[Sponsored]
[IT Leaders Tech Strategy LIVE ゼロトラストへのシフトを急げ!]
クラウドセキュリティ強化と運用負荷の軽減〜セキュリティプラットフォーム Prisma Cloudとは
2021年8月19日(木)
国内でのクラウドシフトが進むなか、世界中でクラウドに関するセキュリティインシデントが多発している。包括的なクラウドセキュリティソリューション「Prisma Cloud(プリズマクラウド)」を提供するパロアルトネットワークス株式会社の横山耕典氏は、2021年7月28日にオンライン開催されたウェビナー『企業ネットワーク/セキュリティの新原則「ゼロトラスト」へのシフトを急げ!』(主催:インプレス IT Leaders)に登壇し、「この背景には、マルチ・ハイブリッドクラウド環境での統合管理、クラウドスキルを持ったセキュリティ人材の確保・育成、常にセキュアな状態の維持&監視といった複数の重要課題がある」と示唆した。
拡大する世界のクラウド市場 日本も急速な追い上げへ期待が
世界のクラウドサービス市場規模はCaaS(Containers as a Service)とPaaS(Platform as a Service)を筆頭に拡大の一途を辿っている。
パロアルトネットワークスが発行する「クラウド ネイティブ セキュリティ」レポートの、「複数のクラウドプラットフォームを利用している(94%)」「2〜5つのプラットフォームを利用している(60%)」などの数値を見ても、クラウド市場は「マルチクラウド運用」(複数のクラウドサービスを組み合わせた運用)が標準になりつつあることがわかる。
また同レポートでは、回答者の93%が「Virtual Machines(仮想マシン)」「コンテナ」「CaaS」「PaaS」の4タイプを「すべてを使用している」と回答。マルチコンピュートが標準的になっている事実も示されている。
「日本の民間企業・官公庁のクラウド利用率はまだ世界から遅れていますが、2021年中に予定するデジタル庁創設を皮切りに、国を挙げたデジタル化が盛んに進められていくと予測されます。もちろん国内のクラウドシフトも、さらに加速していくでしょう」(横山氏)。
拡大画像表示
クラウドのセキュリティ危機は急増の一途をたどっている
横山氏は、クラウドサービスプロバイダーが提供するパブリッククラウドに関する、セキュリティの実状を明かした。
「基本的に、パブリッククラウドのセキュリティは責任共有モデル。AWSのようなクラウドサービスプロバイダーのセキュリティに関する責任の範囲は基盤部分(ルーター、スイッチ、ハブ、ハイパーバイザ、データセンター等)のみに限られます。データ、仮想マシン、コンテナ、関数、ネットワーク、ユーザー&認証情報、リソース設定といった“クラウドの中身”に対しては企業(クラウドの顧客)が自己責任を負いますから、お客様ご自身でセキュリティ施策を行う必要があります」(横山氏)。
パブリッククラウドには、リーズナブルなコストで運用できる、インフラおよびアプリケーションの運用負担の軽減、さらにスケールアウトが容易といった大きなメリットがあるが、その一方で運用の不備による重大なセキュリティインシデントが続発している。たとえば米国通信大手のVerizon社が、加入者1400万人の個人情報を誰でもアクセス・ダウンロードできる状態で公開。別のケースでは、シカゴの有権者180万人あまりの個人情報を、一般にアクセスできる状態で露呈してしまったという。
「この他にも、単一の対応策では解決不可能なセキュリティインシデントが急増しています。2022年までに起こるクラウドでのセキュリティインシデントの95%は、人為的なものだとも言われています。日々のクラウドサービス運用の中で、継続的に課題の是正に向けた取り組みを行い、セキュリティホールをつぶしていく必要があります」(横山氏)。
拡大画像表示
クラウドセキュリティを強化する3つの重要ポイントとは?
横山氏は、より堅牢なクラウドセキュリティを確保する上で重要なポイントとして、下の3つの項目を挙げる。
①マルチ・ハイブリッドクラウド環境での統合管理
クラウドが、従来のオンプレミスとは大きく異なるアーキテクチャであることを認識したうえで、システム横断的なセキュリティ確保の設定や、ガイドライン策定、ユーザー管理等を可視化・制御・運用する必要がある。特に包括的なクラウドセキュリティは、原因・対策が環境ごとに異なるため、マルチ・ハイブリッドクラウド環境での統合管理が必須だ。
②クラウドのスキルを持つセキュリティ人材の確保・育成
総務省の推計によると、情報セキュリティ人材不足の規模は、2030年に最大20万人に達する。なかでもクラウドスキルを持つ人材が不足は深刻だ。これを補うために、専門的な知識がなくともガイドラインを参考に自社セキュリティ指針を策定できる、自動化ツール等のクラウドセキュリティ製品の導入は非常に有効だ。
③クラウド資産全体のセキュアな状態を維持・監視
クラウドへのシフト後には、「クラウドの構成情報の取得・監視」→「コンプライアンスに準拠した構成の維持・管理」→「クラウド資産へのアクセスログを収集」→「攻撃の兆候をAIなどで分析・検知」→「SOAR・SIEM等と連携したレスポンス体制の確立」といった一連の流れを確立。セキュアな状態の維持と監視を行う必要がある。
さらに横山氏は、これらの実現に必要な機能を提供する自社サービスに触れ、「システム管理者がプロジェクト全体を管理することができる当社提供の『Prisma Cloud統合管理ポータル』は、マルチクラウド環境でend-to-endの可視化を自動的にできる点が大きな特徴です。このポータルは、全体を管理するCSPM(Cloud Security Posture Management)、お客様の資産をお守りするCWPP(Cloud Workload Protection Platform)で構成され、さまざまな機能をワンストップかつ一元的にend-to-endでご提供します」と紹介した。
拡大画像表示
Prisma Cloudが実現するセキュアで低コストな運用体制
さらに横山氏は導入の目的ごとに、Prisma Cloudの利用メリットを、CSPMとCWPPのそれぞれについて紹介する。
CSPM(Cloud Security Posture Management)
●セキュリティ基準・コンプライアンス準拠が目的
Prisma Cloudは2021年3月時点で、合計72項目のセキュリティ・コンプライアンス基準(ISO27001、PCI DSS、CIS、GDPRなど)を自動監査できる。このため、クラウド設定に詳しくなくても安心して利用が可能。
●クラウドの統合セキュリティ基盤を構築したい
Prisma Cloudは、5つのクラウドプラットフォームに対応。そのベンダー自身よりも多くのAPIに対応した、マルチクラウドセキュリティ基盤を提供している。このため個別契約環境であっても、セキュリティ部門がクラウド環境を一括監査できるようになる。
●セキュリティの運用を自動化したい
Prisma Cloudは、700以上のポリシーを標準で実装し、毎月新しいサービスに対応したポリシーも追加実装される。また、ポリシーは自由にカスタマイズが可能。クラウドのセキュリティ運用を自動化することで、人に依存しない高い監査品質を担保できる。
CWPP(Cloud Workload Protection Platform)
●セキュリティ部門によるコンテナセキュリティの導入
CWPPはコンテナ間の通信も、コンテナ内の脆弱性やコンプライアンス対応状況も可視化可能(Defenderを入れればHostやServerlessも可視化可能)。コンテナ環境にも通常のサーバ環境と同様のセキュリティ可視性・対処性を提供する。
●開発系部門によるコンテナセキュリティの導入
CWPPはplug-inやcommand lineツールなどでCI/CDツールと連携が可能。セキュリティを高めるだけでなく、開発部門の作業負荷も大きく削減できる。
●コンテナ数が増えすぎてしまった
CWPPはリスク検出だけでなく、「モデル化」による管理ポリシーの自動生成が可能。拡張が続く環境でも、自動制御によって管理者の負担を極小化した管理・保護が実現する。
最後に横山氏は、「Prisma Cloudは、安全で高信頼・低負荷のクラウドネイティブセキュリティです。CSPMとCWPPの2本柱に加え、CNS(クラウドネットワークセキュリティ)とCIEM(クラウドインフラ資格管理)という新たな特徴も加わりました。個別訪問、デモ等によるご説明にもご対応しますので、ぜひ導入をご検討ください」と呼びかけ、セッションを終了した。
拡大画像表示
●お問い合わせ先
パロアルトネットワークス株式会社
- セキュリティのみに注力するなかれ〜利便性を犠牲にしないゼロトラスト導入法とは(2021/09/07)
- 最新の攻撃からデータ侵害を防ぐ、平時からのサイバーセキュリティ対策と運用──いざという時に即時の守りを可能にする4ステップとは?(2021/08/16)
- 境界型対策とのハイブリッドがゼロトラストの現実解、“境界制御+SDP”サービスの実力とは(2021/08/13)