つぎはぎされた「フランケンクラウド」モデルは最大のセキュリティーリスクなのか

本稿の著者Howard Boville(ハワード・ボビル)氏は、IBM Hybrid Cloud(ハイブリッド・クラウド)の上級副社長。19カ国および6地域18対応ゾーンにまたがる60以上のデータセンターによるIBMのグローバルネットワークを統括している。

ーーー

先日、米国上院議会で行われたSolarWinds(ソーラーウィンズ)への大規模な攻撃に関する証言に、目が覚める思いをした人が大勢いた。この証言から、公共のクラウドはハイブリッドクラウドのアプローチよりも安全なのかという議論が浮上してきたように私は感じた。

だがそこでは、どちらのクラウドアプローチがより安全かではなく、セキュリティをデザインすべきはどちらかを中心に話し合うのが肝心だ。企業向け技術のプロバイダーである私たちは、現代のシステムの使われ方に合わせてセキュリティをデザインする必要がある。コンピューティングモデルごとに決められた安全対策に顧客のほうを押し込めるようであってはならない。

SolarWindsへの攻撃を許したのは、多くの技術ベンダーが依存する広範で複雑に入り乱れたサプライチェーンが原因だった。それは、コードのサプライチェーンをいかにして守るかという基本的な教訓をもたらしたが、とりわけ重要なのは複雑性こそセキュリティの敵という教訓だ。

フランケンクラウド・モデル

私たちの情報技術環境は、私が「フランケンシュタイン」アプローチと呼ぶかたちに進化してきている。企業は、SoRを維持しながらクラウドの利便性にありつこうと飛びついた。フランケンシュタインが作り出されたときと似て、極めて複雑で、スタンドアローンの部分もつぎはぎされている。

各社のセキュリティ部門は、この複雑性を最大の課題の1つと考えている。何十もの技術ベンダーやスタンドアローンのセキュリティソフトに依頼するよう強いられている平均的なセキュリティ部門は、平均して最大10社のベンダーから供給される25〜49のツールを使わされている。このスタンドアローンの部分は、もはやどうしても避けられない死角になっている。セキュリティシステムは断片の寄せ集めであってはならない。企業向けのセキュリティは、脅威への総合的視野を持ち複雑性を軽減するたった1つの管理点に立って、デザインする必要がある。

ハイブリッドクラウドによる改革

政府機関の他、公共団体および民間企業において、ハイブリッドクラウド環境が有力な技術設計点として浮上し始めている。事実、Forrester Research(フォレスター・リサーチ)の最近の調査では、技術的な意思決定を行う人の85パーセントが、それぞれのハイブリッドクラウド戦略にはオンプレミス(内部設置)インフラが欠かせないと答えていることがわかった。

ハイブリッドクラウドモデルとは、企業に今ある内部システムの一部を、公共のクラウド資源とサービスとしての資源とを混合したものに結合させ、1つのシステムとして扱うというものだ。

これが、セキュリティにどれほど貢献するか?スタンドアローン環境では、クラウド環境への浸入口としてサイバー犯罪者が最もよく使うのが、クラウドベースのアプリケーションだ。我々のIBM X-Force(エックスフォース)チームの分析によれば、クラウド関連事件の45パーセントがそれだった。

例えば会社のクラウドベースのシステムが、権限のある人間によるシステムへのアクセスの認証を管理していたとしよう。深夜、ある従業員のデバイスからのログインが検知される。同時に、同じデバイスから、おそらく異なる時間帯に、社内の業務データセンターにある機密情報へのアクセスが試みられたことが判明する。統合されたセキュリティシステムなら、この行動パターンに危険を感じて監視すべきだと判断し、自動的にこの2つの行為に歯止めをかける。もしこの事件が2つの別々のシステムで検知されていたなら、予防措置がとられることはなく、データは盗まれてしまう。

こうした事件の多くは、クラウドでのデータ保管の不備によって引き起こされている。このギャップから生まれる問題に対処する革新的な考え方として急速に注目を集めているのが、Confidential Computing(機密コンピューティング)だ。現在、ほとんどのクラウドプロバイダーは、利用者のデータにはアクセスしないことを約束している(もちろん、裁判所命令に逆らえない場合など、アクセスしようとすればできてしまう)。反対にこれは、悪辣な人間も同じ方法で、自らの不届きな目的のために不正アクセスができてしまうことを意味する。しかし機密コンピューティングの場合、クラウド技術のプロバイダーでも、技術的にデータアクセスができない仕組みになっている。サイバー犯罪者も同様に、アクセスは困難だ。

さらに安全な未来を創る

クラウドコンピューティングは、労働力の分散から業務の迅速化に至るまで、世界に決定的なイノベーションをもたらした。そして同時に、ITを誠実なかたちで届けるために絶対に欠かせない要素に光を当てることにもなった。

だがスピードを要求されるあまり、クラウドは、伝統的にテック企業が顧客に約束してきたコンプライアンスと管理責任を脇に押しやってしまった。今や、そうした重要事項が顧客の手に押しつけられることが多い。

私は、クラウド戦略では安全を最優先、最重要に考えるべきであり、会社の安全な発展のために信頼できるパートナーを1社だけ選ぶべきだと訴えてきた。

あまりにも多くの政府機関や企業が運用している「フランケンクラウド」環境に、セキュリティとプライバシーを後付けするのは、もう止めなければならない。SolarWindsは、雑多なテクノロジーへの依存は弱点になると教えてくれている。

幸い、これは私たちの最大の強みにもなり得る。ただしそれは、セキュリティとプライバシーが、多様な技術の繊維の中にしっかりとデザインされる未来を受け入れた場合に限るが。

カテゴリー:セキュリティ
タグ:SolarWindsコラムハイブリッドクラウド

原文へ

(文:Howard Boville、翻訳:金井哲夫)