クラウドサービスが普及して、組織のシステム管理、セキュリティ管理のあり方は大きく変わりました。クラウドサービスが普及する前は、データセンターにあるオンプレミスのサーバ中心の世界であり、組織は社内のネットワークにあるシステムを自前で調達、管理し、外部との接合部分にはファイアウォールなどを設置し、外部からの攻撃に対して、監視、防御などの対策をとってきました。以前は社内のネットワークさえなく、メインのコンピュータが単独で稼働していたため、ネットワークを経由して他のコンピュータや外部からサイバー攻撃を受ける心配はなく、セキュリティ対策に時間や費用をあまりかけることさえ、ありませんでした。

　しかし、仮想サーバなどの技術が発達し、大きな初期投資をすることなく、安価で早く信頼できるサービスが提供できるようになるとクラウドサービスは広く利用されるようになりました。今や、大規模企業や官公庁でさえ、クラウドサービスを広く利用するようになり、官公庁ではクラウドバイデフォルトの方針に基づき、まず、クラウドサービスで調達すること原則としています。また、クラウドサービスはスタートアップなど、小規模企業の経営に大きな影響を与えました。以前は、優れた業務システムを一式調達しようとすると、ハードウェアを購入し、システムを導入するための多額の初期投資が必要になり、システムを運用、管理するための人材も雇う必要があるため、多額の資本を調達しないとできず、その初期費用を回収し、維持していくためには一定規模の収益が必要でした。ところが、クラウドサービスは、利用した量に応じて費用を払えば良いので、多額の初期投資は必要とせず、維持費用も収益が少ないうちは少なくてすみます。この変化によって、小規模企業も大規模企業と同様の優れた業務システムなどを利用することが可能となり、新しいビジネスチャンスが広がったと言えます。

　このように、クラウドサービスは、早い、安い、信頼できるという点では非常に良いのですが、組織の情報資産を守るというセキュリティの観点からすると、情報資産が物理的に組織の外に広がり、インターネットからいつでもアクセス可能なため、情報漏えいの脅威は高まり、常に情報漏えいのリスクに晒されるチャレンジングな時代になったとも言えます。私が前に勤務していた組織では、社内ネットワーク、PCなどの運用管理費用に１億円かけていたのに対し、セキュリティの監視費用にほぼ同額の１億円をかけていました。どの企業のシステム担当者もこのような環境の変化に直面し、どのようにセキュリティ対策を万全なものにすべきか、日々悩んで格闘されているものと思います。私もその中の一人ではありますが、私のそのような経験より学んだことをここで共有することにより、皆様のお役に立つことができれば幸いです。

　なお、ここでは、クラウドサービス固有または単独で発生するリスクは取り上げません。そのようなリスクに対する対策は、種々のセキュリティ対策ガイドラインで取り上げられているので、それらのガイドラインを参照していただきたいと思います。ここでは、オンプレミスのシステムとクラウドサービスを利用しているハイブリッドクラウド環境または複数のクラウドサービスのみを利用しているマルチクラウド環境において、包括的セキュリティ対策をどのように行うべきかにフォーカスを当てています。また、この中で、リモートワーク、BYOD管理のあり方についてもフォーカスを当てています。

​

　　　　　　　　　　　　　　　　　　　　　　　　　　　目次

 

1.    クラウドサービスの広がりがもたらす劇的変化

(1)初期投資なしでも比較的簡単に利用できる

(2)システムは組織の中から外へ

(3)消えた地理的、物理的制約

(4)組織の情報を守るのがより難しくなった

(5)システムベースの管理からユーザベースの管理へ

 

2. ユーザ起点の一元的監視を行う

(1)総合的な監視ができるXDRを導入する

(2)自動監視による検知・アラート・ブロック

(3)エンドポイントの脆弱性管理

(4)メールの監視（メールとコラボレーション）

(5)クラウドサービスの監視

(6)監査ログの活用

(7)検知・ブロックに関するポリシーの設定

 

3. 接続できる端末を制限する

(1)条件付きアクセスポリシーによって接続できる端末、場所などを制限する

(2)SSOによりアクセス管理を一元化し、制限できる対象のクラウドサービスを拡大する

(3)利用するクラウドサービスの審査厳格化

 

4.接続端末の管理

(1)組織の接続端末を管理する

(2)BYODを認める場合は、組織データを保護する対策を行う