連載
» 2020年02月19日 05時00分 公開

特集:継続的に儲けるための「セキュリティバイデザイン」入門(2):コンテナ、サーバレスなどクラウドネイティブに求められる「開発者に優しいセキュリティ」がゼロトラストな理由

コンテナ、マイクロサービス、サーバレス、そしてアジャイル/DevOpsといった、デジタルトランスフォーメーション(DX)時代に求められる技術や手法を駆使した現在の開発では、どのようなセキュリティバイデザインが求められるのか。

[高橋睦美,@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 日本でもクラウドの普及率は高まってきたが、米国をはじめとする海外はさらに先を行く状況だ。多くの企業が当たり前のようにクラウドサービスを利用し、自社ビジネスのデジタル化に取り組んでいる。

 だが、利用者が増え、動く価値が増えれば必ず付いてくるのがサイバー攻撃だ。例えば、2019年7月に発生したCapital Oneの情報漏えい事件では、同社がAmazon Web Services(AWS)上に構築していたWeb Application Firewall(WAF)の設定ミスが原因となって認証情報が盗まれ、Amazon S3上に保存されていた1億件を超える個人情報が漏えいする結果となった。

 こうした背景を踏まえてか、Gartnerが2019年9月にまとめた「今後企業が取り組むべきセキュリティプロジェクトのトップ10」では、「特権アクセス管理(PAM)」「クラウドアクセスセキュリティブローカー(CASB)」「クラウドセキュリティの状態管理(CSPM:Cloud Security Posture Management)」、そして「コンテナセキュリティ」といった具合に、半分近くがクラウドやサーバレス環境のセキュリティに関するアジェンダとなっている。

クラウド関連のセキュリティ事故、ほとんどは設定ミスに起因

 Check Point Software Technologies(以下、Check Point)が2020年1月にタイのバンコクで開催したイベント「CPX360 2020」では、「クラウド環境、さらにはコンテナやサーバレスといった新しいワークロードをどのように保護するか」がテーマの一つとなった。

 Check Pointが買収したDome9 Securityの共同創業者で、今はCheck PointのクラウドプロダクトラインのHeadを務めるZohar Alon氏によると、今や企業の95%が何らかのクラウドサービスを利用しているが、その多くが簡単に侵害を受ける状況だという。Alon氏は、Gartnerによる「2025年までに起きるクラウド関連のセキュリティ事故の99%は、設定ミスに起因するだろう」という予測を引き合いに出し、「こうしたミスを減らすべく手助けすることが、セキュリティベンダーの役割になる」とした。

クラウドの簡単な設定ミスがアプリを丸裸にする

 まず、マルチクラウド対応を前提に取り組む必要があるという。「2019年にはマルチクラウドが当たり前となり、企業の62%がマルチクラウドを利用している。これが現実であり、この傾向は今後も続くだろう」(Alon氏)

 もう一つ注目すべきは、コンテナやサーバレスといった、さらに新しい環境への対応だ。「2019年には企業の57%がコンテナを利用しており、36%はFaaS(Function as a Service)を活用している。この結果、複雑さは増している」とAlon氏は述べた。Check Pointでは、CSPMやコンテナランタイム保護といった機能を提供することで、こうしたニーズに応えていくという。

 このときに大切なのは「開発者に優しいセキュリティ」だ。例えば、開発者自身がセルフサービスの形で組み入れるなど、CI/CD(継続的インテグレーション/継続的デリバリー)パイプラインやDevOpsのサイクルの中にセキュリティを組み入れて回し、自動的にセキュリティ機能を実装し、ルールに沿った設定を施し、必要に応じて自動的に修復できる――そんな「開発者にとって痛みの少ないセキュリティが求められる」とAlon氏は強調した。

「それダメ、ちょっと待って」と言う代わりにセキュリティ担当者ができること

 やはりCheck Pointが2019年12月に買収を表明したPretegoのCEOで、Check PointのHead of Cloud Go To Marketを務めるTsion Gonen氏も、最近の開発トレンドを踏まえて、これから求められるセキュリティの在り方について述べた。

Check Point Software Technologies クラウドプロダクトライン HeadのZohar Alon氏

 「DevOpsとはすなわち、自動化し、より素早く開発してリリースするための方法だ。CI/CDもマイクロサービスもアプリケーションデリバリーの自動化も、物事を素早く進め、迅速にスケールアウトさせるためのものだ。それが開発者のマインドだ」(Gonen氏)

 一方、セキュリティ担当者のマインドセットはどうだろうか。開発者が「明日にはあれをローンチして、その翌日には別の新バージョンをロールアウトさせたい。もっと効率良く開発するために、あのAPIやこのオープンソースソフトウェアを使いたい」とさまざまな要望を出してきても、「それ、ちょっと待って」と押しとどめる側に立ちがちだ。

 もちろん、リスクに目をつぶって何でもかんでも許可することはあり得ない。やりたいようにやらせて大きなリスクを見逃しては、情報漏えいなどにつながる恐れがある。かといって「あれもダメ、これもダメ」ではビジネスのスピードが鈍ってしまう。

 「こうしたやり方を続けていてもうまくいかない。開発者に『イエス』というための方法を見つける必要がある」(Gonen氏)

 具体的な方法としてGonen氏は、まず「開発者の視点、開発者のやり方をセキュリティ担当者の視点から理解し、『開発者の皆さんを手伝いたい』ということを伝えて信頼関係を築くこと」を挙げた。そして、開発者がスピードを出しながらも安全に開発できるような「舗装路」や「ガードレール」を用意することが必要だとした。

 「シフトレフトでできる限り早く試し、できる限り早く失敗する(Fail Fast)。そのために、セキュリティ設定が自動的に行われ、開発者がより早く進んでいける『道路』を用意し、どうぞ好きなように使ってほしいと提供することがセキュリティ担当者の役割になる」(Gonen氏)

 ただ、信頼関係を築くこと、イコール、性善説に任せて何でもやらせることではない。ここで求められるのが「ゼロトラスト」の考え方だ。

 「CSPMや修復、マイクロセグメンテーションといったセキュリティ機能が開発プロセスの中で自動的に付加され、そのままオーケストレーションされるような仕組みを通して、自動的にゼロトラストを適用していくことが必要だ」とGonen氏。例えば、開発/ビルド環境はトラストゾーンとして扱いつつ、本番環境はゼロトラストで運用するアプローチもあり得るという。

クラウドネイティブなセキュリティ対策の在り方

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。