クラウドは「注文住宅」、ゼロトラストは「友達作り」、製品導入がゴール？――“設計思想”で強化するセキュリティ：ITmedia Security Week 2022 冬

2022年11月に開催された「ITmedia Security Week 2022 冬」の「クラウド＆ゼロトラスト」ゾーンにおいて、日本コンピュータセキュリティインシデント対応チーム協議会運営委員長の萩原健太氏が基調講演「クラウド活用とゼロトラストの考え方に流され過ぎていませんか？～製品導入ではなく設計思想や方針がセキュリティを強化する～」と題して講演した。「これはあくまで登壇者の私見も含めて」と前置きしつつ、さまざまなキーワードが飛び交うITセキュリティの世界において、もう一度主目的を思い出すきっかけとなる講演だった。その様子をレポートする。

» 2022年12月16日 05時00分公開

[宮田健，＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

クラウドもゼロトラストも“脅威があるから”必要なの？

日本コンピュータセキュリティインシデント対応チーム協議会運営委員長萩原健太氏

　「そもそもなぜ、クラウドやゼロトラストを考えているのか」――。萩原氏は根源的な問いから講演をスタートする。その問いに対して多くの方は「安くなると聞いた」「運用が楽になると聞いた」など、ふわっとした回答しかできないのではないだろうか。これらは外的な要素であり、自分たちの内面からの理由ではない。それなりの回答を用意できたとしても、経営者も同じ認識を持てているだろうか。萩原氏は「それこそが、経営者と会話するヒントの一つになる」と指摘する。

　萩原氏は、クラウドというキーワードから発想するものとして“自宅の作り方”を取り上げる。住宅を建設する際には注文住宅と建売住宅の選択が可能で、それぞれにメリット、デメリットがある。注文住宅ならば自分好みの調整が可能だが、土地探しや建設事業者の選定などを一から行う必要がある。建売住宅ならば存在している家を探すだけでよいが、細かく変更できない。

　萩原氏は、注文住宅は「クラウド」、建売住宅は「レンタルサーバ」に例える。環境をオンプレミスから社外に持ち出してメリットを得たい場合、クラウドだけが選択肢ではない。レンタルサーバにも各種オプションは提供されており、メンテナンスの視点ではクラウドサービスを選択するよりもメリットが大きい場合もあるだろう。

　「考え方は住宅の選び方と一緒で、レンタルサーバにもメリットデメリットがある。これを踏まえてクラウドを選択できているだろうか。せっかく注文住宅を選択しても活用し切れていない場合もある」（萩原氏）

クラウドだけが選択肢ではない（萩原氏の講演資料から引用）

クラウド活用で重要なこと

　クラウドインフラを構築したとしても、インシデントと無縁でいられるわけではない。昨今クラウドで発生しているインシデントの原因の一つに「設定不備」がある。日本コンピュータセキュリティインシデント対応チーム協議会が内閣サイバーセキュリティセンター（NISC）と共に作成した「クラウドを利用したシステム運用に関するガイダンス」では、クラウドサービス利用のリスクに関しての記述がある。設定不備だけでなくクラウド事業者の機能追加／更新によって発生する情報漏えいなど、クラウド利用者が考えるべきリスクが取り上げられている。

　クラウドのメリットの一つに、新機能が次々と追加されて安全になっていくことがあるが、それらの機能がどのように追加されているのか、利用者が把握しなければならない。

　「『クラウドを利用すると安くなりますよ』と提案されても、運用に関してきちんと検証しようとすると、逆にコストが増えてしまう可能性もある。この点も踏まえて選択する必要があるだろう」（萩原氏）

　しかし、その点を把握しようとするには、ステークホルダーが非常に多いことが課題となる。クラウドを活用するための知識も蓄積せねばならない。

日本のシステム構築ではステークホルダーの契約が課題となる（萩原氏の講演資料から引用）

　クラウドの利用は「責任共有モデル」を前提として成り立っている。しかし、これがなかなか理解されていないのではないかという。

　「注文住宅における、どういう家にしようか、家具の配置はどうするかという“ポリシー”を決めるように、クラウド上を流れるデータをはじめ、クラウド利用者の責任できちんと見なければならないものがある。『自分で見る』という境界線がどこにあるか、きちんと確認する必要がある」（萩原氏）

　そこに横たわるのが、利用者、SI事業者、クラウド事業者、そして利用者の先にある顧客といったステークホルダーとの「契約」だ。多くの場合、クラウドサービスには共通の契約書が存在し、これに同意せざるを得ない状況にある。しかし、「企業における契約なので、その同意が本当に企業にとって正しいものなのかどうかを見て、必要であれば交渉する。個別契約となるとクラウド事業者にとっては大変かもしれないが、利用者や顧客の視点で言えば、個別契約をしてでもクラウドを利用すべきかまで考える必要があるだろう」と萩原氏は指摘する。もちろん、これまでのステークホルダー間における各契約の見直しも含める必要があるだろう。

ゼロトラストの考え方

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

何をもって企業は「ゼロトラスト」を始められるのか――ゼロトラストアーキテクチャを構成する論理コンポーネント
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストアーキテクチャを構成する12の論理コンポーネントについて。
新社会人も必見、AWSを題材にクラウドセキュリティの基礎が親子で学べる無料の電子書籍
人気過去連載を電子書籍化し、無料ダウンロード提供する＠IT eBookシリーズ。第90弾は、親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載「親子の会話から学ぶクラウドセキュリティ」です。新社会人はもちろん、クラウドを扱う全ての人に身に付けてほしいセキュリティの知識を、AWSを題材に学習します。
セキュリティトレンドレポート：エキスパートが語るクラウド＆ゼロトラストの長所短所――ITmedia Security Week 2022夏　上野氏／手塚氏／川口氏基調講演まとめ
人気記事を電子書籍化して無料ダウンロード提供する＠IT eBookシリーズ。第96弾は、ITmedia Security Week 2022夏の「クラウド＆ゼロトラスト」ゾーンの3つの基調講演レポートをeBookにまとめてお送りする。