Office 365などのSaaS型クラウドサービスを活用するユーザー企業が増えている。こうした中で、クラウドを採用する上でのセキュリティ上の課題も明らかになってきた。オンプレミスからクラウドに移行するとセキュリティ境界が変わるため、クラウド側にセキュリティ機能を実装する必要がある。SIベンダーのユニアデックスは、CASBやIDaaSなど、マルチベンダーのクラウドセキュリティサービスを用いて、ユーザー企業の安全なクラウド利用を支援している。
クラウドの利用が当たり前になり
新たなセキュリティが求められている
「Office 365などのクラウドサービスの活用が当たり前になり、セキュリティの境界がオンプレミスのファイアウォールやプロキシからクラウドへと移りつつあります。こうした変化への過渡期を支える製品・サービスとして、CASB、IDaaS、CloudProxy、SD-WANなどに関心を寄せる企業がにわかに増えていますね」──。
ユニアデックス ビジネス企画推進本部 ビジネスソリューション企画部 サービスプラットフォーム企画室 セキュリティー課長 森駿氏ITインフラのシステム構築を担うユニアデックスの森駿氏(ビジネス企画推進本部 ビジネスソリューション企画部 サービスプラットフォーム企画室 セキュリティー課長)は、クラウド時代になって変わるITインフラの姿と、これを支えるセキュリティ製品群についての最新の動きを、こう説明する。
現在、多くの企業が、これまでオンプレミス環境で動作させていた業務システムを、クラウド環境へと移している。サーバーやストレージなどのIT基盤だけでなく、例えばOffice 365など、日常の業務を支えるアプリケーションソフトについてもSaaS(Software as a Service)を活用する動きに弾みが付いているのは周知の通りだ。
業務システムのクラウドシフトが活況となる中で、クラウドならではのセキュリティ上の課題もまた顕在化してきた。「クラウドを使い始めてから気が付く課題が多々あります。特に、業務アプリケーションの利用環境を提供するSaaSは、インフラを提供するIaaSと比べて安全かどうかが見えにくいと、多くのユーザー企業の担当者が頭を悩ませているようです」(森氏)。
安全なクラウドサービスを選ぶことと
選んだクラウドを安全に使うことが大切に
クラウド環境におけるセキュリティ上の課題は2つある、と森氏は言う。課題の1つは、システムがブラックボックスとなっており、安全かどうかを評価しにくいこと。もう1つの課題は、クラウドを利用するエンドユーザーが機密データを比較的簡単に持ち出しやすいことである。
「安全なサービスを選ぶことと、安全な行動をとること。この2つが保たれていなければなりません」と森氏。また、クラウドにデータを預ければ安全だと思っているユーザーが多いが、「オンプレミスと同様にクラウドでもセキュリティの確保は極めて重要」(同)である。
クラウド時代には、オンプレミスとクラウドサービス間の通信トラフィックよりも、クラウドサービス同士の通信トラフィックの方が大きくなる。例えば、Office 365からBoxにファイルをコピーするといったケースである。こうしたクラウド間連携を安全に運用するためには、クラウド側でセキュリティを確保する必要がある。
従来は、オンプレミスに設置したファイアウォールがセキュリティの境界となって、社内LANとインターネットを分断し、社内のデータやユーザーを守ってきた。今後、ユーザー企業がクラウドサービスを利用するようになると、セキュリティの境界がクラウド側へと移ることになる。
図1 昨今はセキュリティの境界がクラウド側へと移っている拡大画像表示
セキュリティの境界が変わるのに合わせて、企業のセキュリティポリシーも変更する必要があると森氏は指摘する。「セキュリティ要件は変わらないのですが、セキュリティを適用する場所がクラウドへと拡大することで、セキュリティポリシーもまた適正に変更しなければならないのです」(森氏)。
セキュリティ境界はオンプレからクラウドへ
クラウド直アクセス時代に社内LANは不要
クラウド時代のセキュリティのあり方として森氏は、「ITインフラのグランドデザインを見直すべき時期が到来したのではないでしょうか」と提案する。現在はファイアウォールやプロキシサーバーが社内LANとインターネットを分断しているが、セキュリティ境界がクラウド側に移ることに合わせて、それらの機能もクラウド側に置くのが理にかなうようになってきた、といったことが背景にある。
「究極的には、デバイスとクラウドと回線だけになることが予見できます。社内LANは行く行くは消滅するのではないでしょうか」と森氏は指摘した上で、「5G(第5世代携帯電話)時代には、社内LANにつなぐよりも直にクラウドにつないだほうが快適に使えるはずです」と続ける。
このように、個々のパソコンやプリンタなどのデバイスにデータ通信SIMを刺して、社内LANを介することなく直接クラウド上のSaaSにアクセスするやり方を、ユニアデックスは「ダイレクトクラウドアクセス」と呼んでいる。
図2 IT基盤は各デバイスからクラウドに直結するアーキテクチャへと変化していく拡大画像表示
ユニアデックスの顧客であるユーザー企業においても、情報システム部門の多くは、クラウドダイレクトアクセスと同様のシステムアーキテクチャを次代の理想像として描いているという。「あるユーザーは、データは基本的にクラウドに保管し、必要に応じて“社内へとデータを持ち出す”という考え方を貫いています。このことからも分かるように、もはや『クラウドが正系で社内が副系』という位置付けに世の中が変化しているのです」(森氏)。
