※本記事はITmediaエンタープライズより許諾を得て掲載しています
転載元:ITmediaエンタープライズ
2020年9月28日掲載記事より転載
システムの運用基盤をクラウドファーストで検討することが当たり前になってきた。だが人材が足りない中堅・中小企業が最初からセキュリティ対策を講じた設計や構築、運用を実現できるだろうか。本稿でリスク最小化の方法を紹介する。
大手企業やITベンチャーだけでなく、一般的な日本企業もIT運用の効率化や働き方改革、コスト構造の改革などを背景にクラウド移行が本格化し始めた。そこで課題となるのが「セキュリティをどうするか」だ。人手が足りない中堅・中小企業の情報システム担当者が、さらに高いセキュリティを維持して運用し続けるには努力が必要だ。
クラウド移行にはクラウドそのものの知識に加えてクラウドセキュリティの知見が求められるため、初めて検討する企業にとってはどんな対策をどう講じればよいかを理解するにはコツが必要だ。こうしたときに有効なのが、構築と運用の両方を相談でき、セキュリティについても一定の委託ができる仕組みだ。
クラウド環境のリスク対策、セキュリティ対策のリソースをどう確保するか
試験的なWebサービスだけでなく企業の基幹システムの基盤として「Amazon Web Services」(AWS)を採用する例が広がってきた。運用負荷の低減やリソースの柔軟性を期待する面もあるが、ビッグデータ分析やAI(人工知能)といった新しい技術を取り入れやすいことも、こうした動きを後押しする。
これからクラウド移行を検討する場合、課題になることの一つが「オンプレミスと同様かそれ以上のセキュリティ対策をクラウド環境でどう実現するか」という問題だ。特に中堅・中小の企業は予算と人手が限られ、ノウハウが少ないため、この問題は深刻だ。
AWSのプレミアコンサルティングパートナーであるアイレットはそうした企業のクラウド移行を総合的に支援するサービスとして「cloudpack」を提供してきた。クラウド移行を効率的に進めるための設計、構築から運用管理、請求代行といったメニューも取りそろえる。
アイレットの稲田一樹氏(クラウドインテグレーション事業部セキュリティセクション東京第一グループ グループリーダー)は次のように語る。
「従来は、何も起こらないことに対する投資に否定的な企業も少なくありませんでした。しかし近年のさまざまなセキュリティインシデントをきっかけに、一般的な企業にもセキュリティ対策の不備がもたらす経営リスクへの認知が深まり、危機意識は高まっています」
ならばAWSが提供する各種セキュリティ機能を活用してどんどん対策を実装すればいいかというと、話はそう簡単ではない。AWSの機能を使いこなすには相応のスキルと知識が必要な上、日々の機能アップデートにも追随できなければ、かえって思わぬセキュリティリスクを抱える可能性もある。こうした状況でオンプレミス環境と同等のセキュリティやガバナンスを維持し続けるのは、相応の知見とエネルギーが必要だ。
しかし、そもそも人員が少ない中堅・中小企業の場合、新たにクラウドセキュリティ対策を取り入れたとしても継続的な運用監視までは手が回らないのが現実だろう。サイバー攻撃は夜間や週末も関係なくやってくる。これに対し常にアラートを見張り、アラートの意味を理解して、攻撃か過検知かを見極め、必要があれば適切に対処する一連のセキュリティ施策を運用するとなると、とてもではないが人もノウハウも予算も足りなくなる。
AWS利用時のセキュリティ対策をパッケージ化したサービス「securitypack」
こうした中堅・中小企業のクラウド移行の課題を受け、アイレットはAWS環境を保護する「securitypack」を2014年から提供してきた。トレンドマイクロの「Trend Micro Cloud One – Workload Security」(旧「Deep Security as a Service」、以下Cloud One – Workload Security)のインストール、設定に加えて、環境に合わせたチューニングや24時間365日体制の保守、監視もサービスメニューに含まれる。
securitypackは、Cloud One – Workload Securityが発したアラートを顧客に代わってアイレットが受け取って分析し、必要に応じてエスカレーションしたり緊急の場合は顧客に連絡したりして対処する。顧客のIT担当者がコンソールに張り付いて監視しなくても運用できるため、人手が足りない中でクラウドに移行する際に有効だ。
Cloud One – Workload Securityの動作イメージ(出典:トレンドマイクロ)
securitypackはAWSが提唱する「責任共有モデル」を基に、ユーザーが責任を負う領域の一部を代行する形で設計されている。責任共有モデルでは、AWSが運用責任を負うファシリティーや回線を含むインフラ(IaaS)以外の、アプリケーションを含むOSから上の部分のセキュリティ対策は顧客が責任を負う。
「例えばAWSにおいてファイアウォールの役割を果たすAmazon VPCのSecurity Groupを活用し、使用目的に合わせ開放するポートを指定して特定のIPアドレスからしか接続を許可しないよう設定を入れる必要があるか考えるのはAWSセキュリティの基本中の基本です。また、AWSのアカウント管理も非常に重要で、管理者権限に当たるIAMユーザーを洗い出し、多要素認証(MFA)でログインするように設定しなければなりません」(稲田氏)。他にもOSの脆弱(ぜいじゃく)性管理やネットワークセキュリティ、ID管理、データの暗号化など、オンプレミスの場合と同様にさまざまな対策を講じていかなければセキュリティは保てない。そこで、ユーザーが責任を追う領域の運用を支援するのがsecuritypackだ。
securitypackはアイレット自身のAWSセキュリティの知見に加え、ワークロードのセキュリティ保護に必要な不正プログラム検知、不正通信パケットの破棄、IDS(不正侵入検知システム)/IPS(不正侵入防止システム)、Webアプリケーション防御、構成変更管理、ログ監視といった複数の機能をひとまとめに提供する「Cloud One – Workload Security」の導入から運用、監視までを提供する。
密な協力関係を背景に、Cloud One – Workload Securityを生かしたサービスを展開
securitypackは、Deep Security(当時)を「as a Service」として提供したものとしては非常に早い時期に立ち上がったマネージドセキュリティサービスだ。技術検証などを担当するアイレットの廣山 豊氏(クラウドインテグレーション事業部 副事業部長)は「cloudpackの運用サービスをうまく補う機能がそろっていることから、アイレットが独自に管理機能を構築して運用してきた時期もある」と振り返る。AWSの構築運用と併せて、こうしたセキュリティ対策を必要とする顧客のニーズをくんだサービスを提供してきた実績が評価され、アイレットは二度にわたって「TREND MICRO Partner Award」を受賞している。
「オンプレミス環境にセキュリティ対策製品を導入してマネージドサービスを提供するクラウドインテグレーターは他にもありますが、AWSなどのクラウドサービスを対象に、導入だけでなくその後の運用、保守、監視の全体を保護する充実したサービスを提供できる点がアイレットさまの強みだと考えています」(トレンドマイクロ パートナー営業本部広域営業部 部長 野田規仁氏)
アイレットとトレンドマイクロは、技術サポートを含むサービスパートナー契約を締結し、深く協力しながらsecuritypackを展開してきた。共同で顧客支援に当たったり、製品サポートのメンバーを含むミーティングを実施したりといった交流の中でサービスの改良を続ける関係にある。
稲田氏は「AWSが提供するセキュリティサービスは日々カバー範囲を拡大しているが、機能が多く、ユーザーだけで使いこなすのが難しい場合が多い。こうした領域は今後もアイレットがトレンドマイクロを始めとするサードパーティー製品を組み合わせて、提供サービスの品質を高めていきます」と述べ、引き続き顧客のクラウド展開を支援する姿勢を強調した。