2020年でも「おっかなびっくり、クラウド恐怖症」の根底には何がある?「責任共有モデル」を理解し現状を打破する再考ポイント:特集:withコロナ時代のクラウドセキュリティ最前線(1)
クラウドサービスの活用が急務の今、必要となる“考え方の転換”やアプローチについて、クラウドセキュリティにおける意識調査のレポートを公開した2社に話を聞いた。
クラウドセキュリティへの対応が急務となっている。IaaS、PaaSといったクラウドサービスは身近なものとなり、本格活用に当たっては、安全性が求められる。これまでの境界型セキュリティとは異なる“クラウドセキュリティ”の知見が必要で、単なる製品/ソリューションの導入ではなく“考え方の転換”が迫られる。
では、その転換はどの程度まで進んでいるのだろうか。そして足りないのはどの部分なのか。
日本オラクルとKPMGコンサルティングは、クラウドセキュリティにおける意識調査を行い、2020年7月に最新の状況をレポートとして公開している。グローバルと日本における差異が端的に表れており、クラウドセキュリティの現状を把握しやすいレポートといえるだろう。
@IT特集「withコロナ時代のクラウドセキュリティ最前線」では、この結果をさらに深掘りすべく、調査に関係したKPMGコンサルティング パートナーの澤田智輝氏と日本オラクル テクノロジー事業戦略統括 ビジネス推進本部 シニアマネージャーの大澤清吾氏に話を伺う機会を得た。両者共にサイバーセキュリティ分野、特にクラウドに関連する支援を行っているキーパーソンだ。
クラウドセキュリティにおいてグローバルに追い付くために、日本の良さを延ばすためのポイントを考えていきたい。
グローバルと日本で異なる「気になる数値」は
まず両氏に今回のレポートにおける“順当な結果”を聞いたところ、クラウドサービスの利用状況に関する数値が挙がった。
クラウドサービスの利用状況は、IaaS、SaaSともにグローバルと日本で大差はない。これはおそらく読者も納得できるものだろう。大きな違いが表れたのは、「今後2年間で半分以上のデータをクラウドに移行する予定」という企業の割合だ。グローバルは49%とほぼ半数が移行予定と答えたが、日本においては22%しかない。
「日本もPoC(概念実証)を中心にクラウドを活用している企業が多い。しかし、PoCはあくまでPoC。本当の意味で活用しているかというと、まだ“おっかなびっくり”という状況ではないか」(澤田氏)
それは「クラウドの安全性に対する認識」に表れている。「オンプレミスのシステムに比べ、クラウドは十分に安全だと認識しているかどうか」という問いに対し、グローバルでは40%が「安全である」と回答しているが、日本では「21%」と低い水準だ。これはグローバルにおける2018年の数値と同様であり、「日本の認識は2年遅れ」ともいえる。
しかし、澤田氏はこの結果を見て、個人的には「日本も思った以上に進んでいる」と感じたという。「“クラウド恐怖症”にかかっている顧客も多い。基幹システムやミッションクリティカル、顧客情報のクラウド移行は『とてもじゃないが無理だ』というのが現場の皮膚感覚だ」(澤田氏)
大澤氏もこれに同意する。「Oracleもクラウドサービスを提供している。利用は拡大しているものの、本格活用までは進んでいない印象がある。とはいえ、これはコロナ禍の影響が出てくる前の調査であるため、もしかしたら今は大きく動いている可能性はある。今後の調査でどう変化するかが注目だ」(大澤氏)。
これらの結果はおそらく、利用したことのないものへの恐怖だろう。PoCを実施していたとしても、本格活用とPoCには大きな隔たりがある。澤田氏は「PoCは実施のハードルも低く、やろうと思ったタイミングで環境を作れる。しかし本番データを乗せる、実業務を乗せるとなると、そこになかなかジャンプインできない」と述べる。
「Oracleのクラウドサービスを活用しようというお客さまからは『閉域網に対応しているか?』という問い合わせを多く頂く。おそらく、これまでの経験から『閉じていればより安全』という考え方になっているのだと思うが、閉域網だとネットワーク構成に課題が発生するので、日本においても、今後は『閉じていればより安全』という考え方からゼロトラストネットワークの考え方に徐々に変化していくのではないだろうか」(大澤氏)
「責任共有モデル」=マンションモデル?
“クラウド恐怖症”の根底には何があるのだろうか。その一つは「責任共有モデル」と呼ばれる、クラウドサービス特有の考え方にあるのかもしれない。しかし、“おっかなびっくり”の原因は「単に慣れていないから」とも考えられる。「クラウドは、使ってみないと『どこまでが誰の責任なのか』の判断がつきにくい。だから乗り越えられないのではないかというのが個人的な見解だ」と澤田氏。続けて、責任共有モデルの考え方としてマンションの維持管理に例えて説明する。
「マンション管理も責任共有モデルといえる。共用部として玄関などは思い浮かぶかもしれないが、実はベランダも共用部であるといったことがある。意外と分かっていない部分もあるかもしれないのに、多くの人が既に居住している。クラウドは“共有”するものであり、自分もオーナーシップを持っていないといけない。それが企業の中でふわっとしているから、“クラウド恐怖症”につながるのではないか」(澤田氏)
“クラウド恐怖症”のもう一つの理由は“知見”かもしれない。知見不足から判断が遅れることが、クラウドを活用できる企業とできない企業の差に表れてしまう。
「個人的に話すことが多い比喩として、『昔は各ビルに立っていた守衛さんも自社の人だったが、今では社員を守衛として立たせている企業はなく、専門的な知識を持つ人にお願いして、協力しながらうまく回して活用できる』と話している。クラウドに関しても考え方は一緒。その判断ができるかどうかが、クラウドを活用できる/できないの“差”なのではないか」(澤田氏)
クラウドセキュリティに対する不安をどう解消するか
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ルートユーザーって使っちゃダメなの?――クラウドを始める前に覚えておきたいセキュリティの基礎知識
親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。初回は、クラウドを始める前に覚えておきたいセキュリティの基礎知識について。
Cloud Security Alliance、ソフトフェア定義型境界とゼロトラストに関するホワイトペーパーを発表
Cloud Security Alliance(CSA)は、ホワイトペーパー「Software Defined Perimeter(SDP)and Zero Trust」(ソフトフェア定義型境界とゼロトラスト)を発表した。
クラウドセキュリティの強化には、IAMとCASBの組み合わせが必要
アイデンティティー管理は今後の企業におけるクラウドセキュリティの要といえる。だが、カバーできない部分もある。これを補完するために検討したいのが、クラウドアクセスセキュリティブローカーの活用だ。