企業のIT利用を支えるインフラとして、近年存在感を高めているのがクラウドサービスです。新たなシステムを構築する際、クラウドサービスの利用を前提とすることがもはや当たり前になりつつあり、複数のクラウドサービスを使い分ける「マルチクラウド」の利用も珍しくありません。こうしたクラウド環境特有のセキュリティリスクについて、NRIセキュアテクノロジーズ（NRIセキュア）の原田諭に聞きました。

マルチクラウド化が進む理由

サーバやソフトウェアを自社で持つ必要がなく、また運用管理業務の負担を軽減できるというメリットから、クラウドサービスは多くの企業で積極的に活用されるようになっています。さらに昨今では、Amazon Web ServicesやGoogle Cloud Platform、あるいはMicrosoft Azureなど、複数のクラウドサービスと、自社でサーバなどを運用するオンプレミス^※環境を併用する「マルチクラウド」を選択する企業も増えてきました。

NRIセキュアの原田諭は、マルチクラウドが広まる理由について「クラウドサービスによって、提供している機能が異なるため、サービス選定時にビジネスの目的に合わせてサービスを選ぶことが一般的になっています。これが、マルチクラウド化が進む理由の1つです」と述べます。

IT部門を介さず、事業部門が自らクラウドサービスを選定して使い始めることが増えたこともマルチクラウド化が進む要因でしょう。オンプレミス環境でシステムを構築するためには、サーバ構築やOSの設定など複雑な作業が必要であり、IT部門の関与は欠かせませんでした。しかしクラウドサービスの多くは目的に合わせた環境が整った状態で用意されており、容易に使い始めることができるため、事業部門がそれぞれの視点でクラウドサービスを選定することができ、これによってクラウドサービスの利用が増加するという流れです。

クラウドの設定不備で膨大な情報が漏洩するリスクも

ただし、こうしたマルチクラウド化には情報セキュリティ上のリスクもあると原田は指摘します。

「情報を保護するための設定を適切に行わなければ、情報漏洩や侵害のリスクは増大します。クラウドサービスは、情報セキュリティに関する責任範囲が分かれていて、サービス提供事業者側で対応する部分と、ユーザーの責任で対処すべき部分があります。ユーザー側で対処すべき情報セキュリティ対策が適切に実施されていなければ、情報漏洩などの事故につながりかねません。複数のクラウドサービスや複数の契約アカウントでのクラウドサービスの利用により、設定の管理や確認の複雑さは大きく増すことになります」。

さらに原田は、クラウドサービスにはオンプレミス環境とは異なる情報セキュリティリスクがあると説明します。具体的には、クラウドサービスを利用するためのアカウントが乗っ取られ、勝手にクラウド上に仮想サーバが立ち上げられてサイバー攻撃や仮想通貨の採掘に使われるといったものや、クラウド上に保存しているデータが設定不備によって漏洩する、といったものがあります。特に後者の情報漏洩は発生リスクが高いと、原田は警鐘を鳴らします。

「たとえばAmazon Web Servicesには『Amazon S3』というデータを保管するためのサービスがあります。このサービスでは、データにアクセスできるユーザーを制御する仕組みがありますが、その設定に不備があり、誰でもアクセスできるようになっていたために情報が漏洩したというインシデントが多数発生しています」。

マルチクラウド環境の情報セキュリティ対策を強化するCWPP、CSPM

各事業部門がそれぞれの目的でクラウドサービスを利用する場合、それらのクラウドサービスが持つ機能や提供内容は異なると思われます。そのため、実際の使用者である各事業部門が、責任を持ってセキュリティ上問題の無い状態でクラウドサービスを利用できればよいですが、前述の通り、たった1つの設定ミスが重大な情報漏洩やシステムの侵害に繋がる事例は多く報告されており、クラウドサービスが続々と登場する現在の状況も踏まえると、各事業部門が全ての責任を担うことは難しいでしょう。そうした情報セキュリティリスクを回避する方法として、IT部門がクラウドサービス利用に対するベースラインを策定し、事業部門によるクラウドサービスの利用状況を横断的に把握し、情報セキュリティ対策や各種設定が適切に行われているかをベースラインに照らし合わせてチェックする手法を挙げられます。ただし、人手によるチェックでは、クラウドサービスの利用状況や情報セキュリティ対策の内容を抜け漏れなくチェックするのは困難です。この課題を解決できるソリューションとして、原田はCloud Workload Protection Platform（CWPP）、Cloud Security Posture Management（CSPM）を推奨します。

「CWPP、CSPMはクラウド間や同じクラウド内の複数の契約アカウントをまたぎ、セキュリティポリシーの一元管理を可能にするソリューションです。CWPPは情報セキュリティ確保のためのさまざまな機能を、さまざまなクラウドサービス上のワークロードを対象に提供します。CSPMは、主にクラウドサービスの管理画面上で操作可能な範囲を対象に、設定を継続的に評価し、適切な状態を維持することを支援するソリューションです。これらを用いて、それぞれのクラウド環境で足りない部分を補う、またクラウド環境の設定を継続的に評価し続けることにより、セキュリティ対策のベースラインを維持できることがメリットです」。

NRIセキュアではCWPP、CSPMの導入支援、運用・監視を行っているほか、それぞれのクラウド環境のサーバやファイアウォールなどから出力されるログを一元的に監視するサービスも提供しています。この監視サービスについて、原田は「イベントの調査を行うのは専門のセキュリティアナリストであり、詳細な分析や手厚い保護を24時間365日提供できる点は私たちの大きなアドバンテージであると考えています」と語りました。

今後、AIやIoTといったテクノロジーを活用してビジネスを変革するデジタルトランスフォーメーション（DX）が進めば、これまで以上に企業のIT環境におけるクラウドの存在感は大きくなり、またさまざまなクラウドサービスを併用するマルチクラウド化も進むでしょう。確かにクラウドサービスには大きなメリットがありますが、そこに含まれる情報セキュリティリスクにも目を向けなければなりません。

• オンプレミス：企業が情報システムを利用する際に必要なサーバ機器などを、自社内で導入・構築・運用すること。