クラウドネイティブな新しい環境へシフト、セキュリティも新しい在り方へシフトするために：クラウド環境も統合保護

近年急速にIT環境のクラウドシフトが広がっている。クラウド利用のメリットは大きいが、セキュリティの観点ではどうだろうか。開発者、運用者が見落としがちなクラウド環境のセキュリティ対策、何から始めればよいのだろうか。

[PR／＠IT]

PR

　サイバーセキュリティを巡る状況は急速に悪化している。フォーティネットの調査によれば、2020年から2021年への1年間で、ランサムウェアの攻撃数は実に10倍に急増した。

　背景には幾つかの要因が考えられる。ロシアのウクライナ侵攻をきっかけにした社会経済情勢の不安定化もあるが、特に大きな要因として考えられるのが、サイバー攻撃の「組織化」だ。ブラックマーケットが確立し、Ransomware as a Service（RaaS）のような基盤が整備されたことが、攻撃のハードルを下げているという。

　フォーティネットジャパンのマーケティング本部ディレクター、米野宏明氏は「昔のように半分いたずらのような動機によるサイバー攻撃はほとんどなくなり、金銭や収益獲得の手段としての組織犯罪になっています」と指摘し、これが、サイバー攻撃の「ゲームチェンジ」をもたらしているとした。

　こうした変化に伴って、企業、組織を取り巻くリスクは大きく高まった。この事実を踏まえ、守る側もセキュリティに対する考え方を変えるべき時期に来ているという。

レガシーと新たな環境が共存するITシステムに、柔軟に対応できるセキュリティを

フォーティネットジャパンの米野宏明氏

　新しいセキュリティの在り方、考え方は、別の観点からも避けられなくなっている。それは、デジタルトランスフォーメーション（DX）の推進とクラウド活用の広がりだ。

　これまでのようにオフィスやデータセンターにハードウェアを置き、その上で業務に必要なアプリケーションを動かす従来のITシステムにおいて、セキュリティは「集約・統制・標準化」という言葉で置き換えることができた。さまざまなリソースをなるべく統一された形に標準化し、アクセスを集約させ、統制を効かせる、別の言い方をすれば境界防御的な考え方に沿ってコントロールすることができた。

　しかしDXが進む中、コンピューティングリソースはさまざまな場所へと分散し、データの民主化が進んでいる。しかもその領域は従来のITシステムの枠組みから広がり、OT（運用技術）などの領域へも拡大しつつある。文字通り「ダイバーシティー＆インクルージョン」の世界であり、自由なアクセスを前提に、さまざまな関係者が知恵を出し合いながら共同作業を行うことで、あえてカオスを引き出しながら創造性を発揮し、新たな価値を生み出していく世界が到来しつつある。

　米野氏は今、この2つの世界が併存しているとした。その中では「従来のITシステムの延長で、統制を前提としたセキュリティの確保やガバナンスを基軸にしてしまうと、新たなことへの挑戦ができなくなってしまい、ITが『足かせ』になってしまう恐れがあります」という。かといって、何ら対策を打たないままでは、変化する攻撃手段に対するリスクが増大し、企業に大きな影響を与えることになるだろう。

　フォーティネットでは、これまでのオンプレミス環境が引き続き活用されると同時に、クラウドを始めとする分散したIT環境が広がる中で、それらの特性を生かし、創造性を存分に発揮していけるような新しいセキュリティモデルを提案したいと考えている。

　「均一な環境ならばいかようにもコントロールできるでしょうが、今のIT環境は、メインフレームやいわゆるクライアント／サーバの世界が残るなど、さまざまなものが積み上がってきたハイブリッドな環境になっています。これまでベースとなってきた環境を完全に捨てきれない一方で、安全を担保しながら自由度を発揮していかなければいけません」（米野氏）

　そこでキーワードになるのが「セキュリティ ファブリック」だ。

　大事なのは、IT環境の変化や企業の成長に合わせ、セキュリティモデルがいかに柔軟に変化できるかだ。それを可能にするのは、つぎはぎでその都度ソリューションを組み合わせていくのではなく、また、ハブ＆スポーク的に一カ所で集中管理するアーキテクチャでもない。ネットワークとセキュリティを統合させ「面」での対策を実現する、フォーティネットが提唱してきた「セキュリティ ファブリック」という概念だという。

　「必ずしも全てがクラウドの世界で完結するわけではありません。お客さまの環境が今後どう変化しようとも柔軟に対応できるセキュリティを、セキュリティ ファブリックを通して提供していきます」（米野氏）

変化し続けるクラウド環境のリスクを可視化し、適切なアクションにつなげる「FortiCNP」

　この考え方を下敷きにし、フォーティネットではクラウド環境のセキュリティを実現するためのプラットフォーム「FortiCNP」を提供している。

　今、クラウドのセキュリティに取り組む企業は、主に2つの課題に直面している。1つは、拡張し、複雑化するクラウド環境に対策が追い付けていないことだ。アクセス管理不足やID管理不足など、ユーザー側の設定ミスに起因する情報漏えい事故が多発している上に、クラウド上で活用しているオープンソースソフトウェア（OSS）コンポーネントも含めた脆弱（ぜいじゃく）性管理、そしてコンテナやKubernetesといったクラウドネイティブな環境でのセキュリティ確保など、開発から運用まで、考慮すべき事柄は多岐にわたる。ベストプラクティスは提示されているものの、なかなか手が回りきらない。

求められるクラウドセキュリティは多岐にわたる（提供：フォーティネットジャパン）

　もう1つの課題は、多過ぎるセキュリティツールによる運用管理の負荷増大だ。ある調査によれば、59％以上の企業が50種類以上のセキュリティツールを導入している状況だという。「これらのツールが平均して1日に700件以上のセキュリティアラートを出力しており、運用者はそれだけでかなり疲弊してしまっています」（同社プロダクトマーケティングスペシャリスト、伊藤史亮氏）

　こうした状況の中で、多数のアラートの内容を精査し、「どれから対処していくか」という優先度を決めていく必要があるが、それにはセキュリティ運用に関する高度な知見や経験が必要になり、残念ながらそれらを兼ね備えた人材はどこにでもいるわけではない。「この結果、リスクが放置されたり、セキュリティ対応が遅れたりするといった問題が発生しています」（伊藤氏）

フォーティネットジャパンの伊藤史亮氏

　こうした状況に対して、フォーティネットが新しいセキュリティ戦略に基づいて提供するのがFortiCNPだ。「Amazon Web Services」（AWS）や「Microsoft Azure」（Azure）、「Google Cloud Platform」（GCP）といった主要なパブリッククラウドサービスと連携して構成情報や脆弱性、脅威の情報を集約し、さらに同社が長年にわたって構築してきた脅威プラットフォームと統合できるクラウドネイティブなセキュリティプラットフォームだ。

　「クラウド環境で必要となるセキュリティ機能を統合できることがFortiCNPの強みの1つです。また、『リソース・リスク・インサイト』（RRI）機能によって、各クラウドから集約した情報を分析、可視化し、フォーティネットの脅威インテリジェンスと組み合わせ、コンテキストに沿って評価を下すことで、アクションに必要な『インサイト』を提示します」（伊藤氏）

　FortiCNPは世界中のハードウェア、ソフトウェアをサポートしているFortinet製品から得られた脅威インテリジェンス「FortiGuard Labs」を活用して、常に最新の脅威に対応することができる。この点もまた、セキュリティ対策に不安を抱える運用者にとって安心できるポイントだ。

リソース・リスク・インサイト（RRI）機能（提供：フォーティネットジャパン）

　豊富な経験を持つすご腕のオペレーターならば、多々あるアラートを分析し、「何が危険か」「どこからどう手を付けるべきか」といった判断を下すこともできるだろうが、残念ながらそうした人材はまれだ。FortiCNPはRRIによってそれを実現し、オペレーターが何をすべきかを分かりやすいインタフェースとスコアによって提示する。例えば「『Amazon S3』上に保存しているデータのマスキングにミスがある」といった事柄を指摘できるだけでなく、PCI DSSなどのコンプライアンスやベストプラクティスに基づき、提示されたリスクにどう対処すべきかのアドバイスも提供する。これを確認し、対処することでセキュリティ対策を容易に行えるのだ。

　「これを見れば、運用者はどこから対処すればいいか、何をすればいいかが分かるため、運用負荷を軽減でき、本来集中すべき業務にリソースを集中させることができます」（伊藤氏）。それもマルチクラウド環境、さらにはコンテナやKubernetesクラスタ、コードやデータのスキャンと保護も行うため、開発の早い段階から脆弱性を検知し、運用時と同一の基準に基づいて分かりやすくリスクを表示できることが強みだ。すでに海外の金融機関で採用されているほか、Webサービスを開発する企業が『Jenkins』などのCI/CD（継続的インテグレーション／継続的デリバリー）ツールと組み合わせ、DevSecOpsのプロセスを実現するために活用している例もある。運用時だけでなく、クラウドネイティブ、マルチクラウド環境の開発から運用まで、アプリケーションライフサイクル全体にセキュリティを組み込むことができるのだ。

この先さらに変化していくIT環境に、セキュリティ ファブリックで対応を

　フォーティネットの調査によると、76％の企業が2社以上のクラウドプロバイダーを利用している。つまりマルチクラウド環境はもはや当たり前となっている。もちろん、従来利用してきたオンプレミス環境もまだまだ存在しており、環境は複雑さを増すばかりだ。この状況で何とかセキュリティを保とうとさまざまなソリューションを追加してきた結果、運用管理は煩雑化するばかりだった。

　一方で、RaaSなどの登場により、サイバー攻撃も増加の一途をたどっている。しかもランサムウェアの中には、ほんの数分で実害を及ぼすものも存在する。さまざまなソリューションがばらばらに発するアラートを個別に確認し、深刻な事態が起きているのかどうか、どれから優先して対処すべきかといった事柄を少ない人手でカバーしようとしても時間がかかり、そうこうしているうちに被害が広がってしまう恐れの方が高い。

　「ログをSIEMのような一つのリポジトリに統合して分析しようとすると、最大公約数を得るためにどうしても正規化、標準化が発生し、その過程でいろいろな情報を捨てざるを得ません。また、分析のプロセスを加えると一手遅れてしまいます」（米野氏）

　そこで、EDRやZTNAといった個々のソリューションが何かを検知したら、いったん集約して分析する手間をかけることなくツール同士が自律的に情報交換し、防御態勢を取れる環境を作っていこうというのが、フォーティネットが提唱するセキュリティ ファブリックだ。これはガートナーが提唱するCSMA（サイバーセキュリティ・メッシュ・アーキテクチャ）の「セキュリティメッシュ」という考え方にも通じる部分があるという。

　FortiCNPもその一部をなす要素だ。「クラウドそれぞれの機能を生かしながら、互いに連携し、全体として管理していく部分に目を向けたものがFortiCNPです」（米野氏）。そしてクラウドはもちろん、この先、新たな環境が加わったり、IoTやOT、監視カメラなどが連動したりと環境がどんどん変化していっても、これまでの統制をベースにしたモデルに代わる柔軟なセキュリティを提供していく。

　「クラウドは大事ですが、レガシーも大事です。適切なセキュリティモデルを構築するとともに、クラウドの世界でさまざまなチャレンジを行えるような自由度を与えながら守っていく、DXを推進するためのセキュリティプラットフォームを提供していきます」（米野氏）