企業のクラウド移行がますます進んでいる。その中で、各社のCISO（最高情報セキュリティ責任者）は堅牢なクラウドセキュリティを確保する任務を抱え、クリティカルな課題と向き合っている。回避すべき主な落とし穴の1つは、誤った思い込みをしたり、新しい技術に古いパターンを当てはめてしまったりすることだという。米調査会社ガートナーが今月3日からメリーランド州で開催した「セキュリティ＆リスク・マネジメントサミット」で、バイスプレジデント・アナリストのRichard Bartley（リチャード・バートリー）氏が語った。

ガートナーは2024年のクラウドセキュリティ市場について、支出額が24%急増し、世界のセキュリティ／リスク管理市場で最も成長する分野になると予測している。また、業種別のクラウドプラットフォームを利用してさまざまな取り組みを加速させている企業の割合は、2023年の数字では全体の15％未満だが、2027年までに70％を超えるとも予測している。

こうした中では、セキュリティプラクティスを再考することが必要になる。Bartley氏によると、企業はクラウドを「ニューノーマル」にして「通常通り営業」できる状態を確保したいと考えているという。

従来のIT環境によくある典型的なリスクで、クラウド環境でもよくみられるものは5つある。ガバナンスの欠如、構成ミス、安全でないサプライチェーンやパイプライン、データの損失や流出、認証情報管理や鍵管理の欠陥だ。

その他に、クラウド特有のリスクも6つ挙げられた。

・変化に満ちた環境全体を可視化できていない
・攻撃対象領域を管理できていない
・IDの数が増えたり、過剰な権限が付与されたりしている
・責任共有モデルに関する誤解
・さまざまな事柄に関する誤った理解
・コンプライアンス、規制、デジタル主権に関する問題

「ここでぜひ記憶にとどめていただきたいのは、私たちはこれまでと同じ結果を目指しているということです。通常通りに事業ができるようにして、セキュリティでもこれまで通りの成果を出し、不正アクセスされないようにしたいと考えています。しかし、私たちが最終的に取ることになるアプローチは、おそらくこれまでとは異なるものになるでしょう。こうしたリスクに関しては、細かい複雑な考慮事項があるからです」

責任共有モデルをめぐる誤解

責任共有モデルについては、CISOやセキュリティチーム、クラウドチームの多くが、憶測による理解をしている。責任共有モデルとは、セキュリティに関してクラウド事業者と顧客がそれぞれどの範囲の義務を負っているのかを示したもので、Amazon Web Services（AWS）やMicrosoft Azureなどの大手パブリッククラウド事業者が使用しているモデルだ。

「技術に関する憶測、提供内容に関する憶測の両方です」と氏。

問題は、コンプライアンスや機密データの可視性、事業継続性に関する部分、わかりにくいSLA（サービス品質保証）に潜んでいるという。「オーケストレーションなどに関する問題であるとか、どちらが何に責任を持つのか、例えばランタイムワークロードと非ランタイムワークロードではどうか、といった問題がよく起こります」

Google Cloudの方針は、これとは異なり、顧客とセキュリティに関する提携関係も深めようというものだ。同社ではこれを運命共有モデルと呼んでいる。CISOのPhil Venables（フィル・ヴェナブルズ）氏が以前、SDxCentralの取材で語った。

「Googleが行ったのは、実際、とても有益なことだと思います。自社の環境内で起きていることで危険なものはないか、運用方法が安全かを確認するためには取るべき対策や活動があるわけですが、このモデルでは、そのうち一部をGoogleに投げ返すことができるのです」と氏。「お役に立つことがあるのではないでしょうか。というのも、プラットフォームによってはこうしたグレーな領域があちこちに存在するのですが、このモデルでは、そうした領域に関しても誰が何をすべきかが明確になるからです」

クラウドセキュリティの主な落とし穴と、CISOへの推奨事項

世のCISOがクラウドセキュリティについて誤解している点とは何だろうか。Bartley氏は、CISOたちを悩ませている落とし穴について、主だったものをいくつかまとめている。

1. 各部門のセキュリティがすでにニーズをカバーしていると思い込む
2. クラウドはシンプルなもので、自社のチームがすぐに習得できると思い込む
3. CCoE（クラウド活用推進組織）や変革プロジェクトへの協力が不足している
4. CIO（最高情報責任者）と協力して、プラットフォームエンジニアリングやDevOpsにセキュリティを組み込むことをしていない
5. 古いセキュリティプロセスが開発パイプラインのボトルネックになる
6. 新しい技術に古いパターンを当てはめる

こうした問題を解決するため、Bartley氏は以下のような戦略を取ることを推奨している。

・クラウド環境のセキュリティ管理に自動ツールを使用する
・クラウドのセキュリティガバナンスを確立する
・CNAPP（クラウドネイティブアプリケーション保護プラットフォーム）でアラートに優先順位を付ける
・SaaS向けの統合SSEプラットフォームを使用する
・不変性の確保に取り組む
・リスキリングやスキルアップに取り組む

「DevOpsサイクルに関与するに当たって、自動ツールを使うことから始めるのも良い方法です。開発パイプラインの各段階でクラウドを細かく管理できますし、ランタイム側でも、強調表示をさせたり、修正を提案させたりできます」

画像はガートナーのバイスプレジデント・アナリスト、Richard Bartley氏。（出典：Gartner）

What CISOs get wrong with cloud security