なぜクラウドセキュリティは「包括的でシンプル」にすべきなのか 開発、運用、セキュリティの連携を強める秘策：DevSecOpsを考えているなら

マルチクラウドやハイブリッドクラウドが当たり前になりつつある今、システムの複雑化と、保護対象の広範化がセキュリティ対策を難しくしている。DevOpsやDevSecOpsにおけるセキュリティ課題の解決策を探っていこう。

PR／＠IT

印刷

隕九ｋPost

Shareシェア

はてなブックマーク

SharePocket Button

PR

　クラウド利用が急速に拡大する中、クラウドネイティブなサービスの需要はますます高まっている。クラウドアプリケーション開発者にとっては、従来の品質や開発速度を維持しながら安全性を保つことが大きな課題となっている。一方で、セキュリティ担当者を常に悩ませる課題の一つが「セキュリティ製品の運用」だ。クラウドネイティブ環境向けのセキュリティ技術やツールは多数あるが、ポイントソリューションを導入するだけでは運用業務が複雑化するばかりで、各セキュリティツールから届くアラートに振り回されることになりかねない。

　開発者とセキュリティ担当者が手を取り合い、クラウドアプリケーションの開発から運用までのサイクルをセキュアに、そして高速化するには、どのような解決策があるのか。フォーティネットジャパン主催のイベント「Cloud Security Roadshow 2025」（東京会場）の講演から、そのヒントを探っていこう。

セキュリティファブリックで包括的にクラウドネイティブ環境を守る

米野宏明氏

　「変化し続ける複雑なデジタル環境をどのように守るか。その答えを提供するのが、Fortinetの役割です」。基調講演に登壇したフォーティネットジャパンの米野宏明氏（マーケティング本部　本部長）は、同社が提供するクラウドセキュリティについてこのように強調した。ゲートウェイセキュリティで古くから知られる同社は、時代の変化に合わせてクラウドセキュリティにも注力。パブリッククラウドを利用する企業向けのセキュリティ対策や、自治体が利用するガバメントクラウドのセキュリティ対策まで幅広く手掛けている。

　デジタル技術の急速な進化に伴って、保護すべき対象が広範化、複雑化し、セキュリティホールという隙が生まれやすくなっている。Fortinetはこうしたセキュリティリスクに対処するために、自社開発の「FortiOS」とセキュリティ研究機関「FortiGuard Labs」を中心に、ハードウェアからソフトウェア、サービスまで包括的に保護する「セキュリティファブリック」というビジョンを掲げ、セキュリティポリシーに一貫性を持たせてガバナンスを向上させる仕組みを提供している。

Vincent Hwang氏

　FortinetのVincent Hwang氏（Vice President of Products & Solutions, Cloud Security）は、ユーザー企業がマルチクラウド環境の複雑さに苦しんでいる現状を説明し、「セキュリティ人材が足りないこと」と「可視性の欠如から生じる設定ミスのリスク」が重要な課題だと指摘。「クラウドに移行するデータが増えるほど複雑性は高まります。可観測性を高め、一貫したセキュリティポリシーを適用させるためにも、セキュリティ製品の運用管理をもっと簡素化しなければなりません」と語り、統合的なクラウドセキュリティプラットフォームの必要性を強調した。Fortinet製品群は主要なパブリッククラウドサービスとともに利用でき、マルチクラウド環境であってもセキュリティ運用を一元管理できることが特徴の一つだ。

　Fortinet製品群は、マルチクラウド環境におけるデータとアプリケーションを「360度」の多層防御で包括的に保護するという。セキュアアクセス、クラウドネットワークセキュリティ、アプリケーションセキュリティ、そして2024年に買収したLaceworkのCNAPP（Cloud Native Application Protection Platform）を「FortiCNAPP」として取り込むことで、統合的なセキュリティプラットフォームを実現している。

Fortinetの包括的なセキュリティプラットフォーム（出典：フォーティネットジャパン提供資料）《クリックで拡大》

Brad Rogers氏

　FortinetのBrad Rogers氏（Cloud Security Account Manager）は、「クラウドセキュリティはデータセンターのセキュリティとは全く異なる領域です。ソフトウェア定義型の高度で動的な環境を、責任共有モデルの下で保護する必要があるためです」とCNAPPの必要性を語った。FortiCNAPPは「コード開発」「デプロイ」「実行」という3つのフェーズを保護するものだ。AI（人工知能）技術を活用して膨大なデータを分析し、クラウドネイティブ環境内のリスクや脅威を継続的に可視化する。Rogers氏は「毎日何十億もの大量のデータを取り込み、環境内の既知・未知の脆弱（ぜいじゃく）性を発見し、対策を提案します」と強調する。

開発フェーズからセキュリティを高め、手戻りを防いでコストを削減

川原 翔氏

　フォーティネットジャパンの川原 翔氏（パートナービジネス技術本部　第二技術部　シニアシステムエンジニア）は、ソフトウェア開発におけるセキュリティ対策と高速開発の両立をテーマに講演した。

　川原氏は、開発、品質管理、運用の各現場が抱えるセキュリティの課題を整理。開発フェーズで安全性を高める手法としてチェックシートやソースコード診断サービスなどがあるが、いずれも一長一短で手戻りのリスクは避けられない。加えて近年の課題として「コードの膨張」を挙げ、「これが原因でセキュリティテストの負荷が爆発的に増えています」と話す。脆弱性が見つかるタイミングが後工程になるほど修正の手間が肥大化するのも問題だ。品質管理フェーズでは自社開発コードだけでなくOSS（オープンソースソフトウェア）のライブラリに含まれる脆弱性も管理しなければならない。1つのライブラリが多数の依存ライブラリで構成されていることも踏まえると、人手を介した管理はもはや限界だと言える。運用フェーズではアクセス制御や環境設定のミスがセキュリティホールにつながる懸念がある。

　解決策として、川原氏は「DevSecOps」の導入を推奨する。「DevSecOpsは、開発から運用のサイクルにセキュリティ対策を組み込む概念です。重要なのは、開発の各工程でSAST（静的アプリケーション解析）、SCA（ソフトウェアコンポジション解析）、DAST（動的アプリケーション解析）などを取り入れて、開発サイクルの早い段階で脆弱性検出と修正を繰り返す“シフトレフト”です。こうしてセキュアコーディングをしながら高速開発を実現し、手戻りのコストを最小化します」

　ここで活躍するのが、開発のセキュリティに特化したアプリケーションセキュリティツール「FortiDevSec」と、クラウド環境の運用セキュリティを担うFortiCNAPPだ。FortiDevSecはSAST、SCA、DASTの他、ハードコードされた資格情報のスキャン機能、不適切なInfrastructure as Code（IaC）のスキャン機能を、単一のダッシュボードから利用できる。FortiCNAPPはクラウドインフラ設定の評価、ID権限の分析、ポリシー非準拠アプリの導入防止、異常検知など、クラウド環境を包括的に保護する機能を持つ。

　「FortiDevSecとFortiCNAPPの組み合わせは、専門家がいなくとも、開発と運用の複雑な環境へクイックにセキュリティを実装し、シフトレフトを実現できるソリューションです」と川原氏は説明する。

DevSecOpsを実現するFortinetのソリューション（出典：フォーティネットジャパン提供資料）《クリックで拡大》

クラウドのセキュリティ課題を一気に解決する包括的ソリューション

今井大輔氏

　フォーティネットジャパンの今井大輔氏（マーケティング本部　プロダクトマーケティングマネージャー）は、クラウド環境におけるアプリケーションセキュリティの課題と、その解決策として新たに開発した「FortiAppSec Cloud」について解説した。

　クラウドの普及とともに重要度が増してきた課題として今井氏は、川原氏らと同様に「環境の複雑さ」「AIによる高度な攻撃の増加」の他、「グローバルでの可用性確保」「コンプライアンス管理のための可観測性」を挙げる。IT担当者は世界中の拠点から安全にアクセスする方法を確立し、パフォーマンスを維持する責任を負っている。リスク対策のためには、国や地域ごとの法規制に準拠しながら、可観測性の高い管理体制を構築することが求められる。

　「FortiAppSec Cloudは、Webアプリケーションファイアウォール（WAF）、bot対策、DDoS（分散型サービス拒否）攻撃防御、脅威分析、グローバルサーバロードバランシング（GSLB）などのセキュリティ機能を1つのプラットフォームに統合した、包括的なクラウドセキュリティ製品です。これによりばらばらに運用され複雑化していたセキュリティ対策を一元化し、脅威へ迅速に対処できるようになります。運用負担の軽減と効率化にも貢献します」（今井氏）

　AI技術を活用した高度な脅威分析と自動化は、FortiAppSec Cloudの強みの一つだ。統計的な異常検知とFortiGuard Labsの脅威データベースを組み合わせ、脅威検出の精度を高めつつ誤検知を低減している。この特徴は、従来のWAFの学習方式では対処できなかったゼロデイ攻撃への対抗策にもなり得るという。

　今井氏は「FortiAppSec Cloudの導入により、マルチクラウド／ハイブリッドクラウド環境でも一貫したセキュリティポリシーを適用しやすくなるのは大きなメリットです。グローバルな環境でパフォーマンスと可用性を確保し、コンプライアンス管理のための可観測性が向上します。複雑な環境でもシンプルな管理で脅威に対応できるセキュリティソリューションです」と締めくくった。

FortiAppSec Cloudがもたらすメリット（出典：フォーティネットジャパン提供資料）《クリックで拡大》