クラウド時代のビジネスインフラに適した、新しいセキュリティ対策マルチクラウド環境の安全性と利便性を両立するには

SaaSの普及に伴い、社内と社外を分け、ファイアウォールの内側に保存されたデータを境界線で守るという“セキュリティの定石”に限界が見え始めている。KDDIとシマンテックが提案する「クラウドを安全に活用しながら、企業の力を最大限に発揮させる新たなセキュリティ対策の姿」とは?――両者の対談にその具体像を探る。

» 2018年01月29日 10時00分 公開
[PR/@IT]
PR

クラウド時代に求められる新たなアーキテクチャ、新たなセキュリティ

 「コスト削減」だけではなく、「ビジネス展開をスピードアップさせたい」「働き方改革によって生産性を向上させたい」といった“攻め”の活用を狙い、今、多くの企業がSaaSをはじめとするクラウドサービスを利用している。既存システムの全面的なクラウド移行を図る企業は一部にとどまるが、部門単位で、あるいは何らかの業務に絞って部分的にSaaSを利用している企業はかなりの数に上る。

 だがSaaSの浸透に伴い、従来型のセキュリティ対策が課題に直面している。これまでは専用線などを介して、本社や拠点、それぞれに構築されたITシステムをいったん1つにまとめ、そこでさまざまなセキュリティ対策を施してからインターネットに接続する一元集約的なアーキテクチャが一般的だった。従業員が各システムを“オフィス内から利用する”ことを前提としたこの方法は、オンプレミスで運用している基幹サーバにアクセスしていた時代には合理的な形だった。

 だが、クラウドサービスはこれまでとは異なり、“社外のインターネットの向こう側”にある。また、モバイルでのワークスタイルが浸透してきている昨今では、従業員が社内ネットワークにアクセスするのはオフィス内とは限らない。これを受けて、今、セキュリティ対策にも新たな仕組みが強く求められているのだ。

 こうした状況について、KDDI ソリューション事業企画本部 クラウドサービス企画部 企画2グループリーダーの樋口太一氏は、「従来のアーキテクチャのままクラウドを活用しようとする企業は、2つの課題に悩まされています」と指摘する。

AlT KDDI ソリューション事業企画本部 クラウドサービス企画部 企画2グループリーダー
樋口太一氏

 「1つはトラフィックの量です。既にゲートウェイ部分のトラフィックもセッション数も増加している上、WEB会議のようにリッチなSaaSがどんどん使われるようになっています。業務を阻害しないために対策を打とうにも、この先3〜5年でどれほどトラフィックが増加していくのか、先を予測しにくいという問題もあります。2つ目は遅延です。モバイルワーカーだけではなく、海外拠点からいったん日本の本社側まで折り返してインターネットに接続する仕組みでは、どうしても遅延が発生します。こうした理由から、『各拠点からダイレクトにインターネットに接続したい』と考える企業が増えています」(樋口氏)

 樋口氏が挙げる2つの課題を解決するには、「各拠点から直接インターネットに接続する形」を採用する企業も増えているというが、そうした場合には3つ目の課題として、インターネットでのガバナンスやセキュリティをどう担保するかという問題が立ち上がってくるという。

 「特に大きな問題は、SaaSを利用する場合、ゲートウェイでは通過する“トラフィックの中身”が見えないことです。近年、新たなクラウドサービスが次々にリリースされ、中にはファイルを添付してやりとりできるものまで登場しています。つまり、クラウドサービスの使われ方を常に監視していないと、そこが情報漏えいの穴になるリスクがある。しかし、トラフィックの中身を見る手段がない――これが新たな課題として浮上しているのです」

ALT シマンテック セールスエンジニアリング本部 エンタープライズSE部 シニアシステムズエンジニア
水野令一氏

 一方、シマンテックのセールスエンジニアリング本部 エンタープライズSE部 シニアシステムズエンジニアを務める水野令一氏は、セキュリティ企業の立場から、「クラウドサービスの普及に伴い、脅威の中身もセキュリティ対策の在り方も変わってきているといえます」と解説する。

 「従来のようにデータが社内にあったなら、データの出口と入口を守っていればよかった。だが、今やデータ自体がクラウド上にあり、連携された複数のサービス上を渡り歩いている状態です。従業員も社内にいるとは限らず、自宅や外出先などを動き回りながらアクセスするようになっています。また、SaaSの浸透に伴い、IT部門が関知しないシャドーITも問題になっています。2017年はWannacryなどのサイバー攻撃も企業の注目を集めましたが、このような環境変化を踏まえ、攻撃者は守りの堅いシステムではなく“弱いところ”を狙うようになっているのです。こうなると、守るべきところは非常に広範囲になってしまいます」(水野氏)

 「守るべきところが広範囲になっている」中で、どのようにして複数のSaaSも含めたセキュリティ対策を施せば良いのだろうか?――樋口氏は、「末端とゲートウェイで守るこれまでのやり方だけでなく、よりデータに近いところ、すなわちクラウドに近いところで守ることが大切です」と訴える。

CASBで「サービスの使われ方」を可視化。統合的なセキュリティ対策を実現

 その実現手段として、樋口氏は、クラウドを前提とした新しいセキュリティ対策「CASB」(Cloud Access Security Broker)を挙げる。CASBは、ユーザーとクラウドとの間に挟まり、「誰が、どんなサービスにアクセスし、何をしているか」を可視化しようという概念だ。もしそれが重要なデータだったり、アクセスが許可されていないデータであったりすれば、何らかの制御を加えて流出を防ぐ。一連のユーザー行動をログに記録することで、「業界標準やガイドラインを順守してクラウドサービスを利用していることを証明する」機能も果たす。KDDIではこれを実現するために、「KDDI Security Cloud」の一機能としてCASBの提供を開始しているという。

ALT 「KDDI Security Cloud」の一機能として提供するCASB管理画面のイメージ。ユーザーとクラウドとの間に挟まり、「誰が、どんなサービスにアクセスし、何をしているか」を可視化する《クリックで拡大》

 KDDI Security Cloudは、URLフィルタリング、アンチウイルス、サンドボックスといった機能を統合したWEBセキュリティ機能、メール送受信時のアンチスパム、アンチウイルス機能を提供するメールセキュリティ機能に加え、クラウドサービス利用状況を可視化し、ポリシーに応じて制御するCASB機能の3つをクラウド上で提供する。

 これら3つの機能によって統合的に安全を担保できることが大きな強みだと水野氏は語る。例えば、シャドーITなら、宛先に応じてアクセスを許可/禁止するURLフィルタリングでも対応することはできる。だが、同じクラウドサービスでも私用で使う場合もあれば、業務上必要で利用しなければならない場合もある。その点、「誰が、どんなサービスにアクセスし、何をしているか」を可視化するCASB機能は、「そのアクセスが本当に適切か」、アクセス先のリソースやアカウント情報、ユーザーの挙動を加味しながら判断できる。こうした機能は、通信がSSLで暗号化されていても対応可能なため、使用するユーザーの利便性・生産性を阻害することなく、安全なサービス利用を実現できる。

ALT CASB管理画面のイメージ。「誰が、どんなサービスにアクセスし、何をしているのか」、アクセス先のリソースやアカウント情報にユーザーの挙動を加味して判断できるため、「ユーザーの利便性」を阻害しないきめ細かな制御を実現できる《クリックで拡大》

 “セキュリティ対策の存在をユーザーに意識させないこと”は、新しいセキュリティ対策を浸透させていく上で大きなポイントとなる。例えば、取引先とのやりとり上、どうしてもグレーゾーンのサービスを利用せざるを得ないことがあるが、URLフィルタリングでそれを全面的に遮断してしまえば生産性を大幅に阻害してしまう。そうなれば、ユーザーは抜け道を探し、かえってシャドーITを増やしてしまう。結果、セキュリティに穴が生じるだけだ。

 「CASBは“サービスの実際の使われ方”を可視化することで、どの辺りでセキュリティ対策の線を引くか、判断材料を提供する仕組みといえるでしょう。今、IT部門には『経営への寄与』が強く求められていますが、CASBの活用で業務の効率を下げることなく、情報漏えいなどのさまざまな脅威から自社を守ることができるようになります」(樋口氏)

 「ビジネスをうまく回すためにクラウドサービスを採用する企業が増えていますが、セキュリティの問題で利用を制限し過ぎてしまうと本末転倒になりかねません。CASBはクラウドとの間に挟まって、危ないものはしっかり守り、安心してサービスを使えるようにするものなのです」(水野氏)

マルチクラウド環境でも自社のセキュリティポリシーを一元的に担保

 無論、クラウドサービス事業者側もセキュリティ問題は認識しており、アクセス制御のための機能やツールを提供している。だが、クラウドサービス事業者側が提供するセキュリティ機能は、機能の内容、レベル、今後提供する機能も含めて、事業者ごとにバラバラであることは言うまでもない。各サービスでそれぞれにセキュリティのレベルを担保することでも難しいが、異なる複数のサービスをまたがって使うマルチクラウド環境では、複数のサービス間でのセキュリティを「自社が求めるセキュリティレベル」に合わせる必要があり、さらにそのハードルは高くなる。

 その点、KDDI Security CloudのCASB機能なら、サービスごとに複数の管理インターフェースを使い分けることなく、複数のサービスにまたがって、統一されたポリシーの下で「自社が求めるセキュリティレベル」を一元的に管理できる。しかもKDDI Security Cloudの課金は「ID単位」となっており、小さく早く始めてトライ&エラーを繰り返しながら拡張できる。もちろん機器の運用、管理の手間がないというクラウドサービスならではの利点も享受できる。

 また、KDDI Security Cloudの一連のセキュリティ機能は、シマンテックのテクノロジーを活用して実現している。長年にわたってサイバーセキュリティ業界をリードしてきたシマンテックは、KDDIと同様に、グローバルにクラウドベースのセキュリティソリューションを展開してきた豊富な実績を持つ。

ALT シマンテックでは全世界40拠点のデータセンターをベースにクラウドサービスを展開《クリックで拡大》

 さらに、膨大なインストールベースに加え、独自のリサーチを通じて入手した情報を解析し、グローバルな「脅威インテリジェンス」を構築している。

ALT 常に登場し続けるセキュリティ脅威をグローバルで観測し、いち早く対策の実現に生かせるシマンテックの脅威インテリジェンス。クラウドサービスを安全に使いこなす上で大きな安心材料となるはずだ《クリックで拡大》

 水野氏は、「その知見を活用して、CASBで検出したアプリケーションの評価を行うだけではなく、これから何が起きるかを正確に予測し、必要な対策をいち早く開発、投入できることも強みです」と語る。

ALT 「KDDIとシマンテックがタッグを組んで、攻めのクラウド活用や働き方改革を強力に支援します。どうか安心してビジネスにまい進いただければと思います」

 樋口氏も、「お客さまには安心してクラウドサービスを活用し、ビジネスをどんどん伸ばしていただければと思います。KDDIとしては、セキュリティの面ではシマンテックというグローバルに見てもベストなパートナーと一体となりながら、ビジネスインフラとしてのネットワークやクラウド利用を支えていくことで、お客さまがグローバルに戦い、着実に強くなっていくお手伝いをしていきたいと考えています」と力強く宣言した。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:KDDI株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年2月13日

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。