ITインフラはクラウド直結時代へと移行、CASBやIDaaSなど新機軸のセキュリティー対策が重要に

  • CASB
  • IDaaS
  • クラウドセキュリティー
  • セキュリティー対策
  • 2018.11.21

(「IT Leaders」2018年10月26日記事抜粋)

Office 365などのSaaS型クラウドサービスを活用するユーザー企業が増えている。こうした中で、クラウドを採用する上でのセキュリティー上の課題も明らかになってきた。オンプレミスからクラウドに移行するとセキュリティー境界が変わるため、クラウド側にセキュリティー機能を実装する必要がある。ITインフラのシステム構築を手がけるSIベンダーのユニアデックスは、CASBやIDaaSなど、マルチベンダーのクラウドセキュリティーサービスを用いて、ユーザー企業の安全なクラウド利用を支援している。

クラウドの利用が当たり前になり
新たなセキュリティーが求められている

「Office 365などのクラウドサービスの活用が当たり前になり、セキュリティーの境界がオンプレミスのファイアウォールやプロキシからクラウドへと移りつつあります。こうした変化への過渡期を支える製品サービスとして、CASB、IDaaS、CloudProxy、SD-WANなどに関心を寄せる企業がにわかに増えていますね」──。

森駿ITインフラのシステム構築を担うユニアデックスの森駿氏(ビジネス企画推進本部 ビジネスソリューション企画部 サービスプラットフォーム企画室 セキュリティー課長)は、クラウド時代になって変わるITインフラの姿と、これを支えるセキュリティー製品群についての最新の動きを、こう説明する。

現在、多くの企業が、これまでオンプレミス環境で動作させていた業務システムを、クラウド環境へと移している。サーバーやストレージなどのIT基盤だけでなく、例えばOffice 365など、日常の業務を支えるアプリケーションソフトについてもSaaS(Software as a Service)を活用する動きに弾みが付いているのは周知の通りだ。

業務システムのクラウドシフトが活況となる中で、クラウドならではのセキュリティー上の課題もまた顕在化してきた。「クラウドを使い始めてから気が付く課題が多々あります。特に、業務アプリケーションの利用環境を提供するSaaSは、インフラを提供するIaaSと比べて安全かどうかが見えにくいと、多くのユーザー企業の担当者が頭を悩ませているようです」(森氏)。

安全なクラウドサービスを選ぶことと
選んだクラウドを安全に使うことが大切に

クラウド環境におけるセキュリティー上の課題は2つある、と森氏は言う。課題の1つは、システムがブラックボックスとなっており、安全かどうかを評価しにくいこと。もう1つの課題は、クラウドを利用するエンドユーザーが機密データを比較的簡単に持ち出しやすいことである。

「安全なサービスを選ぶことと、安全な行動をとること。この2つが保たれていなければなりません」と森氏。また、クラウドにデータを預ければ安全だと思っているユーザーが多いが、「オンプレミスと同様にクラウドでもセキュリティーの確保は極めて重要」(同)である。

クラウド時代には、オンプレミスとクラウドサービス間の通信トラフィックよりも、クラウドサービス同士の通信トラフィックの方が大きくなる。例えば、Office 365からBoxにファイルをコピーするといったケースである。こうしたクラウド間連携を安全に運用するためには、クラウド側でセキュリティーを確保する必要がある。

従来は、オンプレミスに設置したファイアウォールがセキュリティーの境界となって、社内LANとインターネットを分断し、社内のデータやユーザーを守ってきた。今後、ユーザー企業がクラウドサービスを利用するようになると、セキュリティーの境界がクラウド側へと移ることになる。

図1 昨今はセキュリティの境界がクラウド側へと移っている

セキュリティーの境界が変わるのに合わせて、企業のセキュリティーポリシーも変更する必要があると森氏は指摘する。「セキュリティー要件は変わらないのですが、セキュリティーを適用する場所がクラウドへと拡大することで、セキュリティーポリシーもまた適正に変更しなければならないのです」(森氏)。

セキュリティー境界はオンプレからクラウドへ
クラウド直アクセス時代に社内LANは不要

クラウド時代のセキュリティーのあり方として森氏は、「ITインフラのグランドデザインを見直すべき時期が到来したのではないでしょうか」と提案する。現在はファイアウォールやプロキシサーバーが社内LANとインターネットを分断しているが、セキュリティー境界がクラウド側に移ることに合わせて、それらの機能もクラウド側に置くのが理にかなうようになってきた、といったことが背景にある。

「究極的には、デバイスとクラウドと回線だけになることが予見できます。社内LANは行く行くは消滅するのではないでしょうか」と森氏は指摘した上で、「5G(第5世代携帯電話)時代には、社内LANにつなぐよりも直にクラウドにつないだほうが快適に使えるはずです」と続ける。

このように、個々のパソコンやプリンターなどのデバイスにデータ通信SIMを刺して、社内LANを介することなく直接クラウド上のSaaSにアクセスするやり方を、ユニアデックスは「ダイレクトクラウドアクセス」と呼んでいる。

IT基盤は各デバイスからクラウドに直結するアーキテクチャへと変化していく

ユニアデックスの顧客であるユーザー企業においても、情報システム部門の多くは、クラウドダイレクトアクセスと同様のシステムアーキテクチャーを次代の理想像として描いているという。「あるユーザーは、データは基本的にクラウドに保管し、必要に応じて"社内へとデータを持ち出す"という考え方を貫いています。このことからも分かるように、もはや『クラウドが正系で社内が副系』という位置付けに世の中が変化しているのです」(森氏)。

クラウド型ITインフラに移行する過渡期には、
CASBやIDaaSなどのセキュリティーサービスが有効

社内LANは消滅しクラウドにつなぐための回線だけあればいい──。ただし、すべての企業のインフラが、一足飛びにこうした姿になるわけではない。目下の過渡期のクラウド環境においては、最終形のクラウド環境へと至るステップとして、適切なセキュリティー製品を選んで賢く活用していく必要がある。

森駿オンプレミスとクラウドが混在した環境での安全性を究める観点で、押さえておくべき製品カテゴリとして森氏が挙げるのがCASB(Cloud Access Security Broker)とIDaaS(Identity as a Service)だ。さらに、クラウドへのアクセス経路を制御して既設のネットワーク環境への負荷を軽減する手段として、SD-WANのローカルブレークアウト機能やCloudProxy製品もまた要注目だとする。

CASBは、ユーザーによるSaaS型クラウドサービスの利用状況を可視化し、アクセスを制御するサービスである。CASBがあれば、シャドーIT(情報システム部門の管轄外で業務部門がSaaS型クラウドサービスなどを利用しているようなケース)も可視化できる。誰がどのSaaSにアクセスしているのかが明確になり、個々のSaaSが危険性をはらんでいないかを評価する判断材料にもなる。もし危険と思われるSaaSがあれば、アクセスを制御して利用を禁止するといったことが可能だ。

クラウド時代のセキュリティーポリシーを策定するためにも、CASBを使ってエンドユーザーがどんなSaaSを利用しているのかを全て洗い出すことは重要である。ユニアデックスでは、CASBの販売・サポートに加えて、企業に合ったセキュリティーポリシーを設計するコンサルティングも提供する。

ユーザー企業がCASBの導入を始めたのは2017年くらいから。ユニアデックスは主要なベンダーのCASBサービスを取り扱っており、2017年5月から2018年3月の間にユニアデックスが販売したCASBのライセンスは、社員11万人分に相当する。製造業などのグローバル企業で採用が進んでいるほか、銀行や証券などの金融機関においてはSaaSアクセスを可視化できるCASBの需要が大きく、予算化する動きが顕著になってきているという。

クラウドへのSSOをクラウド型で提供するIDaaS
複数のSaaSへのログイン認証を1カ所に集約

森氏によると、2018年度にはCASBに加えてIDaaSの導入も増えているそうだ。複数のSaaSを利用する企業が増えてきており、ユーザーはそれぞれへのログイン認証が煩雑で困っていることが背景にある。IDaaSは、複数のSaaSへのログイン認証を集約するSSO(シングルサインオン)機能をクラウド型で提供するため、そうした悩みを一掃できるのだ。

IDaaSは簡単で分かりやすい、と森氏はメリットを強調する。「IDaaSにログインすると、アクセスできるSaaSがパネル形式で並んでいます。このパネルをクリックするだけで、所望のSaaSにアクセスできる利便性が高く評価されています」(森氏)。ログイン手続きは、最初にIDaaSにアクセスする時だけで済む。

複数のSaaSへのシングルサインオンを実現する手段としては、MicrosoftのActive Directory(AD)や、AD機能をクラウド型で提供するAzure Active Directory(Azure AD)などもある。しかし、IDaaSなら、MicrosoftのサービスとMicrosoft以外のサービスが混在した環境へのログイン認証を分かりやすく統合できる点がメリットとなる。

クラウド時代のセキュリティには新たな発想で取り組む必要がある

インシデント発生時の運用を自動化
クラウドサービス同士をAPIで連携

マルウエアへの感染や情報漏えいといったインシデントが発生した際の運用を自動化する試みも始まっている。クラウド内で複数のセキュリティーサービス同士がAPIで連携することによって、インシデント対応を自動化させるアプローチだ。

セキュリティーを監視するサービスが、インシデントの発生を検知して報告する。これを受けた運用管理サービスが、個々のインシデントのタイプに応じてスクリプトを実行し、解決時にはメールで報告する。

対処の方法としては、マルウエアに感染した端末からのアクセスをファイアウォールなどでブロックしたり、端末にインストールしたエージェントが端末をネットワークから切り離したりする。こうしたオンプレミスと同様の対処が、クラウドにおいても利用できるようになってきた。

これから先、企業ITのクラウドシフトはますます加速することだろう。一頃言われた「クラウドファースト」よりも「クラウドマスト」が鮮明になってきた状況下、セキュリティーの施策もまた時代に即したものへと洗練させていく必要がある。CASBやIDaaSをはじめ、新たな領域の製品サービスがこれに応える。「特性や適性を見極めて取捨選択すれば、思い通りのセキュリティー対策やガバナンス強化が図れます。何か困りごとがあれば、是非、私どもに相談ください。ベンダー色に染まらない客観的な立場で、最適で現実的な解をお届けします」と森氏は取材を締めくくった。


当記事は、「IT Leaders」に2018年10月26日に掲載されたものを再構成して公開しています。