クラウドセキュリティって何をすればいい？――そんな企業の“味方”をMicrosoftが提供 無料で始められる対策とは：「取りあえず動けばいい」にあるリスク

「クラウドのセキュリティは後回し」「どのような対策がいいか分からない」「セキュリティ人材がいない」――こうした悩みを持つ企業でもリスクを可視化して対処できるようにするセキュリティプラットフォームをMicrosoftが提供している。無料で使えるという同サービスの利用方法を解説する。

PR／ITmedia

PR

　クラウドリフト＆シフトの波に乗って、中堅・中小企業もIaaSやPaaSなどのクラウド活用に乗り出し始めた。しかし大企業ほどの資金や人材、知見などがない中、クラウドのセキュリティリスクに適切に対処するのが難しい場合がある。こうした実態を受けて、日本マイクロソフトは2025年度の事業戦略における注力領域の中でも「セキュリティ」を最優先項目に掲げた。

　同社は、上記のセキュリティ課題を解決すべくパートナー企業との連携を強化。セキュリティプラットフォーム「Microsoft Defender for Cloud」（以下、Defender for Cloud）を使って“限られたリソースでも安心して利用できるクラウド”の実現を目指している。本稿は、日本マイクロソフトのパートナーとして「Microsoft Azure」（以下、Azure）をはじめとしたクラウドへの移行支援やクラウドセキュリティ対策などを提供しているTD SYNNEXの取り組みを紹介する。

「クラウドだから危険」は過去の話　それでもセキュリティ対策が必要な理由

　DXの取り組みやコロナ禍によるテレワーク推進をきっかけに、企業のクラウドリフト＆シフトは着々と進展している。金融業界や医療業界のように社外へのデータ保存など考えられなかった業界でも、行政や業界のガイドラインが後押ししてクラウド利用が広がり始めた。

　「クラウドだから危険だ」という認識は過去のものになりつつある。大手出版社で起きたセキュリティインシデントの場合、自社運用していたデータセンターのITシステムには多大な被害が出たが、パブリッククラウドに構築したITインフラへの影響は限定的だった。クラウドだからオンプレミスだからと区別するのではなく、各ITインフラに適したセキュリティ対策をすることが重要だ。

TD SYNNEXの吉川 洋太郎氏（アドバンスドソリューション部門ハイブリッドマルチクラウドSE部）

　クラウドのセキュリティは「責任共有モデル」が大前提だ。クラウド事業者と利用企業が責任を分担するという考え方で、SaaSやPaaS、IaaSなどのサービスごとに責任範囲が異なる。クラウドを安全に使うには、責任共有モデルを理解して適切なセキュリティ対策に取り組む必要がある。しかし、その理解が進んでいないと指摘するのはTD SYNNEXの吉川 洋太郎氏（アドバンスドソリューション部門　ソリューションビジネス開発本部　ハイブリッドマルチクラウドSE部）だ。

　「『クラウドは手軽に利用できる』というイメージが先行してしまい、仮想マシンを使うときに利用者が責任を持って設定すべき内容を理解していなかったり、セキュリティ対策の定番が分からなくて何をすればいいのかと迷ったりするケースがあります」

「取りあえず動けばいい」では避けられないサイバー攻撃のリスク

　クラウド事業者の努力もあって、セキュリティの初期設定は強固になっている。しかし利便性を求めて設定をゆるめた結果、インターネット経由で第三者が仮想マシンにアクセスできるようになってしまう、OSなどの脆弱（ぜいじゃく）性を放置してしまうなどのケースも散見される。こうした状況が情報漏えいなどのセキュリティ事故につながっているとして、吉川氏は「高度な手口によって被害を受けるより、初歩的なミスを突かれて攻撃されるケースが多い印象です」と警鐘を鳴らす。

　初歩的なミスが大きな被害を招いた例の一つに、「GitHub」などのソフトウェア開発サービスで管理しているソースコードの公開範囲を誤って、部外者が閲覧できる状態になってしまった事案がある。ソースコードに社内システムの認証情報や秘密鍵が含まれていると不正アクセスの原因になる恐れがある。

　クラウドのセキュリティ対策が思うように進展しない理由の一つに「コスト」の課題がある。セキュリティ対策というと、「リッチなソリューション」を導入したり社内でチームを組織したりと大掛かりな取り組みが必要だというイメージを抱きがちだ。

　セキュリティインシデントが発生した場合に生じる損害と、それを防ぐための投資額を算出するのが難しいという問題もある。見えないリスクに対してコストをかけにくいという企業の姿勢も対策を遅らせるブレーキの一つだ。

　吉川氏は「クラウドの仮想マシンが何も問題なく稼働しているのなら、今すぐセキュリティ対策をする必要はないと判断されがちです」とした上で、必要性を感じたとしても何ができているのか、何ができていないのか、何をすればいいのかが分からないという現状があると指摘。「まだ検証フェーズだから」「スモールスタートだから」といってセキュリティ対策を後回しにし続けて、本番に移行してからもリスクが高い状態のままで運用しているケースもあるという。

エージェントレスにも対応　スキャンで現況を把握できるDefender for Cloud

　運が良ければ“リスクが残る運用”でもサイバー攻撃に遭わないかもしれない。しかし設定ミスや脆弱性を放置した状態で不正アクセスを受けて顧客や取引先にまで影響を及ぼしてしまった場合、企業や経営層の責任を問われかねない。

　クラウドで動かす仮想マシンやコンテナなどの設定を継続的に確認し、一定のセキュリティ強度を保つことが不可欠だ。そうは言っても、ITリソースを柔軟に増減できるクラウドの全設定を把握して人の手でチェックするのは現実的ではない。

　「リスクを自動的にチェックして、人間が分かるように見える化できるソリューションの導入が大切です」

　それを実現するのがMicrosoftのセキュリティプラットフォームであるDefender for Cloudだ。Defender for Cloudは主に3つの機能からなる。一つは、AzureをはじめとするクラウドのITリソースやログを確認して不適切な設定や脆弱性、コンプライアンス違反を洗い出して可視化し、適切な対処方法をアドバイスするクラウドセキュリティポスチャー管理（CSPM）機能。一つは、エージェントによってホストの内部からパッチの適用状況などをチェックし、同時にワークロードそのものを保護するクラウドワークロード保護プラットフォーム（CWPP）機能。一つはソフトウェア開発のライフサイクル全体で脆弱性の低減と適切なリソース構成を実現するDevOpsセキュリティ機能だ。

Defender for Cloudの概要（出典：日本マイクロソフト提供資料）

　「Azureポータル」を操作できるスキルがあればDefender for Cloudを使いこなせるので、セキュリティの専門知識は必須ではない。「『セキュリティの専門家はいないけども何か対策をしなくては』と感じている企業にお薦めです。大企業よりもむしろ中堅・中小企業に適したソリューションと言えます」と吉川氏は話す。

　吉川氏がテストとして、Azureに仮想マシンを立ててDefender for Cloudのチェックを実施すると20〜30項目の設定不備やリスクが指摘されたという。「内訳を見ると、ボタン一つで対処できる項目も多くありました。高価なセキュリティソリューションを導入しなくても、Defender for Cloudのアドバイスに従って推奨される対処をすればセキュリティ対策のレベルをぐっと高められます」

　Defender for CloudのCWPPにはエージェントレススキャン機能がある。AzureのITリソースであれば、エージェントモジュールを導入しなくてもセキュリティのチェックが可能だ。ITシステム運用の現場は、アプリケーションの安定稼働を重視して今動いているものに手を加えたくないという傾向が根強い。監視やセキュリティ管理のためのエージェントソフトも「できればインストールしたくない」というのが本音だろう。

　「パートナー企業であっても外部の人間にITシステムの中身に触らせたくない、という企業は多いと聞きます。しかし手順書を基に顧客が自分たちでエージェントをインストールするのも困難です。エージェントレススキャンは理想型と言えるでしょう」

　CWPPの特徴の一つが、PCI DSSやCISA、NIST、ISO 27001といった国際的なセキュリティ標準やガイドラインに準拠している点だ。社内のセキュリティ担当者がこれらの標準を基にチェック項目を作る場合、担当者の理解度に内容が左右される恐れがある。Defender for Cloudは、Microsoftが有する深い専門性と優秀なエンジニアを生かしてチェック項目を作っているので国際的な標準を満たしていると吉川氏は説明する。

　Azureだけでなく「Amazon Web Services」や「Google Cloud」といった他のクラウドやオンプレミスのITリソースも一元的に管理できるのも強みだ。

海外での実績や知見を基に「アセスメント支援」サービスも提供

　Defender for Cloudを使うことでセキュリティの基本的なチェック項目を網羅できると吉川氏は話す。自社のリスクを確認するというセキュリティ対策の第一歩にできるので、その後の対処やステップアップにつなげられる。一部の機能を無料で使えるフリープランから始めるのも有効だ。

　Defender for Cloudはセキュリティ初心者でも使えるが、発行されるレポートの一部が英語だったりCSVファイルで出力されたりするので読み解くのが難しい部分もある。そこでTD SYNNEXは「Microsoft Defender for Cloudアセスメント支援」を提供している。Defender for Cloudのアクティベーションと各種設定に始まり、顧客のセキュリティ状況を分析。Defender for Cloudのレポートを分かりやすく解説した日本語のレポートを提出する他、顧客の状況を踏まえて対策のアドバイスをする。

　TD SYNNEXは日本や米国、インドなど世界各国で事業を展開する世界最大級のITディストリビューターだ。世界中のさまざまなソリューションを組み合わせて顧客に最適な提案ができるという強みがある。クラウド移行支援サービス「TD SYNNEX ISV Solution Factory」の実績も豊富で、クラウドの技術力は確かだ。Defender for Cloudのアセスメント支援サービスは先行展開しているグローバルの知見を日本でも生かすと吉川氏は意気込む。

アセスメント支援サービスを含むTD SYNNEXのサービス概要（出典：TD SYNNEX提供資料）

　同社は、クラウド移行やDefender for Cloudを生かしたセキュリティ対策などの相談を広く受け付ける「無償相談会」やAzure移行後の運用、管理を包括的に行って定期的にレポートする「Azure Managed Service」も提供。クラウド導入前のコンサルティングからセキュリティ対策を組み合わせた構築、運用までトータルに支援する体制がそろっている。

　「Azure Managed Serviceは、月額2万円で20サービスの監視を請け負います。われわれの強みであるグローバルなリソースを使うことで、この圧倒的な低価格を実現しています」。同社は各国でさまざまな企業のIT監視業務を請け負っているので、海外の最新のトレンドを踏まえたサービスを提供できる。

　TD SYNNEXは持ち前の知見を生かしてクラウドリフト＆シフトにおけるセキュリティ対策や手厚いサポートを一気通貫で提供している。専門人材の不足やコストに悩んでクラウドの利用やセキュリティ対策を諦めている企業は、同社に一度相談してみてはいかがだろうか。

TD SYNNEX Inspire Japan 2024 Tokyoでアセスメント相談

　TD SYNNEXが主催する「Inspire 2024」（10月24日開催）は、IT業界のエキスパートによる講演や国内外のITソリューションが集まる展示ブースなど先端テクノロジーの“今”に触れられる大型イベントです。

　Microsoftブースは、Defender for Cloudをはじめとするアセスメントサービスの相談を受け付けます。気になるお悩みを現地で解決してみてはいかがでしょうか。

• 開催日：2024年10月24日（木）　10時〜17時
• 会場：東京国際フォーラム
• 参加申し込みはこちら：https://jp.tdsynnex.com/inspire/