クラウドの普及で、攻撃者にとっての攻撃ポイントが増加

パブリッククラウド上のシステムの安全性をどう高めるか。このことが企業におけるセキュリティ対策の焦点の1つとなっている。これに対し、独自の特許技術によるエージェントレスの仕組みによって、本番運用に影響しないCSPM(Cloud Security Posture Management)とCWPP(Cloud Workload Protection Platform)の範囲をカバーしたソリューションを提供するのがイスラエルのOrca Securityだ。同社、および日本国内へのソリューション展開を担う日立ソリューションズのキーパーソンに、ニューノーマル時代のクラウドセキュリティと、両社が提供する価値について聞いた。

クラウドがビジネスの現場に広く普及する中、情報セキュリティリスクはどのように変化しているのでしょうか。

Orca Security<br>CEO & Co-Founder<br>アヴィ・シュア(Avi Shua)氏
Orca Security
CEO & Co-Founder
アヴィ・シュア(Avi Shua)氏

シュア氏 IaaS/PaaSなどクラウド上のインフラ環境とオンプレミスのインフラ環境を比べたとき、大きく異なるのがその複雑さです。オンプレミスの環境は、基本的には社内ネットワークにあるため、攻撃者に狙われるポイントが明らかでした。つまり、ネットワークの入口・出口である境界の部分さえしっかり守れば、一定の安全性を担保できたわけです。一方、クラウドの環境では、自社のインフラがAPIなどを介して様々な外部サービスとつながっています。それが利便性につながるのですが、攻撃者にとっては、より多くの攻撃ポイントが存在するということでもあります。企業のセキュリティ管理者は、それらの攻撃ポイントに対応するために、インフラ機器やアプリケーションの脆弱性に加え、クラウドサービスの設定不備なども確認しなければなりません。企業は、以前より多くのことを把握する必要性に迫られており、セキュリティ管理者の負担もその分増しているのです。

増大するリスクに対しては、パブリッククラウドサービス提供事業者も対策ツールなどを用意しています。それだけでは不十分なのでしょうか。

シュア氏 もちろん、それらは有効です。ただ一般的に、クラウドサービス提供事業者の責任範囲は限定されています。例えば、IaaSであれば物理インフラレイヤーのみ、PaaSであれば物理インフラレイヤーからミドルウエアレイヤーまでといった具合で、それ以外の部分はユーザーが自ら守らなければいけません(図1)。

図1●クラウドの責任共有モデル
図1●クラウドの責任共有モデル
[画像のクリックで拡大表示]
クラウド事業者の責任範囲外となるアプリケーションやデータ、アカウント情報などの保護は、ユーザー自らが責任をもって行う必要がある。それには外部サービスを検討することが重要だ

 加えて最近のサイバー攻撃は、1つの特定のレイヤーだけではなく、複数のレイヤーを横断しながら、様々な手法を組み合わせて行われます。例えば、仮想インフラレイヤーでネットワークのどこかのポートが開いている、アプリケーションレイヤーでとあるサービスが有効になっているなど、どれも1つだけではそこまでの脅威ではありません。しかし、複数が組み合わされば、大きな脅威となります。この状況では、ユーザー企業自身が、物理インフラレイヤーからOSが含まれるミドルウエアレイヤー、さらにその上のアプリケーションレイヤーまでを透過的に可視化しておくことが重要になっています。クラウドサービス提供事業者が提供するツールだけに頼らず、必要な仕組みを積極的に検討すべきなのです。

必要な仕組みとは、具体的にどのようなものですか。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。