クラウドリフトの波に乗って、クラウド導入を急ぐ企業が多い。しかし、クラウドのITリソースに対するセキュリティ対策が追い付いていないケースもある。クラウドの設定ミスを防ぎ、ワークロードを包括的に保護するにはどうすればよいのだろうか。
コロナ禍を経て、大企業だけでなく中堅・中小企業でもクラウドへのリフト&シフトが本格的に進んでいる。IaaSやPaaSをはじめとしたクラウドを活用することで業務を効率化する、オンプレミスよりもコストを削減できるなどのメリットを得られるとして、クラウドへの積極的な移行が推奨されてきた。しかし、メリットばかりに目が行ってしまい、クラウド特有のリスクに配慮したセキュリティ対策をおろそかにしてしまうケースも多い。
中堅・中小企業は、限られた人的リソースや資金でクラウドの脅威に対処しなければならないという課題を抱えている。そうした中、日本マイクロソフトは2025年度の事業戦略における注力領域で「セキュリティ」を最優先項目として掲げている。同社は、上記のセキュリティ課題を解決すべくパートナー企業との連携を強化。セキュリティプラットフォーム「Microsoft Defender for Cloud」(以下、Defender for Cloud)を使って“限られたリソースでも安心して利用できるクラウド”の実現を目指している。本稿は、日本マイクロソフトのパートナーとして「Microsoft Azure」(以下、Azure)を軸にしたDXなどを支援するピーエスシー(以下、PSC)の取り組みを紹介する。
社会やビジネス環境の変化に伴って、長年オンプレミスで運用してきたITシステムをクラウドにリフト&シフトする動きが進んでいる。初期コストや運用コストの削減に加え、コロナ禍で広がった新しい働き方に適合できることなどが大きな要因だ。
PSCの坂江敦基氏(セキュリティ担当取締役 兼 セキュリティ&マネージド事業部 事業部長)によると、クラウド移行の進展度は首都圏とその他の地域で差があるという。同じ企業内でもWebサイトと基幹システムなどのITシステムによって移行の度合いにばらつきがあるが、総体としてクラウド化の流れは着実に進んでいると坂江氏は話す。
しかしこの動きに伴って課題も浮上している。サイバーセキュリティのリスクだ。
近年、ITシステムやデータを暗号化して身代金を要求するランサムウェアが猛威を振るい、国内外でインシデントが多発している。「攻撃者は組織化されており、どこかに対策されていないところはないかと探りを入れた上で攻撃してきます。セキュリティ対策が取られていないところ、設定ミスが残っているところはいずれ標的にされる可能性があります」
ITシステムをオンプレミスで運用していたときは「最低限、こうしたセキュリティ対策を実施すべきだ」という長年にわたるノウハウが蓄積されていた。だが、クラウドは急速に移行が進んだため、クラウドに重要なデータやシステムが増えてきたにもかかわらずそれを守る「デファクトスタンダード」は確立されていない。特に中堅・中小企業の場合、セキュリティ対策を講じることで、クラウド化によってせっかく削減できたコストがまた膨らむのではないかと難色を示すこともある。
もちろん、さまざまなサイバー攻撃が横行する中で無防備でいるわけにはいかない。「かつては経営者も『ウチはデータを取られても大したことない』といった認識でした。しかし、政府の指針もあり『セキュリティ対策をしなければまずい』という理解が広がっています」と坂江氏は話す。
企業が優先的に取り組んでいるのはエンドポイントのセキュリティ対策だ。「ランサムウェア対策を念頭に置くと、エンドポイントのセキュリティ対策の優先順位が高くなります。従業員が使う端末をしっかり監視しなければ企業のリスクが高まるのではないかという懸念から、EDR(Endpoint Detection and Response)をはじめとするエンドポイントセキュリティの導入が進んでいます」
EDRの導入自体は否定すべきことではないが、サーバサイドのセキュリティが後回しにされがちだ。これはオンプレミスだけではなく、Azureなどクラウドの仮想サーバも含む。
その結果、コロナ禍で急いでクラウド化した企業のセキュリティインシデントが後を絶たないという事態に陥っている。「『クラウドに構築したECサイトに導入しているWebアプリケーションの脆弱(ぜいじゃく)性を突かれてデータを盗み取られる』『管理コンソールのAdmin権限が破られて悪用され、Azure環境に勝手に踏み台サーバを作られる』といったケースが発生しています」
攻撃者が狙うクラウドの“弱点”を補い、クラウドのITリソースやデータを保護するセキュリティ機能がそろうトータルプラットフォームとしてMicrosoftはDefender for Cloudを提供している。
アクセス権限管理などの設定に不備がないかどうかをチェックする「クラウドセキュリティポスチャー管理」(CSPM)と、未知のマルウェアも含めてさまざまな攻撃からクラウドのワークロードを保護する「クラウドワークロード保護プラットフォーム」(CWPP)がDefender for Cloudの中心機能だ。
Defender for Cloudは、Azureはもちろん「Amazon Web Services」や「Google Cloud」、オンプレミスの「Windows」などでもCSPMやCWPPの機能を利用できるので、マルチクラウド/ハイブリッドクラウドの包括的なセキュリティ対策が実現する。
坂江氏によると、Defender for CloudはMicrosoftが提唱する「エンド・ツー・エンドセキュリティアーキテクチャ」の中に統合されていることが大きな特徴だという。
坂江氏は「複数のベンダーが提供するさまざまなセキュリティ製品を個別に導入すると、それだけ導入や運用に手間と時間がかかります。Defender for Cloudは、機能を有効化するだけですぐに利用できます。いざという際に複数の製品の管理コンソールを見比べながら調査する必要がなく、統合管理が可能です」と語る。多くの企業でセキュリティ人材不足と運用工数の増大が課題となっており、その負荷を削減できるというメリットは大きい。
Defender for CloudはMicrosoftのSIEM(Security Information and Event Management)ツール「Microsoft Sentinel」とも連携できる。昨今のセキュリティインシデントに迅速かつ適切に対応するには、エンドポイントやネットワークからイベントやログを収集し、統合的に分析して脅威を検知することが欠かせない。Microsoft Sentinelはその基盤となるソリューションで、個々のログを時系列にまとめる機能や自動化機能を持ち、従量課金制であることが特徴だ。
Microsoft SentinelとDefender for Cloudを連携させることで、クラウドのサーバのログも統合した包括的な分析が可能となる。「既にEDRなどのエンドポイントセキュリティ製品を導入している環境でも、それらと連携してサーバ側のログを統合することで相関分析を実施し、セキュリティを総体的に見られるようになります。脅威が高度化する中で、こうした機能は今後より重要になるでしょう」
今後の拡張性という意味でも、Microsoft製品で自社のセキュリティ環境を固めておくことは大きな意義がある。Microsoftはセキュリティソリューションのロードマップの中でAIを一つの鍵として打ち出している。Defender for Cloudを導入しておけば、この先クラウド環境がどのように拡大したとしても、「Microsoft Copilot」をはじめとする新たなAI機能を活用できる。
PSCは日本マイクロソフトのパートナーとして、多くの資格保有者を擁してAzureの導入支援や運用支援の実績を重ねてきた。その実績が評価され、セキュリティ領域における「脅威からの保護」に関する資格「Specialization」を取得している。同資格を取得している国内企業はまだ少ない。PSCは、Azureでのセキュリティ対策をどのように進めるべきかを安心して相談できるパートナーだと言える。
「PSCは、セキュリティを優先するあまりにビジネスを阻害しては本末転倒だと考えています。その観点で必要なクラウドやデバイス、ネットワーク、SaaS、それらを保護するためのセキュリティサービスを全方位的に提供します」(坂江氏)
そもそも企業がクラウドリフトを検討するのは、コスト削減や効率化、DX推進などの狙いがあってのことだ。PSCは顧客の目的を踏まえた上で、Azureにどのようにリフトするべきかという設計段階におけるコンサルテーションから導入や構築、運用までワンストップで提供している。
「顧客が望むものの一部分を提供するだけでは、結局は顧客が自分たちでピースをそろえて組み合わせる必要があります。セキュリティも含めて導入から運用まで広い範囲をカバーすることで、安心感を持ったクラウドリフトをご支援します」。「Microsoft 365」の導入からMicrosoft Sentinelの導入、Azureへのクラウドリフト、Microsoft Copilotを活用したAI活用まで、一連の道筋をサポートした事例もあるという。
セキュリティに関しても同様に、ワンストップでサービスを提供している。SOC(Security Operation Center)による24時間365日体制での監視サービスを200社以上に提供し、定期的なレポーティングを実施している。この知見を生かし、Microsoftのセキュリティソリューション「Defender for Servers」や「Defender for Storage」に関するSOCサービスの提供も検討している。
「セキュリティインシデントについては専門家でなければ判断できない部分が多々あります。われわれのような専門的な企業にそこをお任せいただくことで、お客さまは本業に専念していただきたいと考えています」
DXの実現には、セキュリティ対策と一体となったクラウドリフトが効果的な手段の一つだ。「クラウドリフトは、企業が成長するためのものです。それがサイバー攻撃によって中断したり、事業に影響を受けてしまったりしては本末転倒です。安全、安心な運用も含めてクラウドリフトの計画を立て、実行することが重要です」と坂江氏は述べ、PSCとしてMicrosoftのソリューションを生かしてそれをトータルに支援するとした。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社ピーエスシー、日本マイクロソフト株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2024年10月3日