オンプレミスのセキュリティを“そのまま”AWSで使う秘策 有識者が解説：重要なのは「選択肢を広げること」

クラウド活用が進み、オンプレミスと組み合わせたハイブリッドクラウドを採用する企業は増えている。一方でセキュリティ対策もハイブリッドになり、手が回らないという企業はある。ハイブリッド環境でも効率的にできるセキュリティ対策はあるのか。

[PR／＠IT]

PR

　新たなサービスの構築を考えるとき、インフラの選択肢としてまず浮上するのはクラウドだろう。クラウドにはサービス開発においてさまざまなメリットがある。開発したサービスを迅速に市場に投入できる、利用者の増加に合わせて容易にスケールできる、事業継続性を確保できるなどだ。民間企業はもちろん、政府や地方自治体でも使われるようになっている。

　10年ほど前であれば「クラウドという自社のコントロールの及ばない環境に、重要なアプリケーションやデータを預けるのは不安だ」といったセキュリティを懸念する声は多かった。しかしその後、多くの企業でクラウドが採用され、実績が増えるにつれ、そういった“アレルギー反応”は徐々に解消されていった。むしろ、ファシリティやハードウェア、OSのパッチ適用など下位のレイヤーのセキュリティをクラウド事業者が保証してくれることから「自社で対策を講じるよりも安全」と評価する企業もある。

適材適所で広がるハイブリッドクラウド、セキュリティの運用負荷が課題に

　ただこれは、全てをクラウド事業者に「丸投げ」してもいいという意味ではない。

　クラウドサービスの種類によって「分界点」は異なるが、クラウドのセキュリティは“事業者がセキュリティ確保に努めるレイヤー”と“サービスを利用する企業がセキュリティ対策を講じるべきレイヤー”を区別し、それぞれが責任を果たす「責任共有モデル」によって成り立っている。このため、クラウドを利用しているといっても、データの保全やユーザーアカウント管理、アプリケーションの保護といった領域は、オンプレミスの場合と同様に企業自身が対策を考え、実施する必要がある。

　スタートアップ企業ならばともかく、中堅・中小企業など長期間にわたって事業を展開してきた企業の場合、これまで使い続けてきたオンプレミスから、いきなりパブリッククラウドに全てを移行させるのは非現実的だ。例えば「アマゾン ウェブ サービス」（AWS）を使う場合なら、データはオンプレミスに保存し、アプリケーションをクラウドに構築して、それらを「AWS Direct Connect」を使ってつなぐといったハイブリッド構成にするのが一般的だ。

フォーティネットジャパンの伊藤明子氏

　フォーティネットジャパンの伊藤明子氏（マーケティング本部　テクニカルマーケティングエンジニア）は、「規模や用途に応じて“クラウドの良いところ”と“オンプレミスの良いところ”を生かし、適材適所かつハイブリッドで運用するケースが多いと感じます」と話す。

　問題は、セキュリティ運用もハイブリッドになり、運用負荷が増えることだ。これまでオンプレミスに導入してきた、ファイアウォールをはじめとするセキュリティ機器を運用しつつ、クラウドはクラウドで新たなセキュリティポリシーを作成し、運用するとなると、単純に手間は2倍になる。その上で新たな機能を学び、オンプレミスとクラウドのセキュリティレベルにギャップが生じないようポリシーを作成して運用しなければならないとなると「面倒だ」と思うのも無理はない。

　そうした場合に考えるのは「オンプレミスで運用してきたセキュリティ機器と同じものをパブリッククラウドでも使えないか」ということだろう。オンプレミスで培ってきた運用のノウハウもそのまま生かせる上に、インシデント対応に欠かせないログの取得、分析についてもオンプレミスとクラウドの違いを意識しなくてもよくなる。

オンプレミスで実績を積んできたFortiGate、FortiWebをそのままAWS上で活用可能

　こうしたニーズを踏まえ、FortinetがAWSとのパートナーシップに基づいて提供しているのが「FortiGate VM」「FortiWeb VM」といったクラウド向けのセキュリティ製品だ。

　Fortinetは20年以上にわたって、ファイアウォールやプロキシ、「IDS/IPS」（不正侵入検知システム／不正侵入防止システム）などのセキュリティ機能を統合的に提供するアプライアンス製品「FortiGate」を提供してきた。多数の専門家を擁するグローバルなリサーチ部門、FortiGuard Labsでの解析結果や脅威インテリジェンスを生かし、最新の脅威に対応した防御ができることが特徴だ。

　「FortiWeb」は、外部に公開されているWebサイトやWebサービスを悪意ある攻撃から守る次世代型のWebアプリケーションファイアウォール（WAF）製品だ。不正アクセスのパターンを定義したシグネチャだけでなく、機械学習（ML）を用い、未知の新たな攻撃コードも分析し、防御できる。

　FortiGate VMとFortiWeb VMは、これらの機能をAWSで提供するサービスだ。「オンプレミス向けに提供してきたハードウェアアプライアンスと同等の機能を、AWSで利用できます」（伊藤氏）。つまり、オンプレミスと同じポリシー、同じ運用でハイブリッドクラウドのセキュリティを実現するサービスといえる。

　「FortiGateはもともと『設定管理画面が日本語で分かりやすい』と評価されてきましたが、FortiGate VMも同様に直感的で分かりやすい管理インタフェースを提供しています。FortiGuard Labsが提供する脅威インテリジェンスによって高いセキュリティレベルを維持できることも評価されています」（伊藤氏）

　FortiGate VMは、AWSを通過するトラフィックを可視化し、「どんなユーザーが、どんなアプリケーションを利用しているか」を可視化し、シャドーITになりがちなクラウドサービスの利用状況を把握できる。FortiWeb VMはオンプレミス向けのFortiWeb同様に、FortiGuard Labsによる最新のシグネチャに加え、MLによる防御も実現できる。誤検知や過検知を減らすチューニングの手間をかけることなく、少ない負荷で運用できることも特徴だ。

FortiGuard Labsによる脅威のリアルタイムな可視化（提供：フォーティネットジャパン）

AWSのセキュリティ機能との使い分けも「適材適所」で

フォーティネットジャパンの竹森慎悟氏

　AWSには無料で使えるファイアウォール（AWS Network Firewall）やWAF（AWS WAF）などのサービスがあるが、これらとFortinetのサービスとの使い分けもオンプレミスとクラウドと同様に「適材適所」で検討すべきだ。フォーティネットジャパンの竹森慎悟氏（セキュリティファブリック推進本部　技術部　システムエンジニア）は次のように話す。

　「どのレベルのセキュリティを求めているかに応じて、適切なものを選択すべきです。AWSのサービスでできることから試してみたい、すぐに立ち上げてみたいという場合は、まずはAWS Network FirewallやAWS WAFを使ってみる。拡張機能を使ってセキュリティを高めたりログを活用したりしたい場合には、FortiGate VMやFortiWeb VMを選ぶといった使い分けをするとよいでしょう」

AWSとの連携によるシームレスなセキュリティ（提供：フォーティネットジャパン）

　AWS Network FirewallやAWS WAF向けにFortinetが提供するルール「Fortinet Managed IPS Rules」「Fortinet Managed Rules for AWS WAF」を利用するという選択肢もある。竹森氏によると、AWSで高度なプロキシ機能を利用したりVPN終端装置として活用したりしたい場合にはFortiGate VMが有効だ。MLを用いてシグネチャのチューニングの手間を省いたり、APIに対する攻撃を防いだりしたいといった具合に、より高度なセキュリティを求める場合はFortiWeb VMを選択するのがより良いアプローチだという。

　どんなIT製品、セキュリティ製品にも言えることだが、大事なのは「それを使ってどのようにビジネスを加速させ、革新を起こすか」だ。FortiGate VMやFortiWeb VMは「AWSで何をしたいか」に合わせて“セキュリティ対策を検討する際の選択肢を広げてくれるもの”といえる。

クラウドならではの良さを生かしたソリューションも用意

　企業のクラウド活用が当たり前になったことを受けて、Fortinetでは既存セキュリティ製品のクラウド対応を進め、FortiGate VMやFortiWeb VMだけでなく、「FortiSandbox VM」「FortiMail VM」、コンテナ版のWAF「FortiWeb Container」といった具合に、AWSと連携しながらポートフォリオを広げてきた。将来的には、WAFの機能をSaaSとして提供する「FortiWeb Cloud WAF as a Service」（FWCWaaS）も予定されている。

　特に、クラウドの安全な活用という観点で注目なのが「FortiCNP」だ。これはFortinetが提供するSaaSで、APIを介してAWSと連携し、クラウド利用時の構成や設定が適切でポリシーに違反していないかどうか、セキュリティガイドラインや法規制に準拠した状態になっているかどうかを可視化する。さまざまな企業でクラウド利用が進んでいるが、それに伴って設定ミスに起因するセキュリティインシデントも増加している。FortiCNPはそうしたリスクを未然に洗い出し、対処する上で役に立つだろう。

　クラウド運用の現場に視点を移すと、「Infrastructure as Code」でインフラを管理し、必要なときにすぐ作り、不要になればすぐ壊すことのできるインフラ構築が進んでいる。恐らくセキュリティ機能もその中に取り込まれていくだろう。Fortinetは今後もAWSとの協業を進め、クラウドならではの運用を意識したソリューションを展開する方針だ。既にAWSへの展開、設定を自動化する「AWS CloudFormation」向けのテンプレートを提供し、導入作業の自動化を支援している。

クラウドセキュリティには緊密な連携が必要（提供：フォーティネットジャパン）

　「だからといってオンプレミスがゼロになることはないでしょう。Fortinetは今後もハイブリッドクラウドに“より導入しやすく、運用しやすいセキュリティ”をAWSとともに提供し続けます」（竹森氏）