クラウドセキュリティ‐デジタルトランスフォーメーションの実現に必要な新たな手法‐

川本 大亮

川本 大亮(監修者)

PwCあらた有限責任監査法人 ディレクター

ITに関するアシュアランスおよびアドバイザリーサービスを日系・外資系企業に提供しており、内部監査、外部監査、US/J-SOXプロジェクト、セキュリティ評価、第三者に対する保証と意見表明サービスにおける、ITリスクの発見・評価の経験を豊富に有する。近年はクラウド利用者・事業者向けのクラウドセキュリティ監査、クラウドリスク評価アドバイザリ、サイバーセキュリティアセスメントなどを多数経験している。


饒村 吉晴

饒村 吉晴(執筆者)

PwCあらた有限責任監査法人 シニアマネージャー

システム開発、コンサルティングファーム、起業、大手グローバルITベンダーを経て現職。金融/公共/製造/サービス業を中心に、経営管理、内部統制、サイバーセキュリティの分野でコンサルティングやプロジェクト管理の実績多数。事業戦略からビジネス開発の上流分野も得意領域。近年はクラウド、AI、FinTechなどにおける戦略立案や基準策定の業務に従事し、同領域における講演、寄稿、執筆の活動も多数。

あらゆる産業にデジタルトランスフォーメーション(DX)の波が押し寄せ、ビジネスモデルも従来の直線的なバリューチェーン型から、デジタルの活用によるクロスボーダー型へと変容している。価値創造は双方向かつ継続的にスケール拡大されるため、そのワークロードを支えるクラウドの利用が急速に拡大しつつある。こうした状況下でクラウドのリスク管理の取り組みにも変革が求められており、ここではビジネスモデルの変化にも対応したクラウドセキュリティの新たな手法について紹介していく。

クラウドの適用領域に応じた対応

そもそもシステムの目的にはSoR(System of Record)とSoE(System of Engagement)の二つがあり、「バイモーダルIT」とも呼ばれる。SoRは「記録のシステム」で内部プロセスのデジタル化によりインプルーブメントを追求することを目的とし、SoEは「つながりのシステム」で外部サービスの連携により新たなイノベーションを生み出すことを目的としている。

クラウドの適用領域が下図の右上(SoR & SoE)に広がる中、クラウドのリスク管理においては、一律にコントロールベースで評価するのではなく、システムの特性と複雑性を踏まえてリスクベースで必要な対応を効率的かつ効果的に検討し対応することが費用対効果の高い有効なアプローチである。

また、クラウドはビジネスの成長に応じてサービスや構成をアップデートしていくため、随時変化するサービスや構成に対してコントロールベースの標準的なアプローチでは不十分となる場合が多く、想定し得るリスクに迅速かつ柔軟に対応することが不可欠である。

リスクベースアプローチに加えて、二つのトレンドを紹介する。一つ目は、情報セキュリティの三要素「CIA」に関することである。C(Confidentiality:機密性)、I(Integrity:完全性)、A(Availability:可用性)の順で重要性に基づき表記されるのが一般的だが、セキュリティに関連した国際的な団体などの文書では「AIC」と表現されるケースが増えており、可用性や完全性が重視される傾向が強い。これは、DXによるビジネスモデルがエコシステムによりつながる仕組みであるため継続性が求められ、さらにデジタルによるスマートライフやスマートヘルスケア、スマートカーにおいては可用性や完全性が人命と安全に関わるためだ。当然、クラウドセキュリティにおいてもこうした考えを検討する必要がある。二つ目は、このAICの検討対象である。従来のオンプレミスでは、「情報」と「情報システム」を対象としていた。一方クラウドは、「情報」を対象とすることは同じだが、抽象化された論理的なサービスでありハードウェアやネットワークといった物理的な情報システムではないため、クラウドが適用される「業務」を対象とすることが望ましい。

クラウドの適用領域となる「情報」や「業務」をAIC(可用性/完全性/機密性)の視点から重み付けを行い、その重要度とリスクに応じたリスクベースアプローチにより対応を行うことが有効だと言える。

クラウドの適用領域に応じた対応

責任共有モデルの領域に応じたユーザーの対応

リスクベースアプローチにおいて、責任共有モデルの領域に応じたユーザーの対応(下図)も重要なポイントとなる。

Iのクラウド事業者が管理する領域では、クラウド事業者の内部統制を認証や外部監査で保証するが、ユーザーがその認証や外部監査の内容を理解した上で、リスクに対して足りないコントロールを必要に応じて追加で考えなければならない。

IIのクラウドサービスで管理する領域では、クラウドサービスの特性に応じたセキュリティについて検討する必要がある。昨今、ストレージ型のマネージドサービスにおけるアクセス制御や通信の設定・対策漏れによるセキュリティインシデントが増加傾向にあり、特にクラウドで意識すべきポイントだ。

IIIのクラウドサービスに関係しない領域では、オンプレミスの技術で構築した領域を、オンプレミス環境と同様にセキュリティについて検討しなければならない。その検討に際して、IとIIとIIIのオーケストレーションも重要である。例えば、Iのリージョン(クラウドサービスを配置する世界の各地域)やアベイラビリティゾーン(リージョン内のデータセンター)で災害などによりサービス停止が発生した場合、I・II・IIIをオーケストレーションさせてRPO(目標復旧時点)やRTO(目標復旧時間)についてどう実現するのか。もしくは、IIのコンピューティングサービス上にIIIのオンプレミス環境と同様のOSやアプリケーションが配置されている場合、IIのコンピューティングサービスのオートスケール(自動伸縮機能)によってスケールイン(縮小)した時に、通常であれば消滅してしまうOSやアプリケーションのログをどう保全するかなどということである。

最後に、クラウドでは容易にサービスを利用できることから、オンプレミスの静的な環境(一度構築、設定したら変更があまり発生しない)と比較して、動的(サービスの構成、設定共に変更可能)な環境であると言える。一度評価した構成と設定がユーザーによって変更されたり、クラウド事業者のサービスリリースによって構成や設定がアップデートされるため、設定変更に対する管理態勢や、クラウドの構成と設定への定期的な評価が重要である。

リスクベースアプローチにおいて、責任共有モデルの領域に応じたユーザーの対応