シンジです。タイトルの質問はよく聞かれます。質問そのものが漠然としているので、毎回順を追って説明するのですが、この説明をしなくてもよくなる時代はまだ来なさそうな感じです。

おそらくこういう事情がある

どうすればクラウドを安全に使えるのか、という質問の背景には、クラウドを使いたいというモチベーションはあるが、よく分からないので不安を感じている、ということに尽きる。そもそもセキュリティ専門部隊が、対象のクラウドサービスを厳密に調べ上げることができているのであれば、この質問自体が成り立たない。実際問題として、世の中には良いクラウドと悪いクラウドは存在しているし、どの視点でもって善し悪しを判断するかは立ち位置によってかなり変わる。

若い世代、クラウドネイティブなエンジニア達は、もはやオンプレミスの技術を理解していない。RJ-45がギリギリで、SFP+はアウトだ。クラウドが安全かどうかなど意識して使っていない。少なくともシンジが今の会社で、CPUの拡張命令とL2キャッシュのサイズを気にして設計を進めるエンジニアを知らない。

セキュリティの担当者として自覚した上で書くけれども、多くの場合、そもそもセキュリティ対応やセキュリティ評価はビジネスの本質にはなりえない。つまり、セキュリティを気にしてビジネスが出来ない状態を自ら作ってしまうのであれば、これは本末転倒なのではないかと思っている。

あくまでセキュリティは投資行為

ビジネスは投資だ。物を買うのか人を買うのか情報を買うのか、それらと本質的には変わらない。漠然とオンプレミスが安全で、クラウドが危険だというのは幻想でしかなくて、もっとも考慮すべきは情報のコントロールだけだ。守るべき価値のない情報に対して、高額なセキュリティ投資を行うのは、投資として正しいのかどうかというだけの話し。

セキュリティというと、外部攻撃から自身を守るというイメージが強いようで、つまりクラウドは外部なので不安だと。オンプレミスは内部だから安全だというロジックが一部にはあるようだ。果たしてそのオンプレミスは本当に掌握できているのか、従業員が悪意を持って犯行に及んでも被害を最小限に留めることが出来ると株主に説明できるのか。

クラウドはスタンダードではない

なんとなくクラウドという単語が頭の中にふわふわと存在していて、なんとなくクラウドにすると会社が儲かるとか、コスト削減に繋がりそうだとかをイメージしているようだけど、実はそうではない。機能的な側面で見れば、明らかにオンプレミスでは出来ない事をクラウドでは実現できるのは間違いない。ベアメタルという物理が全て共通言語のソフトウェアになってしまうのだから、イノベーションという意味では半端じゃない。ただしこれがセキュリティ向上に直結するかというと、そうかもしれないし、そうではないかもしれない。

時代はクラウドファーストであることは間違いない。新しくビジネスを立ち上げようと思ったり、新たなサービスを開始しようと考えたとき、まずはクラウドという「道具」をうまく使うことを前提に物事が進んでいく。ビジネスのスケールに合わせて、インフラをスケールできるからだ。物理を買わずに済むわけだから、失敗しても辞められるし、うまくいけば儲けもの。ただし、それでもそれでも検討した結果、オンプレミスを選ぶのであれば、それは正解だと思う。

Amazon Web ServiceやMicrosoft Azureを始めとしたIaaSやPaaSだけでなく、手軽にクラウドの恩恵を得られやすいSaaSビジネスが伸びている。少し考えれば当たり前の事なのだけれど、それらのクラウドサービスの裏側、行き着く先にはオンプレミス・ベアメタルが絶対に存在している。

特にSaaS、例えばAmazonは自社で映像配信サービスであるAmazon Prime Videoを提供している。映像配信サービスというカテゴリで見れば、Netflixが強い。ところがNetflixの裏側はAmazon Web Serviceだ。ガチガチの競合他社のインフラを利用しているというわけ。

一方で、ネイティブクラウドサービスのように見えていて、実は自社のオンプレミスでサービス提供をしている会社も多数存在している。というか、元々クラウドだったけども、オンプレミスに移したSaaS事業者も普通にいる。いちユーザとして見れば、取り出そうとした情報資産がネットワーク上のその先にあるだけであって、それが閉域網なのかインターネットなのか、国内なのか国外なのかは意識していない。

ただし、セキュリティ担当者としては意識すべきポイントになる。

例えば、法的拘束力があって、国外に持ち出せないデータが存在するので、国内にデータセンターがあることが条件であって、と言われれば納得するのだが、なんとなく自分が日本に住んでて、今までのオンプレミスも日本にあったから、クラウドでも日本にデータセンターがないとダメだと言われると、最近はこの理屈が正直よく分からない。

というのも、自社の全員の通信を監視してみた。というか今でもしている。シンジが働く会社は、特にクラウドを使いまくる傾向にあるという部分は考慮するけども、結果的には全トラフィックの9割以上が国外通信だった。それだけウチは国外のサービスに依存して仕事をしている。社員は意識してデータを国外に持ち出してる訳ではなくて、シンジや自社組織がきちんと評価した上で、内部統制が取れる範囲の中で、ビジネスを加速させる為の道具としてクラウドを使った結果、こうなっているだけの話し。うまく使うと自社のビジネスを加速できる道具がオンプレミスであるならば、それを使うだけの話し。

この状況で、もしも自社が海外との通信を制限して、とある条件に引っかかる秘匿データは、全て国内のデータセンターで管理することと言われたとしたら、ウチの会社は潰れると思う。

基本的にセキュリティ対策は後手に回る

クラウドは危ないとか、海外企業は信用できないという人が一定数いるようだけれども、そんな人がスマホを使って写真を撮ってたりするわけだ。いや、もしかしたらSIMが入っていないのかもしれないし、Wifiコントローラーを焼き切っているのかも。自宅の電気も自家発電で、食べるものは全て自分が作った土と肥料で育てていて、雨水を濾過して生活しているのかもしれない。

何が言いたいのかというと、セキュリティは「性悪説」で設計していくとキリは無いけどそれっぽくなる、でも「性善説」がないとビジネスを進めていくことができない。なので、一定の「信用」を持つことで、投資することが出来るというわけ。何かを信用して情報を渡す、投資する、その恩恵を受ける。

セキュリティにまつわる多くの情報が、事件事故が起きた後の教訓であったり、とある機関が発行したミドルウェアなどのアプリケーションの脆弱性情報を評価したりしている。やたらに不安を煽って、よく分からないアプライアンスを売りつけてくる謎の業者もいる始末。自分たちでリスクを事前に穴埋めして、内外からの攻撃を防御できて、あぁやっぱりここに労力を裂いて良かったなーなんていうことはほとんどない。監査通せて良かったなーくらいなもの。

Webサイトが改ざんされたとか、個人情報漏洩しましたなんていうニュースは日常茶飯事で、他人事に感じている人が多い。とある第三者監査の都合で、自社に対して標的型攻撃を仕掛けているけれど、今のところ成功率100%なので、この監査項目って意味あんのかなって思っている。

今年大注目のサービスであるCylanceは、エンドポイントセキュリティとしては優秀。デバイスのウイルス対策にCylanceのアプローチは分かりやすくて、定義ファイルを定期的にアップデートするのが当たり前だった世界が、CylanceはAIがウイルスであるかどうかを判断するので、ネットワークにいなくても良い、その必要がほとんどないわけだ。つまり機械的に学習して、どんどん頭が良くなっていくと想像できる。それでもウイルスの検出率は100%にはならない。何故なら、学習元のウイルスを開発する連中がいないと成立しない。

ガチの攻撃者が、成立する攻撃を結果として示して、それを元に我々は対策を講じる。内部犯行も同様。その繰り返しでしかない。真に最適なセキュリティ対策は何かと言えば、世界が経験している過去事例情報から設計・運用できるかどうかに尽きる。そしてその情報量は尋常ではないし、どんどん追加されていく。社内外のインフラをほいほいと設計し直すのは難しい。

セキュリティの側面だけでインフラを選んではいけない

AmazonやMicrosoftやGoogleといった超大企業で超優秀な人間が揃いまくってる会社が開発し、運用しているインフラやアプリを使うのと、自社のオンプレミスを比較する意味がよく分からない。戦う相手にしてはでかすぎる。コストだけで評価するのも意味が分からない。受けられる恩恵があるのにコスト増は認めないとは之如何に。しかしまた、世界にはオンプレミスを選択してクラウドと戦って、勝ち目を示しているサービスが存在しているのも事実。ただ、シンジが実際にそれらの企業を見てきた限りでは、宝くじを当てる方が簡単だなと思うくらい大変そうではあった。そして彼らはクラウドを使わないとは言っていない。とある有名SaaS企業は、起業したタイミングではオンプレミスが最適だっただけであって、現在は社員や顧客がクラウドインフラを求めるので、選べるようにした、自社のビジネスにフィットさえすれば、一部でも全部でも、いつでもクラウド化すると明言した経営者もいた。

つまり、オンプレミスのクラウド化は本質ではなくて、ビジネスの最適化を考えているというだけだ。

現時点で圧倒的な情報量、開発力、運用能力を持った優れたクラウドを、ただの感情論や漠然とした不安、知識の乏しさだけで使わないと判断するのは正しい判断なのだろうか。

VMwareがAWSで動く時代ですよ

クラウドという触ったことのないもので、何が最適なのか分からない、怖い、それはよく分かるけども、シンジだって実際にやらないと分からないことばかりだし、そもそも自社のオンプレミスは絶対安心で完璧なのかという疑問を持って欲しいなって。クラウドで作ったインフラやサービスが完璧である必要なんてなくて、最小限のコストで自由にスケールできるメリットを存分に享受してもらって、その都度最適化できる柔軟な行動力さえあれば、どうにでもなるんだけどなーって思います。

セキュリティは大事、それはよく分かるけども、そこに縛られて動けなくなってしまうなら、それはセキュリティの本質ではないですよね。自分自身もこれをたまに忘れてしまうので、改めて言い聞かせて、セキュリティという矛盾に向き合い続けようと思います。

元記事はこちら

オンプレ企業がクラウドを使うときのセキュリティポイントを聞かれた