ホワイトハッカーと見直すクラウドセキュリティ 見えないリスクにどう備えるべきか：クラウド特有の盲点を洗い出すには

業務システムやサービス基盤のクラウド移行が進む中、クラウドセキュリティの重要性が増している。クラウドは利便性が高いが、たった一つの設定ミスが情報漏えいやシステムトラブルを招き、重大なインシデントを引き起こす恐れがある。このような見えないリスクにどう備えるべきなのだろうか。

PR／ITmedia

PR

　業務システムやサービスの基盤をクラウドに移行する動きが本格化している現在、併せて考えるべきなのがクラウドセキュリティだ。クラウドサービスは利便性やコストメリットに優れているが、オンプレミスのIT環境と同様に設定ミスが重大な情報漏えいやシステムトラブルを招く可能性がある。たった一つのミスによって、重要な業務データが意図せず外部に公開されてしまうことも珍しくない。

　クラウド特有のリスクに対応するには、表面的なチェックにとどまらず、システム構成や運用実態に即した対策が重要だ。しかし、そのためには専門的な知識を持った人材を確保する必要があり、自社のみで対応するには限界がある。外部のサービスを活用してクラウド環境に精通したセキュリティの専門家による診断とアドバイスを受けることが、企業にとって“当たり前”のセキュリティレベルを実現するための近道となる。

　本稿では、クラウドセキュリティ診断の豊富な経験を持つ専門家に話を聞き、企業が直面するクラウドのセキュリティ課題と、それに応えるサービスについてレポートする。

設定ミスが命取り　クラウドセキュリティの落とし穴と必要な備え

青山桃子氏（日立ソリューションズ マネージドセキュリティサービス部 チーフセキュリティアナリスト）

　クラウドセキュリティを考える上で多くの企業が戸惑っているのが、「クラウド環境において、どこまで、そして何をチェックすべきか」だ。オンプレミス環境の脆弱（ぜいじゃく）性診断やネットワーク評価の知見だけでは、クラウド特有のリスクに対応し切れないと不安を感じる企業は多いと日立ソリューションズの青山桃子氏は語る。

　多くの企業が「どのようにして安全性を確保すべきか」という、明確なセキュリティ基準や指標を持っていないことも問題だ。クラウドセキュリティ対策は進みつつあるものの、オンプレミスと比べて知見が少ないために具体的な判断材料が乏しく、不安感を払拭（ふっしょく）し切れていない。

　クラウドサービスにおいて、セキュリティや運用に関する責任範囲をクラウドベンダーとユーザーの間で明確に分担する「責任共有モデル」に対する理解不足もセキュリティリスクを高める一因だ。クラウドは、インフラの一部がクラウドベンダーの責任範囲となる。その前提を十分に理解せず従来の延長線上でセキュリティ対策を考えていると、「どこまでが自社の責任か」が不明確になり、セキュリティの抜け漏れが生じやすくなる。

　もちろんID管理や認証周りの不備もあってはならない。日立ソリューションズの伊藤博康氏は「管理者権限を持つアカウントが適切に管理されず、クラウド移行後も不要な設定や使われていないアカウントが放置されているケースが多い」と語る。設定変更が容易なクラウドの特性が、逆にリスク管理の複雑化を招いている。

　一つの設定ミスで機密情報がインターネットに公開されてしまうリスクもある。これらのリスクを適切に洗い出して継続的に管理するには専門的な知識が必要だが、セキュリティ人材の確保の難しさが課題の深刻化に拍車を掛けている。

一度の診断、スキャンだけで終わらない、継続・徹底したクラウドセキュリティ対策

伊藤博康氏（日立ソリューションズ マネージドセキュリティサービス部 セキュリティアナリスト）

　日立ソリューションズは、従来の診断手法ではカバーし切れないクラウド特有のリスクに着目し、クラウドセキュリティ診断サービスをコンサルティングメニューに加えた。その背景には、企業において既存オンプレミスシステムのクラウド移行が進んでいることと、市場全体でクラウドセキュリティへの関心が高まっていることがある。

　本サービスの特長の一つは、運用開始後も継続的にセキュリティ診断を実施して長期的な視点で顧客を支援する点にある。クラウド環境は設定変更が容易なため、運用中に設定ミスが生じる可能性がある。新たに発見される脆弱性への迅速な対応も不可欠だ。伊藤氏は、定期的な診断でセキュリティリスクを洗い出し、適切に対策し続けることの重要性を強調する。

　セキュリティ対策は、システム構築者以外の第三者による客観的な視点でのチェックが効果的だ。業界によっては第三者診断を義務付けるケースもある。専門人材の社内確保が難しい企業にとっては、外部の専門サービスの活用がクラウド環境における客観的かつ網羅的な「安心・安全」の確保につながる。

図1：日立ソリューションズのクラウドセキュリティ診断がカバーする範囲（出典：日立ソリューションズ提供資料）《クリックで拡大》

　日立ソリューションズのクラウドセキュリティ診断サービスは、パブリッククラウド環境におけるリスクを多角的に可視化できる。「Amazon Web Services」（AWS）や「Microsoft Azure」「Google Cloud Platform」（GCP）といったパブリッククラウドに対応し、インフラ、OS／ミドルウェア、アプリケーション、データの4レイヤーにわたってセキュリティリスクを洗い出す。

　診断内容は幅広い。マルウェアの有無や使用ライブラリに潜む脆弱性、利用していないデータがないかどうか、サーバレスアーキテクチャやコンテナといった環境に潜むリスクなどを徹底的に洗い出す。

　この包括的な診断を可能にするのが、同社が採用するCNAPP^※（Cloud-Native Application Protection Platform）ツール「Orca Security」だ。CIS（Center for Internet Security）ベンチマークにとどまらず、潜在的なセキュリティリスクを深く掘り下げて検出可能だ。脆弱性情報（CVE）だけでなく、AWSやAzureなどにおけるベストプラクティスへの準拠状況も確認できる点が強みだ。

※クラウド環境で動作するアプリケーションを開発から運用まで一貫して保護するための統合セキュリティプラットフォーム。

　特筆すべきは稼働中のサービスに影響を与えず診断ができる点だ。青山氏によれば、本ツールはOrca Security社の独自技術によって、仮想マシンを直接スキャンせず、スナップショットを使って診断するためシステムへの負荷が極めて小さい。24時間365日止められないサービスを支える企業にとって大きなメリットだ。

　このサービスの質を支えるのは日立ソリューションズが誇る高度な専門人材だ。同社にはCTF（セキュリティコンテスト）の入賞経験を持つ技術者や、攻撃・防御の両視点で専門資格を保有する人材が多数在籍している。全社で資格取得支援制度を推進しており、実際の現場経験で培った専門性と継続的なスキルアップの体制が顧客の信頼確保につながっている。

図2：日立ソリューションズの“ホワイトハッカー”が技術面で顧客を支える（出典：日立ソリューションズ提供資料）《クリックで拡大》

　日立ソリューションズのクラウドセキュリティ診断サービスは、ツールで検出した脆弱性を提示するだけでは終わらない。診断結果はいわゆるホワイトハッカーとしての実務経験と高度な専門知識を持つセキュリティアナリストが丁寧に精査し、顧客が理解しやすい報告書にまとめて提示。報告会ではリスクの背景や優先度、対応方法について詳細かつ分かりやすく説明する。

　「検出された脆弱性には、リスクの重大性に応じて具体的にレポートするだけでなく各社の運用実態に即した設定変更の提案もします。情報提供にとどまらず、実行可能な改善策を提供することにこだわっています」と伊藤氏は語る。

　このように、日立ソリューションズでサービス提供を受けるメリットは、「専門家の目による診断結果の再評価」と「顧客ごとにカスタマイズされた説明」にある。

　「ツール任せにせず、見落としがちなリスクを当社の専門人材が正しく読み解いて対策につなげる。これが当社のサービスにある価値です」（伊藤氏）

クラウド時代のセキュリティパートナー、日立ソリューションズの総合力でサポート

　日立ソリューションズは、長年培ってきた豊富な実績と深い専門知識に裏打ちされた信頼性が、多くの企業に高く評価されている。

　セキュリティ診断だけでなく幅広いセキュリティ製品やサービスを提供しており、クラウド診断をきっかけに次のステップとなる対策の相談にも柔軟に対応する。すでに他社製のセキュリティ製品を導入している企業からの相談も多く、それぞれの環境に応じたセキュリティ評価や改善提案を含めて現場の課題をトータルにサポートする体制が整っている。

　対応範囲の広さも強みだ。大手企業から地方自治体、公共機関まで業種や規模を問わず多数の支援実績を有する。マルチクラウドやハイブリッドクラウドといった複雑化する環境下でも、課題に的確に対応できる知見と体制を備えている。

　「セキュリティ対策はどこまですれば十分なのか」「適切な投資額の目安が分からない」といった漠然とした不安を抱える企業は多い。こうした悩みに対して青山氏は「私たちにご相談いただければ、お客さまの環境に適した対策を提案できます。クラウド活用における不安や疑問を一緒に乗り越えましょう」とエールを送る。

　ホワイトハッカーを中心とした専門人材が顧客のサービスに寄り添い、セキュリティの安心を支える。日立ソリューションズの総合力は、クラウド時代の心強いパートナーとして多くの企業にとって頼れる存在となるはずだ。

＊ Google Cloud Platform および関連するサービスは、 Google LLC の商標です。