる前の調査であるため、もしかしたら今は大きく動いている可能性はある。今後の調査でどう変化するかが注目だ」（大澤氏）。

　これらの結果はおそらく、利用したことのないものへの恐怖だろう。PoCを実施していたとしても、本格活用とPoCには大きな隔たりがある。澤田氏は「PoCは実施のハードルも低く、やろうと思ったタイミングで環境を作れる。しかし本番データを乗せる、実業務を乗せるとなると、そこになかなかジャンプインできない」と述べる。

　「Oracleのクラウドサービスを活用しようというお客さまからは『閉域網に対応しているか？』という問い合わせを多く頂く。おそらく、これまでの経験から『閉じていればより安全』という考え方になっているのだと思うが、閉域網だとネットワーク構成に課題が発生するので、日本においても、今後は『閉じていればより安全』という考え方からゼロトラストネットワークの考え方に徐々に変化していくのではないだろうか」（大澤氏）

「責任共有モデル」＝マンションモデル？

KPMGコンサルティング パートナー 澤田智輝氏

　“クラウド恐怖症”の根底には何があるのだろうか。その一つは「責任共有モデル」と呼ばれる、クラウドサービス特有の考え方にあるのかもしれない。しかし、“おっかなびっくり”の原因は「単に慣れていないから」とも考えられる。「クラウドは、使ってみないと『どこまでが誰の責任なのか』の判断がつきにくい。だから乗り越えられないのではないかというのが個人的な見解だ」と澤田氏。続けて、責任共有モデルの考え方としてマンションの維持管理に例えて説明する。

　「マンション管理も責任共有モデルといえる。共用部として玄関などは思い浮かぶかもしれないが、実はベランダも共用部であるといったことがある。意外と分かっていない部分もあるかもしれないのに、多くの人が既に居住している。クラウドは“共有”するものであり、自分もオーナーシップを持っていないといけない。それが企業の中でふわっとしているから、“クラウド恐怖症”につながるのではないか」（澤田氏）

　“クラウド恐怖症”のもう一つの理由は“知見”かもしれない。知見不足から判断が遅れることが、クラウドを活用できる企業とできない企業の差に表れてしまう。

　「個人的に話すことが多い比喩として、『昔は各ビルに立っていた守衛さんも自社の人だったが、今では社員を守衛として立たせている企業はなく、専門的な知識を持つ人にお願いして、協力しながらうまく回して活用できる』と話している。クラウドに関しても考え方は一緒。その判断ができるかどうかが、クラウドを活用できる／できないの“差”なのではないか」（澤田氏）

クラウドセキュリティに対する不安をどう解消するか

日本オラクル テクノロジー事業戦略統括 ビジネス推進本部 シニアマネージャー 大澤清吾氏

　クラウドセキュリティに関する不安は、これまでの経験との差にあるのかもしれない。調査レポートでも、日本のシステムはまだ「境界防御」に頼っていることがうかがえる。この点に関して大澤氏は「Oracleもよく言われるのが『ソフトウェアはものがない』『ネットワーク関連は機器を設置するのでものが見える』といったこと。『ものがそこにある』ことが安心感につながっている。特にこの点は、上層部に説明しやすいため、セキュリティを向上させようとするとき、ハコモノが優先されていた傾向がある」と述べる。

　それが端的に表れているのが、日本における「ID管理」の遅れだ。クラウドは、まさに“見えないもの”で構成されている。それに対する漠然とした不安が、日本では非常に強いのだ。「特に日本では、『データセンターを見せてほしい』という問い合わせが多い。『ものを見たい』というニーズが多いのではないか」（大澤氏）

　見えないものを理解するとなると、分かりやすいキーワードが求められる。例えば「暗号化」などは分かりやすいかもしれないが、「ID管理、アクセス制御、そしてゼロトラストなどは理解しづらい。どうやって上層部を含め、それを理解してもらうかが課題。『認可』という言葉を使った瞬間に、難しさが出てきてしまう」（大澤氏）

　澤田氏も、これに同調する。「実は日本においては、10年程前から既に『暗号化』といった安全策は導入されていることが多く、グローバルの中でも『よくやっている』と評価されていた。しかし、その頃から歩みが止まってしまっているともいえる。当時は先端でも、今は『多要素認証が入っていない』『リスクベース認証が入っていない』など、いつの間にか日本は遅れてしまった。進化し続けなければ生き残れない状況において、日本ではこのようなことが起きている」（澤田氏）

この状況を打破するために考えるべきこと

　そのためにできることとして、「ID・アクセス管理」の強化を両氏は訴える。先述のゼロトラストネットワークにつながる話だ。

　「ゼロトラストネットワークについて経営層から聞かれたときには『疑ってかかること』と答えている。全てのゲート、全てのアクションを疑ってかかれ。アクションを起こしているのは誰なのか、端末は普段と違うもなのかどうか、アクセスは正当なものかどうか。アクションのたびに確認し、それらが正しかったとしても、『この時間、その業務をそのシステムにアクセスさせていいのかどうか』を制御、制限するもの」であると大澤氏は指摘する。その中核となるのが、ID・アクセス管理基盤だ。

ID・アクセス管理基盤の役割（出典：KPMGコンサルティング）

　ID・アクセス管理をワンステップ先に進めるためには、まず「ID・アクセス権限ポリシーの整備」が必要だ。

ID・アクセス権限管理の実施ステップ（出典：KPMGコンサルティング）

　「マンションに例えていえば、共用施設は、利用のたびに「いつ、誰が使うのか」を確認し、鍵を貸す運用だ。これまでは同じ釜の飯を食う仲間として、権限があれば何でもできてしまう運用だったのかもしれない。今後はクラウド資産を活用すべく、よりマンションでいう住民、つまり社員を識別し、どんなタイミングでアクセスを許可するかを設定し、さらに使っている内容もしっかりとモニタリングする必要がある」（澤田氏）

　このためには、組織ごとにそもそものポリシーを整備する必要がある。決してツールの購入ありきではない。しかし澤田氏は「よくあるのが『ツールを買ったはいいが、うまく使えない。どうしたらいいのか』という問い合わせ。ポリシーの整備が行われていないことが多い。『買ったツールを、どう使うのか』を考える必要がある」と話す。

　実はこのID管理（アイデンティティーマネジメント）は、日本でも“ブーム”が起きていたことを私たちは知っているはずだ。「日本では2007年ごろ、J-SOX法（内部統制報告制度）対応でID管理の引き合いが多かった。ID管理は既に取り組みが行われている企業が多いのだが、ID管理の中核となる部分に関しては理解が深まらなかったのではないか」（大澤氏）

広義のID管理、狭義のID管理（出典：日本オラクル）

　つまり、日本において、ID管理は「Active Directory」などを活用した認証にとどまっており、識別した後のアクセス監視、制御まで広がらなかったのではないか。上図の左側だけを意識し、本来の「広義のID管理」は認識されていなかったのではないかということだ。

　「グローバルにおいてはSOX法対応の一環で、広義のID管理が早い段階で取り組まれていた。しかし日本ではIDとパスワードを同期するなどの施策は行われたものの、そこで止まってしまっていた。だから今、これを広義の部分まで広げ、ルールを決めることが重要になる」（大澤氏）

クラウドを安全に活用するために

　2社による意識調査のレポートでも、グローバルと比較し、SaaSにおけるCASB（Cloud Access Security Broker）などの認知や対応は進んでいるものの、日本はID管理が遅れているという結果が出ている。クラウドを利用するに当たってのポリシー策定がうまくいっていないことで、適切な公開範囲を超えた設定を放置し、情報を漏えいしてしまうなどのインシデントにつながってしまう。設定ミスが原因であるため、共有責任モデル上では利用者側に責任のあるトラブルとなる。

　これを防ぐため、クラウドベンダー側も対応を進めているという。例えばOracleが提供しているクラウドサービスについて大澤氏は説明する。「常に強制されるべきエリアに関しては、強制的に設定を施す。それ以外のエリアでは問題を自動的に検知し、ワーニングや自動是正を行うようなセキュリティアドバイザー機能を提供している。IaaSにおける多くの問題は設定ミスに起因するので、これを検知できればリスクを下げることができる」

　ID管理などこれまで見逃していたものを再考し、クラウド時代に適合した仕組みを活用することでIaaS、PaaSにおける、ふわっとした不安はより具体化される。本稿で紹介したような再考するアプローチは、一見“遠回り”に思えるかもしれないが、クラウドのメリットを安全に手に入れる“近道”になるのではないだろうか。

特集：withコロナ時代のクラウドセキュリティ最前線

withコロナ時代の今、テレワークの普及によりクラウドサービスの利用が広まっているが、CASB（Cloud Access Security Broker）では防げない新たな脆弱性が生まれているのをご存じだろうか。脆弱性というと、プログラムやフレームワーク／ライブラリのバグの話と思いがちだが、アカウントやデータ、API、ログの公開範囲、暗号化など、ユーザーが行う“設定”のミスに起因する脆弱性が増えているのだ。またクラウドサービスは、コマンドや管理画面が共通となるため、攻撃者も設定項目を理解している。悪意のある“設定の変更”が行われていないかどうかの確認も重要だ。このようなクラウドサービスのリスクを軽減するために、CSPM（Cloud Security Posture Management）が注目され始めている。本特集では、現在のクラウドリスクを解き明かし、CSPMを中心に、その打開策を紹介する。

特集：withコロナ時代のクラウドセキュリティ最前線