クラウド・セキュリティー
クラウド・ネイティブ時代におけるセキュリティー対策の高度化 Vol.2
2020-09-17
カテゴリー クラウド・セキュリティー
記事をシェアする:
テクノロジー活用に向けた組織・プロセスの変革
インフラの自動化と同様に、クラウド・システム開発においても積極的な自動化の仕組みが浸透し、セキュリティー・テストに組み込んで自動化が一般的な慣習になっています。加えて、CI/CD(Continuous Integration / Continuous Delivery)ツールチェーンにセキュリティー・ツールを組み込むことで、インフラからアプリケーションレイヤーに至るまで、継続的・反復的なセキュリティー・スキャンを自動化することも、クラウド・プラットフォーム上では、比較的容易に組み上げることができます。
最近では、DevOpsにセキュリティーの観点が追加されたDevSecOpsを実践する組織も増えてきていますが、これは特定のツール・製品による解決を指していない点に留意して取り組まなければなりません。Vol.1でご紹介したIaCもDevSecOpsで使用される技術の一つですが、IaCを用いてセキュリティー・コンプライアンス・スキャンを実行しても部分的な解決にしかなりません。
DevSecOpsの確立には、アプリケーションからインフラに至るまで、セキュアなソフトウェア開発ライフサイクル(SDLC)のプロセスを整備する必要があります。また、プロセスに加えて、従来の開発・運用チームにセキュリティーの知見を取り入れる体制を構築することが求められます。
図 3 DevOpsプラクティスへのセキュリティーの組み込み
仮に汎用的なツールを用いてセキュリティー・テストを自動化しても、大量の誤検知が発生する、ツールで発見されない脆弱性(特にビジネスロジック周辺の実装の不備)がある等、不完全な形での自動化になってしまい、手動でのセキュリティー対策から脱却できません。独自のセキュリティー・テストを組み込み、テストの過程で得た示唆を用いてセキュア・コーディングに役立てていく等、組織に応じたカスタマイズとプラクティスの確立が不可欠です。また、マルチクラウドでの利用を想定し、共通化された技術を採用し、可能な限り同じプロセスで実行できるようにすることが望ましいです。
クラウド・セキュリティーにおいては、単一のテクノロジーで解決できるものではなく、ユーザ側で多くの選択肢の中から、適切な技術を繋ぎ合せてセキュリティー対策を組み上げていくことが求められます。ITインフラストラクチャーの変革に合せて、開発・運用担当、そしてセキュリティー担当も組織横断で変化していくことが重要です。
奇しくもCOVID-19により、DX推進が加速した企業も出てきており、これを機にセキュリティー対策の高度化についても併せて計画していく良いタイミングになるかもしれません。IT戦略における技術的イノベーションに合わせ、新たな技術を利用することのリスク検討と技術を活用したセキュリティーの更なる高度化(特に自動化やAI技術の活用)の検討に着手してみてはいかがでしょうか。
さいごに
本稿では、クラウド・テクノロジーの積極的利活用に合わせた、セキュリティー対策技術の高度化の必要性をテーマに記載してきました。
これからのエンタープライズ・セキュリティーは、IaC、コンテナ化、APIによる各種自動化といったクラウド・ネイティブ技術を活用した継続的なセキュリティー対策の改善を行い、DevSec, SecOpsを積極的に省力化・最適化する視点を持つことが重要です。ポイント・ソリューションによるパッチワーク的なセキュリティー対策では、クラウド・サービスをセキュアにするには不十分です。システムや業務特性に応じたセキュリティー対策の網羅的な検討と、対策個々の連結性を意識した、継続的な改善と自動化に取り組むことが望まれます。
コスト最適化はクラウド・サービスを選択する理由の一つですが、セキュリティーがその足枷にならないように、また、高度化するサイバー脅威に劣後しないようにしていかなければなりません。技術に加え、人・プロセス・ルールもクラウドの実態に合わせて変更していき、よりアジリティーとレジリエンスのあるセキュリティー対策と、新しい働き方とのバランスを意識していくことが肝要であると考えられます。
IBM Securityでは、クラウド・セキュリティー戦略検討からマネージド・セキュリティー・サービス (MSS)まで、お客様のクラウド・ジャーニーに纏わるサイバーセキュリティー対策をご支援します。
急速なテレワークへの切り替えやクラウド・サービスの利用推進においてIBM Security では、以下のようなご支援が可能です。
- クラウドセキュリティー戦略コンサルティング
- IT環境や働き方の変化に合わせたセキュリティー・ロードマップの見直しや、将来のあるべきセキュリティー対策像の立案を支援します
- テレワーク環境における情報セキュリティー・アセスメント
- 「ヒト」×「規則」×「技術」の観点から、テレワークおけるセキュリティー対策状況を評価し、課題の抽出と改善策を提言します
- ニューノーマルの実態に合わせたセキュリティー規定の見直し、セキュリティー運用プロセスの最適化を支援します
- クラウド・サービス(IaaS/PaaS/SaaS)のセキュリティー・アセスメント
- 利用しているクラウドサービスにおけるリスクやセキュリティー対策状況をチェックし、設定の不備や脆弱性に対する改善方法を助言します
- 職員が利用するSaaSの状況や、IaaS/PaaS上のクラウドアセットの棚卸しを行うことで、現状把握とセキュリティーリスクを可視化するとともに、継続的なモニタリング態勢の構築を支援します
【関連情報】
IBMクラウド・セキュリティーの概要はこちら
SOARに関する詳細はこちら
クラウド・ネイティブ時代におけるセキュリティー対策の高度化 Vol.1
【お問い合わせ】
日本アイ・ビー・エム株式会社セキュリティー事業本部
コンサルティング&システム・インテグレーション 小林 弘典まで、メールにてお問い合わせください。
【著者情報】
小林 弘典
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング&システム・インテグレーション
大手システムベンダーやコンサルティングファームにて、 サイバーセキュリティー業務に従事。 2019年に日本アイ・ビー・エム株式会社に入社。クラウド・セキュリティーSMEとして、クラウド、コンテナ、自動化を中心とした新規サービス開発およびマーケット開拓を担当。
事業責任者
小川 真毅
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング&システム・インテグレーション
理事/パートナー
CISSP CISA CISM CBCI PMP MBA
ゼロトラスト・セキュリティーのハイブリッドクラウドへの拡張
昨今の場所を問わない働き方の変化に合わせて、ハイブリッドワークにおけるセキュアなアクセス方法としてゼロトラスト・セキュリティーが注目されています。組織の多くで検討が進むゼロトラスト・アプローチによるリモートアクセスセキュ […]
クラウド・ネイティブ時代におけるセキュリティー対策の高度化 Vol.2
テクノロジー活用に向けた組織・プロセスの変革 インフラの自動化と同様に、クラウド・システム開発においても積極的な自動化の仕組みが浸透し、セキュリティー・テストに組み込んで自動化が一般的な慣習になっています。加えて、CI/ […]
クラウド・ネイティブ時代におけるセキュリティー対策の高度化 Vol. 1
クラウド・ネイティブ時代に求められるセキュリティー対策とは 過去数年にわたり、企業におけるITシステムの選択として「クラウドファースト」が浸透し、基幹システム等の重要システムをクラウドに移行するケースも一般化してきました […]