「オンプレ規定をクラウドに適用」はもうやめませんか 「実行責任」「説明責任」を押さえた“正しい運用”のポイント 識者に聞く：“真のクラウド活用”を軌道に乗せる

日本を覆う閉塞（へいそく）感は、ITの力で打ち破れるはずだ。しかし、クラウドやAIなどによって高度化するITの最前線を追い掛け続けることは容易ではない。脅威からビジネスを守りつつ“攻め”に転じるのも一筋縄ではいかないのが現実だ。企業は「サイバーセキュリティ」を味方に付けられるのか。若手エンジニアが、企業の現在地とセキュリティの最前線を知る有識者を取材する。

PR／ITmedia

PR

　クラウドの利点や活用方法は語られ尽くされたかに見える。しかし、それらの議論はオンプレミス時代の経験に引っ張られていないだろうか。“クラウドネイティブ世代”のエンジニアには違う風景が見えているようだ。

「学生時代からクラウドサーバを活用してITシステムを開発していたこともあり、私にとってクラウドはごく身近な存在です。しかし、お客さまと会話していると多くの方が『クラウドへの不透明感』や『境界防御を前提としたセキュリティ設計思想』を強く持たれていて、その認識には大きなギャップを感じます」――情報処理推進機構（IPA）から「未踏スーパークリエータ」に認定されたエンジニア、大峠和基氏はこう話す。

大峠氏の指摘は、クラウドの価値そのものに直結する。ITインフラを迅速に整備してビジネスを加速し、競争力を高めることがクラウド活用の大きな目的の一つだ。ところがオンプレミスの感覚でクラウドの要件を定義し、セキュリティを追求しすぎると、クラウドのメリットを十分に享受できなくなる恐れがある。

　クラウド時代に、企業はITインフラやセキュリティにどのように向き合えばいいのか。この疑問の答えを探るべく大峠氏が尋ねたのは、クラウドセキュリティの入門書『AWSではじめるクラウドセキュリティ』を著した畠中亮氏だ。事業会社やクラウドベンダーを渡り歩いてきた畠中氏への取材を通してクラウド活用のポイントを探る。

畠中亮氏（左）を、大峠和基氏（右）が取材した

「クラウド利用を考慮し切れていない」　活用の壁はどこか

　かつてのITシステム開発は、要件定義、設計、構築といった手順を順に踏むウオーターフォール型が主流だった。ITシステムのリリースまで一直線に進むことになり、ビジネス展開を素早く柔軟に支える上で限界が見えていた。セキュリティ機能の組み込みも同様で、一度実装された機能を見直す機会は、システム更改まで基本的に訪れない。

　クラウドの登場以降、その価値を最大限に引き出す手法としてアジャイル開発が支持されるようになった。小さな単位で ITシステムをリリースし、アップデートを繰り返すことで、継続的に品質と機能を向上させられる。「クラウドとアジャイル開発を併用すれば、少しずつ投資しながら軌道修正を重ね、お客さまに価値を迅速に提供できます」と大峠氏は述べる。

畠中亮氏。外資ITベンダー、事業会社、クラウドベンダーを経て、2023年から官庁に所属しクラウド移行推進やガバナンス強化を担当。効果的なクラウド活用と有効なセキュリティ対策を実現するための情報を発信している

　大峠氏にクラウド活用におけるセキュリティ課題を問われた畠中氏は、クラウドとアジャイル開発の親和性こそが現代におけるビジネスの鍵であることに同意しつつも、クラウドセキュリティ特有の論点を的確に把握することが重要だと説明する。クラウドベンダー在籍時に顧客のセキュリティコンサルティングを担っていた経験から次のように語る。

　「例えば、企業がこれまで使っていたオンプレミスのITシステムのセキュリティ標準は、クラウド利用を考慮していません。そのままクラウドに当てはめようとすると、クラウドのセキュリティ機能について従来の発想で検討を始めてしまい、クラウドが持つ迅速性や拡張性といった長所を生かし切れなくなってしまいます。そこで私は、自社のセキュリティ標準について、クラウド活用を想定し、要件の要否と実装方法を見直すようアドバイスしてきました」

　これまで使ってきたセキュリティポリシーを否定するのではなく、クラウド時代に合わせてポリシーや開発体制、組織そのものもアップデートが必要だという点で2人の意見は一致する。

「取り急ぎオンプレミスのルールを持ってくる」の反省

Cloudbaseの大峠和基氏（テクノロジー本部 プロダクトマネージャー）。1996年生まれ。YouTube向け動画を自動生成するAIを開発して起業した実績が評価され、IPAから未踏スーパークリエータに認定される

　セキュリティインシデントの報道が相次ぐ中、経営層にもセキュリティの重要性が浸透しつつあると語る大峠氏。同氏は「クラウドで何を達成したいか（Goal）は明確でも、それをどのような道筋で実現するか（Way）に課題を抱える企業が多いようです」と指摘する。

　理想的なアプローチは、クラウドの利用範囲を絞り込みつつ、クラウドにおける脅威シナリオを踏まえてセキュリティ対応策を練る流れだ。ところが、道筋を見通せない企業は、論点を整理しないまま「とりあえずオンプレミス時代のルールを持ち込もう」という流れになりやすい。また、「クラウドはセキュリティリスクが高い」と一義的に判断する企業の中には、クラウドの新サービスや追加機能一つ一つに対してリスク評価をし、完了するまでは利用を禁止するケースもある。本来は、開発や運用といった利用局面や具体的なユースケースを踏まえて利用の可否を判断すべきだ、と畠中氏は説明する。

　クラウドリスクを網羅的に把握・評価しようとした結果、対象が膨大になり開発が停滞してしまった企業があったと紹介する大峠氏。セキュリティスタートアップのCloudbaseで製品統括を務める立場から、顧客には「すべてのリスクをゼロにしようとするのではなく、脅威レベルを基準に優先度と費用対効果の高いものから着手すべきだ」と助言するという。検討対象の範囲を絞ることで議論を深めやすくなり、より効果的な対策につながるからだ。

　畠中氏は「データの機密度や想定されるリスクの程度を見極めながら、頭ごなしに利用を禁じるのではなく、“どう使うか”を工夫することが大切です。たとえば開発環境や検証環境、本番環境ではリスクの受容度が異なります。アクセス権限の範囲や点検方法もそれぞれに応じて変えるべきでしょう」と応えた。

責任共有モデルが責任の所在をあやふやに？　押さえておきたい「実行責任」と「説明責任」

　クラウドセキュリティに取り組む上で、よく参照されるのが「責任共有モデル」だ。クラウドの利用に際し、クラウド事業者と利用者がそれぞれの立場でセキュリティの責任を分担するという考え方である。主にクラウドサービスの提供基盤に関する責任はクラウド事業者が負い、その上で動くアプリケーションやソフトウェア、データなどの保護は利用者が責任を持つ。大峠氏は、このモデルについて畠中氏の見解を求めた。

責任共有モデルの概要（提供：Cloudbase）

　畠中氏は、責任共有モデルがクラウド利用に関する多くのガイドラインで必ず取り上げられているとした上で、利用者にもセキュリティ対応の責任があることをクラウド事業者が明示するために設計されたモデルだと説明。ただ、「『共有』という言葉が、かえって責任の所在をあいまいにしている可能性があります」と指摘する。同氏が提案するのは、セキュリティ対策における責任を「実行責任」と「説明責任」に分けて整理する視点だ。実行責任は実際に対策を講じる責任、説明責任はステークホルダーに対応内容や責務を説明する責任を指す。

　「大前提として、この責任共有モデルで示されるクラウド事業者の責任範囲について『利用者は関知しなくてよい』と解釈してはなりません。確かに、クラウドサービスの提供部分に関する“実行責任”はクラウド事業者が担いますが、利用者には“説明責任”をどう果たすかが問われます。『A社のクラウドだから安全です』では不十分であり、『この評価基準で検討し、監査レポートなどを確認した上でA社のクラウドを選びました』と説明できるようにしなければなりません」（畠中氏）

　説明責任を果たす上で、利用者の“実行責任”もなおざりにはできない。利用者＝企業が担うべきセキュリティ対策の領域について、「予防的統制」と「発見的統制」に大別できると畠中氏は語る。前者は脅威を未然に防ぐための防御、後者は脅威の検知やインシデント発生後の対応に関わるものである。予防的統制の比重を過度に高めるとビジネスの柔軟性やスピードを損ないかねないため、発見的統制とのバランスを調整することが肝要だ。

　適切な発見的統制の実現にはクラウド環境の監視、運用体制が欠かせない。大峠氏が携わっている国産セキュリティツール「Cloudbase」を使えば、クラウド環境を網羅的に監視して設定の不備やリスクを検出することが可能だ。さらに、対応すべき優先順位と対処法を自然言語で提示してくれる。「発見的統制をITツールに任せられれば、お客さまはビジネス推進に注力できます。そんな世界観を実現したいのです」（大峠氏）

　「説明責任と異なり、実行責任の範囲はベンダーにアウトソースできますが、セキュリティは自組織において“運用”されなければ意味を成しません。ツールの活用、プロセスの整備、監視と運用――こうした発見的統制を軌道に乗せるためには、ベンダーにお任せするだけではなく、自組織の体制を整えながら組織文化そのものを変え、セキュリティの意識を全社的に芽生えさせることにも取り組んでほしいと願っています」（畠中氏）

クラウドセキュリティ対策に成功している企業の特徴は

　では、クラウドセキュリティ対策に成功している企業にはどのような共通点があるのだろうか。大峠氏が顧客を支援する中で、アプリケーションを開発・運用する事業部とセキュリティ部門の関係性が、クラウドセキュリティ対策の進めやすさを大きく左右していると感じる場面が多いという。

　畠中氏は「CCoE（Cloud Center of Excellence）が存在する企業は成功しやすい傾向にあります」と答える。クラウドの導入や活用を推進するチームがあり、そこにセキュリティが分かる人材を含めることでスムーズな対策につながるからだ。セキュリティ専門の人間だけでは過度なセキュリティ対策になりがちで、逆に事業部門の人間だけではセキュリティの勘所を押さえることが難しい。クラウドを活用してビジネスを推進するという明確なミッションを持つ人間や部署と連携しながら、セキュリティを組み込んでいくことがポイントだと畠中氏はアドバイスする。

　「組織体制を整えた上で、クラウドセキュリティの運用を既存プロセスに組み込むことも重要です。運用をガラリと変えると混乱してしまうので、従来の運用プロセスをベースに、効率化を図りながらクラウド利用に最適化するかが成否の分け目と言えるでしょう。例えば多くの企業がシステムごとのセキュリティ対策状況をチェックリストで点検していますが、クラウド環境に移行したからといって、これを省略してよいということにはなりません。むしろ、クラウド環境はその特性上、点検の効率化と精度の向上を期待できます。背景が不明確な項目や対応優先度が判断できないチェック内容は取り除くべきですが、手作業に頼らない点検の自動化を進めること。そして、日常的に点検の目的や意図を現場に伝えることが、実効性のある運用を築く上で重要です」（畠中氏）

　「チェックリストだけが形式的に残ったまま運用を続けていると、いずれ限界が訪れます。ビジネス推進という目的を関係者の間で共有した上で、メリハリのある対策内容とその意図まで共通認識を持てるのが理想です。Cloudbaseのダッシュボードは、セキュリティ部門に加え、事業部門、インフラ部門、運用部門、CCoEなどにも閲覧権限を付与できます。関係者全員が『クラウドをどう使おうとしているのか』『どのような課題があるのか』を正しく把握でき、建設的なセキュリティ対策へつなげられるはずです。セキュリティ部門だけが実務を背負ったり、事業部がチェックリストの消化に追われたりするのではなく、ビジネスに関わる全ての人が共に考える体制を実現したいのです」（大峠氏）

　取材の最後に、畠中氏は次のように話した。

　「クラウドのサービスや機能に関する説明は多く出回っていますが、それらをどう実装して安全に運用すべきかという視点の情報はまだまだ不足しています。専門家だけが理解できる内容ではなく、経営層や事業部門のメンバーも理解し、説明責任を果たせるような情報や仕組みが求められます。セキュリティ企業にも、そこをサポートしてほしいですね」

　大峠氏は「畠中さんのご指摘は大変勉強になりましたし、私たちが抱いていた『セキュリティとビジネスの成長はトレードオフではない』という信念が誤りでなかったと確信できました。具体的なセキュリティ施策については、私たちセキュリティベンダーが責任を持って実行いたしますので、皆さまには『クラウドをどう活用するか』『それによってビジネスをどう強化するか』に全力を注いでいただきたいです」と述べて取材を締めくくった。

国産クラウドセキュリティツール「Cloudbase」でできること

　大峠氏が携わっている「Cloudbase」は、純国産クラウドセキュリティツールだ。クラウド環境を監視して設定ミスや脆弱性などのリスクを検出・評価し、対策を提示する。日本企業にとっての使いやすさを第一に考えており、セキュリティの専門家でなくとも「リスクの解決」「適切な運用」「工数の削減」を実現できる。

　出光興産やスズキ、中外製薬、NOKなどの企業が導入している。分かりやすい操作でリスクを解消できるCloudbaseはクラウド活用を後押しする存在になると同時に、セキュリティ人材の不足という課題の解決策にもなるだろう。