特集

最新のIT技術情報や旬な話題をお届けいたします

@ITに聞くクラウドセキュリティ
クラウドを本格的に活用するときに必要となるセキュリティは?

@ITに聞くクラウドセキュリティ クラウドを本格的に活用するときに必要となるセキュリティは?

※アイティメディア株式会社 ITインダストリー事業本部 ビジネス&テクノロジー事業部 テクノロジー統括部 @IT編集部 Security & Trustフォーラムの宮田健 氏(写真・右)
※マクニカネットワークス株式会社 セキュリティ第2事業部 プロダクト第1営業部 部長 夏目道生(写真・左)

企業のICT活用においても、クラウドを利用する動きが急速に進んでいます。しかしクラウドを本格的に利用するには、シャドーIT、情報漏えい、なりすまし、不正アクセス、サイバー攻撃などに対応する備えが必要です。そこで、クラウド利用を安心して推進するため、CASB(Cloud Access Security Brokers:キャスビー)が注目されています。「CASB」とは、クラウドに特化したセキュリティソリューションの総称です。

今回は、企業におけるクラウド利用とそのセキュリティについて、アイティメディア株式会社 ITインダストリー事業本部 ビジネス&テクノロジー事業部 テクノロジー統括部 @IT編集部 Security & Trustフォーラムの宮田健 氏を招き、マクニカネットワークス株式会社 セキュリティ第2事業部 プロダクト第1営業部 部長の夏目道生が対談をいたしました。 宮田氏は、ICT専門の総合情報ポータルである「@IT」においてセキュリティ分野を担当しています。

クラウドの本格的活用が始まったからこそ、クラウドセキュリティに注目される時代に

夏目:今日は、クラウドとそのセキュリティについてお話を伺いたいと思います。

宮田氏:クラウドの話題にセキュリティがやっと追いついたという印象を持っています。本格的にビジネスでクラウドを活用しようとしたら、セキュリティは必須。しかしこれまではその一歩手前である、「クラウドを導入するかどうか」というところで逡巡している企業が多かったのではないでしょうか。

ところが最近はクラウドを活用している企業が増え、安全に使うためにクラウドのセキュリティレベルはどのレベルか、そのためにはどのサービスを選ぶべきかで議論するように変わってきたと感じています。

夏目:これまで企業がクラウド導入にためらっていた理由はどこにあるとお考えですか?

宮田氏:「漠然とした懸念」でしょうか。具体的に「この部分のセキュリティが怖い」ではなく、漠然と「クラウドを導入して大丈夫だろうか」という、曖昧な心配をしているようでした。ところがよく検討すると、ある部分ではオンプレミスのセキュリティが高く、別の部分ではクラウドのほうが高いわけです。むしろ常時、監視しているクラウドのほうが安全かもしれないといえます。そこに気付いた企業では、「クラウドを導入するか否か」ではなく、「どのクラウドサービスを導入するか」「どういうセキュリティ対策を打つか」という話に移行しています。

夏目:私たちもお客様との話の中で、確かに以前は「国外にデータセンターがあるクラウドサービスは使用禁止」といった話をよく耳にしました。今は「どういうやりかたでセキュリティを担保しているか」という議論に移っていると感じています。

企業がクラウド化を検討しはじめるきっかけも、変わってきています。昔は「ITシステムをクラウドにしませんか?」という提案だったのが、最近は「在宅勤務ができるようにしたいが、どうすればいい?」という相談を受けて、そこから「データをどこからでもアクセスようにするには、オンプレミスよりクラウドですよ」という話に発展するといったケースが増えています。

宮田氏:現場視点のニーズからのクラウド推進ですね。今でも、メールの添付ファイルを送るのに、パスワード付きZIPファイルを添付して、別メールで解凍するためのパスワードを送るという手法が使われていますが、効果はともかく、利用する現場の負担は小さくありません。そういうところに手間や時間をかけさせるなら、クラウドでファイルを共有するほうがずっと効率的ですし、セキュリティも上です。

つまり、オンプレミスでもクラウドでも、どこにでもリスクはある。それを理解して対策を打つことが大事なのです。また、クラウドならではのセキュリティの利点もあります。例えば、ある脆弱性が見つかったとします。するとクラウドなら事業者がすぐに対応して脆弱性を消してくれます。一方、オンプレミスなら情報システム部が対処しない限り、脆弱性が残ったまま。クラウドによってデータを社外に置くリスクと、セキュリティ対策が後手に回るリスク、どちらを取るかという判断になるわけです。

クラウド推進には、経営トップに対してセキュリティを含めた説明が必要

夏目

夏目:企業がクラウドを推進するとき、あるいはセキュリティ対策を強化するときは、コストが必要です。当然ですが、クラウド導入には情報システム部が経営トップを説得できるかが決め手になります。ですが、その説明、説得に苦労している情報システム部も少なくないようです。

宮田氏:経営トップはICT技術の専門家ではないため、比喩を使って説明したりしているのではないでしょうか。@ITでも、以前は何かに例えてわかりやすく噛み砕いて解説するものが多かったのですが、最近は技術的な記事も読まれるようになっています。例えば、暗号化技術に踏み込んだ連載記事などは、「敬遠されるかもしれない」と覚悟していたのですが、意外なほどアクセスを集めました。

経営トップに対しても技術的なことを含めてきちんと説明することが、クラウドに移行してもセキュリティは担保できると理解してもらえるのではないでしょうか。例えば、「クラウドに置いたデータを持っていかれたら、どうする?」という問いに対して、オンプレミスとのリスクの差を説明するとします。グーグルのセミナーでは、「クラウドは、データを分散して複数のストレージに入れて保存している。だから、ひとつのストレージが情報漏えいにあっても、そこに保存されているのは細切れになったデータの一部。データが読み取られることはない」と、クラウドの強みを意外と踏み込んだ形で説明しているのです。しかし、社内のHDDを盗難されたらデータをまるごと見られてしまう可能性もあるわけです。

クラウドを推進するには経営トップの判断が重要です。だからこそ、社内に置くリスクとクラウドに置くリスク、そして利便性と生産性などを天秤にかけて、判断できる材料を提供することが大事だと思っています。

日本でも蔓延しているシャドーIT問題。特に危険なのは、企業内のIT中級者

夏目:クラウド利用におけるセキュリティでは、シャドーIT対策がひとつの大きなテーマになっています。情報システム部主導ではなく、各部門がクラウドサービスを使って情報共有したり、現場の担当者が勝手に個人向けのクラウドサービスでデータのやり取りをしてしまう。情報システム部が把握していないので適切なセキュリティ対策も取られていないし、情報漏えいのリスクを考慮しない使い方をしている。そういうケースがかなりあるようです。

宮田氏

宮田氏:情報システム部は、IT資産管理によってすべてを把握しているといいたいのでしょうが、現実にはシャドーITも蔓延しているようです。情報システム部もそれを理解していても、「打つ手がない」「予算もない」というのが実情でしょう。社員一人ひとりがPCだけでなく、個人のスマートフォンを持っているような時代ですから、それらの端末をすべて管理するのは、従来のやり方と予算では無理かもしれませんね。

夏目:弊社でも、シャドーITに関する調査を行っています。海外では、1社あたり約1000件という数値が出ました。日本ではそれより大幅に少ないだろうと予想していたのですが、意外にも海外の数値にかなり近い結果でした。

宮田氏:シャドーITとなると、注意すべきはIT初心者ではなく、IT中級者ではないでしょうか? 中級者は、興味と知識があるだけに、いろいろなクラウドサービスを使ってみようとするのです。しかも、セキュリティのことをあまり意識しないで仕事のデータを置いたりしています。その上、まわりの初心者に「このクラウド、便利だよ」と勧めたりする。なかには、危険なサイトやサービスもあるということにも気が付かずに、です。

夏目:調査でも、海外のSNSサービスや水飲み場型攻撃によく悪用されるサイトへアクセスするという問題がありました。しかし、あるサービスを禁止したとしても。類似する別のサービスに移るだけで、情報システム部にとってはイタチごっこになってしまうわけです。であるなら、使っていいクラウドサービスをリストアップして、「ファイル共有をしたいなら、このクラウドサービス」というように、推奨するのがいいのでしょう。

クラウドを安心して使うために必要なクラウドセキュリティ「CASB」

夏目:弊社では、Skyhigh Networksのクラウドセキュリティソリューション「Skyhigh Cloud Security Platform」を取り扱っています。CASBのソリューションは、従来からあるセキュリティの技術を集大成したものといえます。例えばデータの集出を防ぐDLP(Data Loss Prevention)、暗号化、ログ分析、アクセス制御などです。これらのテクノロジーを、クラウドセキュリティに特化して組み合わせて活用するものです。

宮田氏:今まであったさまざまなセキュリティの技術が、いよいよ花が開く時期に来ましたという印象を受けますね。

夏目:Office 365やSalesforceなどのクラウド型の業務サービス、Boxなどのデータ共有サービスを利用するうえでのセキュリティを強化し、さらに利用状況をモニタリングして、クラウド利用のリスクを把握することができます。さきほど話したように、これまではシャドーIT対策をしようとしてもイタチごっこになっていましたが、CASBを使うことで、クラウド利用状況の見える化が実現できます。

仮に会社の誰かがクラウドを使って不審な行動、例えば、あるファイルをアップロードしたりダウンロードしたりといった行為を行ったときに、情報システム部にアラートで通知といった機能もあります。

こういうクラウドに特化したセキュリティソリューションを使うことで、クラウドサービスを安心して活用できるようになる。そして、情報システム部も運用が楽になる。企業が安全にクラウドサービスを活用できるようになると、日本企業においてもますますクラウド化が推進していくと期待しています。

宮田氏:日本でのクラウド利用を推進することは非常に重要で、うかうかしているとASEAN諸国に抜かれると危惧しています。ASEAN諸国では、スマートフォンによるモバイル活用が進んでいますし、LTEも普及しています。クラウドを利用するインフラは揃っているのです。彼らがクラウドをフルに活用すれば、日本を脅かす存在になるでしょう。

日本も、クラウドの流れに乗り遅れないように力を入れないと、本当にASEAN諸国に追い抜かれてしまうかもしれません。その点、今までクラウドを漠然と不安視して導入を逡巡していた企業も、セキュリティが担保されることで、安心して導入できる時代になってきました。良い流れができたと思います。

SNS、ソーシャルゲームに揉まれた学生が社会人になると、企業のセキュリティは次の段階へ進化

夏目:これからの企業のセキュリティはどう変わっていくとお考えですか?

宮田氏:私は日本のクラウド利用やそのセキュリティの未来は明るいのではないかと期待しています。そう考える理由の一つは大学生など、若い世代の存在です。今のところ、彼らはITの知識やセキュリティリスクなどあまり考えずに、SNSを利用しているようです。

そのためソーシャルエンジニアリングに弱くて、SNSで誕生日を公開したりするし、「ペットの名前」などをテーマに書き込みをしたりします。ですがよく考えれば、それらの情報は、サイトのパスワードを忘れたときに使う「秘密の質問」だったりするのです。誕生日に関してはパスワードそのものという人もいるでしょう。たかが誕生日、パスワードではなく、実は機密情報だったりするのに、そこに気が回らずにSNSで公開したりする。

しかしそういう世代が会社の情報システム部に入ってきたら、SNSの危険性を本当に理解した対策が打てるようになるでしょう。

一方、今の情報システム部の人はセキュリティを懸念して、SNSやソーシャルゲームなどにはあまり手を出さない傾向にあります。そうなると今、挙げたようなSNS上での行いや振る舞いがわからない。何か問題行動を起こす人が出て「え、そんな使い方をしていたの?」と驚くわけです。だからこそ私は、常々情報システム部こそ、最先端のITブームに乗って、いろいろなサービスに触れてみるべきだと考えているのです。

夏目:確かにコミュニケーションひとつとっても、上の世代はすべてメールでという人が多いのに、若い人はSNSを使うというように、ツールそのものの断絶がありますね。

夏目&宮田氏

宮田氏:大学生については、もうひとつ期待があります。学生は、クラウドサービスが当たり前という生活を過ごしてきました。やり取りも電話やメールよりSNS。面白いものを見つけたらまずはSNSにアップする。そんな生活をしていて、会社に入った途端「これをしてはいけない」とガチガチの制約を受けます。これは非常に残念なことと言わざるを得ません。

社会に出たら、学生時代よりももっと自由にいろいろな活動できる。そういう社会を作らないといけません。まずはクラウドになれた学生が、企業の情報システム部で活躍するようになったら、状況が変わるのではないかと期待しているのです。クラウドを自由に利用することが当たり前となる、新しいセキュリティの考え方が生まれたらいいと思います。

いつか見た景色 from Staff's Albums