マルチクラウドのセキュリティ: 課題と解決策

2022年9月29日

クラウドの利用が増えるほど、ビジネスが直面するセキュリティのリスクも高まります。ここでは、その注意点と安全対策について説明します。

大都市圏に広がる、数百万人にサービスを提供するエネルギー事業者を想像してみてください。従業員や請負業者は、顧客サービス、財務、輸送、資材などあらゆる面で、クラウドデスクトップやネットワークに 24 時間 365 日アクセスする必要があります。また、現場でモノのインターネット (IoT) のハンドヘルドデバイスを使用する人もいます。一晩中、ハリケーンによって市内の主要な変圧器が破壊され、重要な都市の中心部で停電が起こったとします。残念なことに、これはよく見られる問題になりつつあります。2020 年、ハリケーン「デルタ」はルイジアナ州全域で停電を引き起こし、数十万人の消費者に影響を与えました。翌年には、さらに強力なハリケーン「アイダ」が襲来しました。8 州でサービスが停止し、約 120 万人の利用者に被害が出ました。

クラウドのインフラストラクチャを脅かすのは、自然災害だけではありません。サイバー犯罪者は、その見返りが大きいことを知っているので、常に危険な存在です。Identity Theft Resource Center によると、2021 年に公に報告されたデータ侵害は前年より顕著に高く、一部の侵害は数億人のユーザーに影響を与えたとのことです。

2021 年 4 月には Facebook がハッキングされ、世界中で Facebook ユーザーの個人情報 5 億 3300 万件が流出しました。SonicWall によると、ランサムウェアの攻撃は 2021 年の件数から 100% 以上増加し、暗号化された脅威はさらに増加 (167%) しています。IT 監視プロダクトの世界的プロバイダーである SolarWinds に対する高度なサプライチェーンマルウェア攻撃は、政府機関を含む数万人の顧客データを危険に晒しました。

Microsoft の LinkedIn は 2021 年 6 月に被害に遭い、流出した 7 億人のユーザーの個人情報は闇サイトで売却されました。Microsoft では、セキュリティ侵害はなく、犯罪者はアプリケーションプログラミングインターフェイス (API) を悪用してデータをかき集めたと主張しています。(API とは、2 つのアプリケーションが相互に要求と応答を行えるようにするインターフェイスのことです。)

このようなリスクは、1 つのクラウドを利用する場合にも存在しますが、複数のクラウドを利用する場合は倍増します。

パブリッククラウドからアプリケーションを経由して移動するワークロードを示すマルチクラウドの図

画像提供: Spiceworks

マルチクラウドの利用拡大

オンライン専門店、公共事業、世界的な開発銀行など、マルチクラウドインフラストラクチャへの移行はあらゆる業界で必然であるように見受けられます。Deloitte のチーフクラウドストラテジーオフィサーである David Linthicum 氏は、Protocol のインタビューで、ビジネスニーズの変化に伴ってシフトが起こることが多いと述べています。「人は、変化に合わせて、姿を変え、進化していきます。3 ~ 4 年前には単一クラウドプロバイダーを活用するという考えが主流でしたが、今では最高の AI 技術、最高の分析技術、最高のデータベースといったものを活用するという考えになっています。」

貴社がシングルクラウドストレージからマルチクラウドオプションに移行するとします。これには、アプリケーションやその他のサービスのためのパブリッククラウド、プライベートクラウド、エッジクラウドを含めることができます。(パブリッククラウドまたはプライベートクラウドをオンプレミスの IT サーバーを組み合わせたハイブリッドクラウドという別の選択肢もあります。)複数のクラウドプロバイダーと提携することで、ニーズに応じてカスタマイズすることができ、ある分野では強いが他の分野では弱いというようなサービスに縛られることを回避できます。クラウドベースのセキュリティの専門知識を保持するにしても、そのセキュリティがさまざまなプロバイダーに分散していると、管理が難しくなります。

4 種類のクラウドストレージと貴社に最適なストレージ_ブログ画像

4 種類のクラウドストレージの詳細をこちらでご覧ください。

最大手のクラウドプロバイダーでは、複数の拡張性の高いパッケージを提供しています。Amazon の AWS のセキュリティ機能は、軍事データ、政府機関の記録、大量の金融取引を管理するのに役立ちます。リモートワークの従業員は、Microsoft Azure を介して Office などのデスクトップアプリケーションや会議用ソフトウェアをストリーミングしたり、Google Cloud Platform を利用してアプリケーションの構築、テスト、開発を行ったりすることができます。この 3 社が、現在、世界のクラウドデータの大半を支配しています。いずれも、マーケティング、E メール、プロジェクト管理など、基本的なビジネスインタラクション向けの Software as a Service (SaaS) アプリケーションを処理できます。

利点としては、低レイテンシ、速度、広帯域幅、利便性、セキュリティや OS の更新のアウトソーシング、最先端のソフトウェアの改善、正確なコンプライアンス (銀行など機密データを扱う業界向け)、ハンドヘルドデバイスやリモートワークの従業員向けのエッジコンピューティングなどがあります。

マルチクラウド接続: 完全ガイド_Megaport

マルチクラウドの基本、ビジネスにとってのメリット、使用を開始する方法を説明したマルチクラウドの完全ガイドをご覧ください。

『Flexera 2022 State of the Cloud Report (Flexera 2022 年クラウドの現状レポート)』は、2021 年末にクラウドの意思決定者やその他の IT 専門家 750 人以上を対象に調査を行ったものです。調査では、パブリック、プライベート、ハイブリッドのクラウド利用が主流になるという見解の一致が見られました。回答者は、クラウドの構築、移行、パブリッククラウドの利用などに関する包括的かつ横断的な戦略の必要性も強調しました。主な懸念事項は以下のとおりです。

既存のクラウド活用を最適化する (59%)
より多くのワークロードをクラウドに移行する (57%)
オンプレミスソフトウェアから SaaS へ移行する (42%)。

企業の規模にかかわらず、時代に取り残されたり、活用されていない、あるいは必要とされていなプロダクトに時間とリソースを浪費するよりは、準備を怠らないことが得策です。Flexera のレポートでは、中小企業でも 2022 年にはクラウドの利用に 120 万ドル以上を費やすだろうを推定しています。

シングル/マルチクラウドプラットフォームのセキュリティ問題

Oracle は、76% の企業が 2 つ以上のパブリッククラウドを利用しており、売上高 10 億ドル以上の企業では少なくとも 3 つのパブリッククラウドを利用していると推定しています。このような投資レベルの場合、マルチクラウドのセキュリティはさらに切迫した懸念事項となります。マルチクラウドとシングルクラウドのプロバイダーは、次のようなリスクを共有しています。

利用できるサービスやアーキテクチャの規模が大きいため、包括的な監視がより困難になる。
新機能の構築が、セキュリティコントロールよりも迅速に進む可能性がある。
公開されるエンドポイントの数が多くなると、攻撃対象が増える可能性がある。

**マルチクラウドは安全か

企業がクラウド環境全体でアーキテクチャやデータを拡張するにつれ、IT チームは、すべてのプロバイダーのセキュリティ機能に対してカスタマイズされた適応力のある戦略を必要とするようになっています。この追加コストは、マルチクラウドアーキテクチャ全体でデータの安全を維持するために必要なものです。

Protocol の円卓会議で、Red Hat の社長兼 CEO である Paul Cormier 氏は、マルチクラウドセキュリティは社内のチームにとって複雑なタスクであると述べています。「誰もが似たような名前のサービスを使っています。非常にパワフルですが、それ自体がサイロ化しています。そして、そのサイロ化によって、複雑さが 5 倍、10 倍に跳ね上がり、運用やセキュリティの人材に負担を強いています。」

シングルクラウドのプロバイダーはセキュリティソフトの更新をコントロールして、顧客とのやり取りを簡素化します。そのため、マルチクラウドアーキテクチャへの移行には、以下のようなセキュリティ上の課題があります。

IT チームは、複数のクラウドのアップグレードに対応し、従業員がそれらを利用できるようにする必要があります。
クラウドプロバイダーのセキュリティをサードパーティのサービスが担うことがありますが、これは、クラウド環境の一部にはアクセスできないことを意味します。
従業員が複数のクラウドにアクセスし、それぞれが独自のセキュリティとアクセスプロトコルを持つため、脆弱性のリスクが高まります。
リモートワークの従業員が、ハンドヘルドデバイスや個人のノートパソコンなどを使用しているケースがあります。このような場合、人的ミスが入り込み、特定が困難になる可能性があります。
すべてのクラウドプラットフォームに対する包括的なトレーニングが欠如しているため、各クラウドのセキュリティ対策を設定する際にエラーが発生する可能性があります。

マルチクラウドセットアップの隠れた 3 つのコスト_ブログ画像

マルチクラウドセットアップに隠れたコストはありませんか。ここでは、それを探る方法をご紹介します。

マルチクラウドセキュリティのベストプラクティス

クラウドプロバイダーは、多要素認証、暗号化、ID とアクセス管理、コンプライアンスとガバナンスのツール、脅威と異常の検出など、多くのセキュリティ機能を備えています。しかし、Gartner が指摘するように、人的ミスが高価なセキュリティ侵害につながる可能性もあります。これが提唱するのは、「クラウドは安全か」という問いかけから、「クラウドを安全に使っているか」という見方への転換です。

データストレージ戦略では、予算とリスク許容度を比較検討し、どのデータストリームが最もセキュリティ機能を必要とするかを測定する必要があります。リスク管理のクラウド戦略も併せて、IT チームは社内で、およびニュースを賑わす違反事例から学んだ教訓を監査し、適応させる必要があります。

このようなベストプラクティスは、適切な人材の雇用と共に、情報漏洩の回避と災害時のデータ復旧に大きく貢献します。自動化によって人的ミスを減らすことはもちろんですが、大切な資産を保護する人々と個人的なビジネスパートナーシップを築くことも重要です。

必要に応じて変更されるリスク評価を通じて、セキュリティオーナーシップを持つ、つまりクラウドプロバイダーにセキュリティを完全にアウトソースしないことです。
マルチクラウドプラットフォーム全体でセキュリティツールを同期し、コンプライアンスプロトコルを自動化します。パッチワーク的な修正では、問題が多発し、追跡が困難になるため、1 つの潜在的な問題にしか対処できない特定のセキュリティツールを削減または排除するようにします。
ポリシーやアップデート、ギャップのトラブルシューティングの専門家である IT クラウドセキュリティスタッフとの関係を構築します。
クラウドプロダクトとは別に追加の SaaS プロダクトを仮想化し、レポート、構築、徹底したセキュリティポリシーの作成に利用します。

Firewall as a Service (FWaaS)

Firewall as a Service (FWaaS) を使用して、ネットワークの安全性を高める次のステップを踏み出しましょう。

ゼロトラストアプローチの採用

企業が内部サーバーに依存していた頃は、城と堀の哲学が支配しており、ファイアウォールがほとんどのハッカーを寄せ付けないようになっていました。しかし、現在では、Gartner が述べているように、「ユーザーが移動したり、外部パートナーからアクセスを求められたりすると、物理的な場所に基づく信頼は崩壊してしまいます。それは過剰な暗黙の信頼、つまり攻撃者が悪用する信頼を生み出すからです。」

そのため、セキュリティチームはゼロトラストアプローチを採用するようになっています。インフラストラクチャ全体にセキュリティを組み込み、不正侵入の媒介となりそうな箇所を継続的に監視し、テストしています。

セキュリティソリューションでは、継続的かつ厳格に、企業レベルで、個々のユーザーがどこから、いつ、何にアクセスできるかを精査する必要があります。モバイルデバイスの台頭により、セキュリティはデータエンドポイントのエッジまで踏み込む必要があります。当社の提唱事項を以下にまとめます。

クラウド環境全体で一貫したセキュリティ対策を推進します。
Megaport Terraform Provider などの Infrastructure as Code (IaC) ツールを使用して、構成の一貫性を強化し、変更管理をサポートします。
クラウド間ルーティングのための Megaport Cloud Router (MCR) や DC からクラウドへの接続のためのデータセンター接続オプションなどのプライベートマルチクラウド接続ソリューションを使用して、公開エンドポイントを削減します。
クラウドエッジには SASEおよび ZTNA アーキテクチャを、クラウド間およびエッジ接続には Firewall as a Service (FWaaS) オプションを検討します。

ゼロトラストネットワークアーキテクチャを採用すべきか?

Cloud Networking

ゼロトラストネットワークアクセスとは何か、その仕組みはどうなっているかを考察しながら、貴社がゼロトラストアーキテクチャを採用すべきかどうかついて見ていきます。組織がリモートワークをサポートするプロセスやモデルへと移行する際は、セキュリティを最優先事項とすべきです。そこで登場するのが、安全が確認されるまですべてのユーザーを潜在的な脅威と見なす「ゼロトラスト」アプローチです。ゼロトラストネットワークアクセス (ZTNA) は、このトレンドの中核を担う機能です。 Gartner® は次のように述べています。「2024 年末までに、企業の 10% が、自社所有のキャンパス LAN でネットワークアクセス制御 (NAC) や組み込み型スイッチングセキュリティ機能を ZTNA に切り替えることが予想される。これは 2021 年のほぼゼロパーセントからの増加となる。」1 Gartner® による 2022 年予測の詳細については、当社のブログ記事をご覧ください。クラウド業界において急速に大きな話題となっているのがゼロトラストです。ZTNA を使いこなしたいという場合は、以下で ZTNA の仕組みと、ゼロトラストアーキテクチャの採用を検討すべきかどうかについてご覧ください。 ZTNA とは? ゼロトラストネットワークアクセス (ZTNA) とは、企業のアプリケーションの周りに、アイデンティティやコンテキストに基づいた論理的なアクセス境界を作成するプロダクトまたはサービスです。簡単に言えば、すべてのエンドポイントを敵対的なものとして取り扱うネットワーク設定です。この設定は、アプリケーションが検知されないように保護し、アクセスを許可された限定的なエンティティ (通常は組織のリモート従業員) に制限するものです。トラストブローカーがこれらの制限を制御し、アクセスが許可される前に各エンティティのアイデンティティ、コンテキスト、ポリシー遵守状況を確認します。さらに、これらのエンティティは、サイバー脅威に対するネットワークの露出を最小限に抑えるために、セッション中に許可されたアプリケーションからネットワーク内の別の場所に移動することを禁止されています。 ZTNA を実現するために、企業のネットワークチームは、ほとんどのネットワークスイッチングや管理機能セットで見られるフィルタリング、プロファイリング、エンドツーエンドセグメンテーションなどのセキュリティ機能を組み込まずに企業ネットワークを編成します。その代わりに、こうした機能をクラウドサービスに置き換え、そこからアプリケーション認証と承認のリクエストをパブリッククラウドの Points of Presence (PoP) に送信します。つまり、セキュリティ管理プロセスがクラウドに移管されるということです。ZTNA がネットワークに与える負荷の増大によって生じる、アプリの可用性、帯域幅、パフォーマンスの低下の可能性を軽減する役割は、ローカルゲートウェイが担います。企業のネットワークに ZTNA アプローチを採用することは、アダプティブトラストモデルと呼ばれる、条件付きではくケースごとに信頼性が付与されるモデルにつながります。このアプローチにより、特にハイブリッド型やリモートワーク型の職場では、サイバー攻撃の可能性が大幅に低減されます。

IaaS 向けのクラウドホスト型 SD-WAN の隠れたコスト

Cloud Networking

SD-WAN が普及した業界では、ブランチロケーションをクラウドに接続する一般的な方法が 3 つあります。ここでは、それぞれの利点と限界について詳しく説明します。

統合されたネットワークセキュリティが必要な理由

Cloud Networking

相互運用可能なネットワークがあるかどうかが、組織が危機に晒されるか否かの分かれ目になります。ここでは、企業が相互運用可能なネットワークを達成する方法を紹介します。 Gartner®1 の最近のレポートによると、「2025 年までに、新しくプログラミングされた複合アプリケーションの 40% が、セキュリティとネットワーク要件を伝達するために標準トークンを使用するようになる」と予測されます。しかし、これは何を意味するのでしょうか。また企業が注意する必要があるのはなぜでしょうか。まず、複合アプリケーションとは何かを正確に理解することが重要です。複合アプリケーションとは、「独自に開発されたプログラム、データ、デバイスを編成し、従来はどのアプリケーションも単独では実現できなかった新しいソリューションを提供するもの」です。基本的に、これは複合アプリケーションが他のネットワークアプリケーションや機能を 1 つの統合されたアプリケーションにまとめることを意味します。一例として、顧客が複数のクラウドサービスプロバイダー (CSP) を一度に表示し、そのパフォーマンスやセキュリティの状況などの情報に簡単にアクセスして、クラウド全体を管理できるようにするアプリケーションが考えられます。標準トークンは、複合アプリケーションの重要な構成要素であり、ソフトウェアエンジニアがコーディングして複数のアプリケーションに適用できる一般的な命令として機能します。これらのトークンは、アプリケーションプログラミングインターフェイス (API) を通じて作成され、「2 つのソフトウェアコンポーネントが一連の定義とプロトコルを使用して互いに通信できるようにする」ものです。この一連の命令により、接続されたアプリケーション間の速度を上げ、レイテンシを低減し、セキュリティを高めることができます。ベンダーニュートラル (定義、改訂、配布を 1 つのベンダーが制御しない) なアプリケーションを選択し、連携させることで、万が一の侵害時に貴重なデータを格納する「バックアップ」アプリケーションをサポートし、セキュリティを確保する上で重要な役割を果たす場合があります。また、サイバー犯罪がかつてないほど蔓延している現在、ネットワークのセキュリティに関しては、用心するに越したことはありません。 Megaport API の詳細をご覧ください。例えば、SASE (Secure Access Service Edge) は、SD-WAN アーキテクチャにセキュリティ機能を適用し、複合アプリケーションとして動作するクラウド型フレームワークです。標準トークンを活用すると、ネットワーク上に誰がいて、何があるのかを常に把握できるゼロトラストネットワークアクセス (ZTNA) を実現し、データの安全性を確保するための完全なセッション保護を提供することで、ネットワークセキュリティを向上させることができます。また、セキュリティ対策として SWG (Secure Web Gateway) を活用し、安全でない Web トラフィックから不要なコンテンツをフィルタリングして排除します。As-a-Service ソフトウェアやプラットフォームは、クラウドアーキテクチャの下または上でレイヤーとして機能するため、複合アプリケーションとみなすこともできます。ネットワークにもたらされるメリット SASE のような複合アプリケーションを使用することで、さまざまな方法でネットワーク統合を支援することができます。次のようなメリットがあります。より優れた可視性 - 複合アプリケーションを使用することで、クラウドスイートやアプリケーションを簡単に表示し、管理することができます。セキュリティの強化 - アプリケーション全体のセキュリティプロセスを統合することで、ネットワークの攻撃表面を減らし、データ侵害のリスクを低減します。脅威を防ぐためのアクションや、次世代ファイアウォール (NGFW) のポリシーがそのようなプロセスの例です。制御力の向上 - 複合アプリケーションを通じてアプリケーションをまとめることで、アプリケーション間の通信方法に影響を与え、標準トークンを適用して独自のアクションを実行し、ネットワーク体験を簡素化することができます。また、内部ネットワークに出入りするトラフィックやデータをより適切に制御することができます。 I&O リーダーへの提言 Gartner は、クラウドとエッジインフラストラクチャを担当する I&O リーダーに次のような提言を行っています。