数々の大規模イベントにおけるセキュリティ設計に携わってきた東海大学 情報通信学部教授の三角育生氏を迎え、企業にも通じる知見と教訓を伺いました。
デジタルトラストの構築に向けたPwCのアクション:クラウドファーストにともなう環境の変化とリスク管理・セキュリティ対策に求められること(AWS)
2021-04-12
デジタルトランスフォーメーション(DX)を推進するためには、クラウドの活用が不可欠です。しかし「クラウドを利用したいが、どのようなセキュリティ対策を講じればよいか分からない」という不安の声は少なくありません。これまでとは異なるアプローチが求められるクラウドのセキュリティをどのように実現し、DXを実現すべきか。アマゾンウェブサービスジャパンの瀧澤与一氏に、変化が激しいITシステム環境におけるクラウドセキュリティのあるべきアプローチを伺いました。(本文敬称略)
*本対談はPwC’s Digital Trust Forum 2021におけるセッションの内容を再編集したものです。
対談者
瀧澤 与一氏
アマゾンウェブサービスジャパン株式会社
技術統括本部 レディネス&テックソリューション本部
本部長/プリンシパルソリューションアーキテクト
辻 信行
PwCあらた有限責任監査法人 パートナー
(左から)辻 信行、瀧澤 与一氏
「責任共有モデル」でクラウドセキュリティを守る
辻:アマゾンウェブサービス(以下、AWS)はサービス開始から2021年で15年を迎えます。今や民間企業だけでなく、日本の中央省庁、さらには世界中の公共機関や教育機関が利用するクラウドサービスプラットフォームに成長していますね。
瀧澤:現在、ITシステムを取り巻く環境は大きく変化し、企業や公的機関はその変化に素早く対応することが求められています。その中で、もちろんセキュリティも担保しなければならないのですが、セキュリティやリスク管理においては安全性を第一に考えますから、変化に対して慎重な領域と見られがちです。そのため、セキュリティを強化すると俊敏性が犠牲になると考える方がいらっしゃるのも事実です。しかし、この考えはクラウドに当てはまりません。従来のオンプレミス環境と同等またはそれ以上の安全性と、即時のログ抽出や最新環境へのアップデートといった俊敏性と利便性を両立させられることが、クラウドがここまで普及している理由ではないでしょうか。
辻:AWSのセキュリティに対する考え方をあらためて教えていただけますか。
瀧澤:AWSのセキュリティは「責任共有モデル」をベースにしています。これは「セキュリティとコンプライアンスは、AWSとお客様の間で共有される責任である」との考え方に立脚しています。
分かりやすく言うと、AWSは「インフラストラクチャに対する保護」という範囲で責任を持ちます。AWSクラウドで提供される全てのサービスを実行するインフラストラクチャの保護に対して責任を負うのです。一方、お客様は、自身で選択したAWSクラウドのサービス内容に応じた責任を持っていただきます。データやアクセスの管理、さまざまなコンプライアンスや規制への対応などが挙げられます。
アマゾンウェブサービスジャパン株式会社 技術統括本部 レディネス&テックソリューション本部 本部長/プリンシパルソリューションアーキテクト 瀧澤 与一氏
出典:AWSの資料をもとにPwCが作成
PwCあらた有限責任監査法人 パートナー 辻 信行
「ゲート」よりも「ガードレール」が時代に適している
辻:かねてからAWSは、クラウドセキュリティの考え方を「ゲート」から「ガードレール」に切り替えるべきだと訴求していますよね。これはどのような意味なのでしょうか。
瀧澤:オンプレミス環境では、ITシステムの構築に時間と手間が掛かりました。そのため、システムにゲート(門)を設けてルールを作り、「門の中でルールを守っているかを監視する」というアプローチでセキュリティを確保していました。しかし、これでは「新しい環境を素早くセットアップしたい」という顧客の要求を満たすことはできません。
そこでガードレールの考え方が登場します。ガードレールは道路外への飛び出し防止を目的としたものですが、道路状況によっては追い越したりUターンしたりできる環境を提供していますよね。つまり「前提となる環境が変わる中、ガードレールを破らないというルールはあるが、その範囲内であれば、ある程度の自由度を許容する」というアプローチです。
辻:「ガードレールアプローチ」をクラウドに当てはめるとどうなるのでしょうか。
瀧澤:ユーザー企業は自社のクラウド運用ポリシーを設計し、そのポリシーに対して逸脱した運用がないかを監視し、適切にリスクをコントロールするということになります。
クラウドの最大の価値はビジネスの変化に応じてITシステムを柔軟に変更できることです。これは企業それぞれにとって最適なシステムを運用できるという点で非常に有用です。しかし、データの保存場所が変わったり、増えるユーザーごとにアクセス可能範囲を変えるといった細やかな対応が必要になったりすると、セキュリティ部門が全体をコントロールできなくなるリスクがあります。IT環境の変化に応じて継続的にポリシーを運用し、適切な管理を行うには、「自動化」と「可視性」、そして「コントロール」が重要です。自動化については後述しますが、変化を可視化して把握できるようになれば、リスクコントロールも効率化できます。
辻:なるほど。可視性とコントロールの話が出ましたが、クラウド環境下では、その方法も変わりますよね。オンプレミスの時代は完成したシステムをリスクベースで評価し、チェックリストを作成してセキュリティの状況を確認していました。しかし、ITシステムもそれを取り巻く環境も変化する状況では、チェックリスト自体も動的なものが求められますね。
瀧澤:おっしゃるとおりです。ゲートの内側で一律のルールを適用するのでは、時代の変化に対応することができません。「ルールに幅を持たせて自由度を与え、その中でリスクをコントロールする」という考え方が重要になります。
辻:お話を伺っていて、企業はセキュリティに留まらず、リスク管理の在り方をも変えなければいけない時代に来ていると痛感しました。とはいえ、オンプレミスからクラウドへの移行は一大決心であり、導入に保守的な企業もあるのではないでしょうか。
瀧澤:そうですね。ただ、クラウド活用によるビジネス変革は、現実に多くの企業で起きています。まずはクラウドの特性を理解し、クラウドを導入することで何が便利になるのか、現在のIT環境がどのように変化するかを見極めることから始める必要があります。この点が曖昧な状態でクラウドを運用すれば、リスクを増大させかねません。
適切なポリシー運用には自動化が不可欠
辻:先ほど「継続的なポリシー運用・管理には自動化が重要である」というお話がありました。その理由を教えていただけますか。
瀧澤:クラウドでもオンプレミスでもリスク管理の内容は変わりません。図表2は、ITシステムのリスク管理のサイクルです。脅威への対応を考え、重要なアプリケーションを特定の上でセキュアな環境で展開し、重要な問題に対して焦点を当てて運用効率を高め、継続的に監視と保護を実施するというサイクルです。
ただし、クラウドの場合はIT環境が常に変化しますから、このサイクルの回転を速めなければなりません。新たなアプリケーションを展開することは、新たな脆弱性が生まれることと同義です。変化が激しいIT環境と、そこに潜在するリスクをスピーディーに把握するためには、技術を導入し、リスクを自動的に検知・制御する仕組みをポリシー上で構築しないと、対応が間に合わないと言えます。
辻:具体的にはどのような手法で自動化するのでしょうか。
瀧澤:ポリシー管理の自動化では、脅威への対応条件やイベントに基づいて、自動的に実行される計画やプログラムされたアクションが求められます。そのカギとなるのがAPI(Application Programming Interface)です。APIを利用すれば、自社がクラウド上で利用しているアプリケーションを止めたり、アクセス管理の状況を変更したりといった作業を自動化できます。
もっとも、自社でこうした環境を構築するのが難しい場合には、クラウド事業者が提供しているセキュリティサービスを利用するのも一手です。大量のログを分析してアクションにつなげるといった作業をする場合にはAIが必要ですが、自社システムにAIを導入するには、それなりの投資とスキルが求められます。しかし、クラウド事業者が提供しているAIサービスを活用すれば、そうした手間やコストは必要ありません。
辻:さまざまなお客様とお話をする中で感じるのは、「日本企業はITリスク管理領域の自動化に慎重である」ことです。例えば、多くの外国企業はID棚卸を自動化していますが、日本企業ではリストを出力して確認しているケースが大半です。システムの変更管理やパラメータのチェックなど、自動化のメリットを享受できる作業は多くありますが、自動化という発想がまだ定着していないように思えます。
瀧澤:その傾向はあるかもしれません。オンプレミスのリスク管理は現状の手法でもよいと思います。一方、クラウドでは新しいサービスや機能を取り込めるので、積極的に利用していくほうが、結果的に作業効率がよいのです。
例えば、クラウド事業者の中にはオンプレミス環境のログをクラウドに取り込んで分析し、新たな知見を得るといったサービスを提供しています。オンプレミスとクラウドを融合させ、統一的に管理する手法も選択肢の1つです。オンプレミスでは自動化に限界がありますが、クラウドと連携させれば、運用負荷もリスクも低減できるのではないでしょうか。
出典:AWSの資料をもとにPwCが作成
クラウドは「競争」ではなく「協調」の場
辻:お話いただいたような自動化は、オンプレミスとクラウドのハイブリッド環境や、複数のクラウドを導入しているマルチクラウド環境でも可能でしょうか。
瀧澤:そこはトライ&エラーで検討し、改善を続けていくことが大切だと考えます。日本企業ではクラウドよりもオンプレミスの利用比率が高いですが、これはいずれ逆転するでしょう。そうした際には、新しいクラウド環境での効率的なポリシー管理やリスク低減の施策が求められます。企業のリスク管理部門はトライ&エラーを繰り返し、改善を重ねていくことが重要です。
そうした取り組みをしなければいけないのは、クラウド事業者も同じです。AWSはグローバルで数百万の顧客を擁しており、お客様の要望を聞きながらトライ&エラーを繰り返してサービスを拡充しています。その根底には「競争領域では各企業で競い合うが、ITインフラという共通化できる領域ではユーザー全員がプラクティスを出し合い、よりよいプラットフォームを運用していく」というクラウドシステムの本質とも言える考えがあります。
辻:クラウドを戦略的に活用することでよりよいITプラットフォームを確立でき、企業は自社の競争力を高める領域にフォーカスできるようになる、ということですね。
PwCあらた有限責任監査法人は2020年に、クラウド活用促進を目的としたコンソーシアム(APN Security Consortium Japan)を設立しました。同コンソーシアムのメンバーは、コンサルティング企業やシステムインテグレーター、セキュリティベンダーなどからなります。メンバーがそれぞれの知見を持ち寄り、会計監査やリスク管理、サービス品質保証(SLA: Service Level Agreement)の観点からクラウド活用のベストプラクティスを検討し、ナレッジの共有を目指したいと思っています。
瀧澤:クラウドは変化が激しい領域なので、企業が単独で知見を溜めようとしても限界があります。コモディティ化した部分は共通化するほうが効率がよいですよね。さまざまな立場のパートナー企業が、知見を出し合いながらリスク管理を改善していくというアプローチは、非常によいと思います。
辻:PwCあらたとしても同コンソーシアムの活動を盛り上げて企業や組織のDX推進に貢献し、クラウド活用の機運を高めていきたいと思います。本日はありがとうございました。
特別対談:デジタルトラストの構築に向けたPwCのアクション
20 results
Loading...
Financial Timesのサイバーセキュリティ担当記者ハンナ・マーフィー氏をお迎えし、日本とグローバルメディアのサイバーインシデント報道におけるスタンスの違いを掘り下げます。
日本マイクロソフトでCSOを務める河野 省二氏をお招きし、生成AIの普及が進む中での企業の責任範囲の明確化や、サプライチェーンにおける信頼性の可視化について意見を交わしました。
サイバー安全保障、AI、デジタル規制という3つの観点から見た複合的なリスクについて、PwCコンサルティング合同会社の上席執行役員パートナーである林 和洋が、英国の防衛企業BAEシステムズ社でGlobal CISO(グローバル最高情報セキュリティ責任者)を務めるメアリー・ヘイグ氏と議論を交わしました。
Loading...
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
数々の大規模イベントにおけるセキュリティ設計に携わってきた東海大学 情報通信学部教授の三角育生氏を迎え、企業にも通じる知見と教訓を伺いました。
最新の不正アクセス動向、脅威の特徴、そして求められる対応について解説します。
IDガバナンスとは、複雑化・多様化するIDの管理を適切に統制し、ガバナンスを強化するための重要な仕組みです。IDガバナンス管理が必要とされる背景、ID・アクセス管理との違いや導入に向けた取り組み方について解説します。
特権管理は、従来型の段階的取り組みに加え、拡張領域や新技術を計画的に取り込む視点が不可欠です。 まず現状の可視化とリスク評価を行い、特権管理の基本機能に沿った基盤的な統制を確立したうえで、高度化へと進めていくことが望まれます。
Loading...
