特集

最新のIT技術情報や旬な話題をお届けいたします

クラウドセキュリティを実現するベストプラクティスは有効か?
CSA Japan Congress 2015のパネルディスカッションで明らかになる新技術の台頭

クラウドセキュリティを実現するベストプラクティスは有効か?CSA Japan Congress 2015のパネルディスカッションで明らかになる新技術の台頭

(写真左より)
※株式会社アイティアイ 代表取締役 大和敏彦 氏
※マクニカネットワークス株式会社 セキュリティ第2事業部 プロダクト第1営業部 部長 夏目 道生
※ベライゾンジャパン合同会社 テクニカルソリューション本部 エンタープライズアーキテクト 工藤 清人 氏
※日本ヒューレット・パッカード株式会社 ITアシュアランス&セキュリティ ジャパンカントリーリード兼セキュリティエバンジェリスト 増田 博史 氏
※株式会社セールスフォース・ドットコム セールスエンジニアリング本部 プリンシパルソリューションエンジニア 成田 泰彦

2015年11月18日、東京大学・情報学環 福武ホールにて、一般社団法人日本クラウドセキュリティアライアンス(CSAジャパン)主催の「クラウドセキュリティシンポジウム“CSA Japan Congress 2015”」が開催されました。

CSAは、クラウドコンピューティングのセキュリティに関するベストプラクティスの提供と、その普及啓発に取り組んでいる米国籍の非営利活動法人で、2008年12月に設立されました。2009年4月に発表した「クラウドセキュリティガイダンス」は世界的に注目を集め、以来クラウド業界やセキュリティ業界、政府関係者などに広く影響を与えています。CSAジャパンは2010年6月に任意団体として発足し、世界で2番目に公認を受けた地域支部として日本で活動を続けています。

このシンポジウムでは、クラウドを取り巻くセキュリティ課題を考える場として、認証機関やクラウドサービスベンダ、セキュリティベンダなどが講演を通して情報提供と交換を行い、マクニカネットワークスも基調講演などを担当し、日本屈指のクラウド・アクセス・セキュリティ・ブローカ(CASB)としての存在感をアピールしました。

今回は、シンポジウムの終盤に行われたパネルディスカッションの概要をお伝えします。

クラウドセキュリティに関する新たな技術開発や影響の動向

「クラウドセキュリティを支える新技術の台頭」と題したパネルディスカッションでは、CASB、SDP(Software Defined Perimeter)、コンテナ、SaaSセキュリティの技術を展開している企業の4人がパネリストとして参加し、クラウドセキュリティに関する新たな技術の開発や影響が進んでいる動向について論じ合った。

冒頭、モデレータを務めた株式会社アイティアイ 代表取締役 大和敏彦氏は、「AWS(Amazon Web Services)は昨年に比べて86%増加し、Microsoft Azureは100%以上成長するなど、企業のクラウド活用が活発化している。従来は安く・早く・簡単にという利用目的が多かったが、最近ではビッグデータやIoTのようにクラウドでしか実現が難しい分野での利用も広がりつつある。しかしセキュリティへの懸念は依然として高く、36.9%の企業がセキュリティに懸念をもっているという調査結果もある。それに応えるためCSAは、クラウド全体を安全に利用するためのCCM(Cloud Control Matrix)やSTAR(Security, Trust & Assurance Registry)認証などの普及活動を行ってきたが、今後は使い方をよりセキュアにし、見える化をしていくことが重要になっている。このパネルディスカッションではそこにフォーカスを当て、新技術のセキュリティ対策とその有効性について議論したい」と語った。

安全なクラウドと安全でないクラウドが混在して使われている実態

その後、パネリストたちによる短いプレゼンテーションが行われ、トップバッターにマクニカネットワークスの夏目道生が登場した。

夏目は、「今企業の中では企業向けのクラウドと個人用のクラウドが混在しており、企業が許可した以外のクラウドサービスを利用する『シャドーIT』が問題になっている。スカイハイネットワークスによるグローバルでの統計では、企業1社あたり約1,154個のクラウドサービスを利用している」と説明する。その中の72.9%がエンタープライズ向けクラウドサービスで、残りの27.1%がコンシューマ向けサービスとなっており、安全なクラウドと安全でないクラウドが混在して使われている状況がシャドーITの実態になっているという。

クラウドサービスのセキュリティ管理の実態としては、マルチファクター(多要素)認証を行っている割合が18.1%で、それ以外はIDとパスワードに頼っており、またクラウドへのデータ保存時に暗号化している割合は9.6%、顧客が管理するキーによりデータを暗号化している割合も1.3%に過ぎないなど、リスクが高い状況で利用していることが明らかになっている。

「ファイル共有サービスやクラウドストレージなど、社外の人とファイルを共有する機会が増え、公開権限を間違って共有を行うと、さらに情報漏えいのリスクが高まってしまうので注意が必要だ」と夏目は危機感を滲ませた。

CSAで策定されたオープンスタンダードのセキュリティフレームワーク

次に登場したのは、SDPのベライゾンジャパン合同会社(以下、ベライゾン) テクニカルソリューション本部 エンタープライズアーキテクトの工藤清人氏だ。

「エンタープライズ環境は常に変化している。サイバー攻撃が増え、脆弱性が露呈している中で、モバイルデバイスの拡散やデータセンターのクラウド化、アウトソース範囲の拡張によってプレイグラウンドが拡大している。それに対して対策コストは増加し、取るべき手段も複雑化している。そんな背景からSDPへの期待は高まっている」と工藤氏は話す。

SDPとは、特定のIPアドレスやDNS名などを狙った攻撃(Network-Based Attacks)からアプリケーションサーバインフラを守るセキュリティフレームワークで、CSAによって策定されたオープンスタンダードだ。知る必要がある人(アポイントを取得したリクエスター)にだけダイナミックに通信ネットワークを組み立てて通信を行う。具体的には、クラウド上にコントローラーやオーケストレーター、リクエストを通過させるゲートウェイ・ファイアウォールなどをソフトウェアで構築し、アプリケーションサービスを配置する。ベライゾンはSDP標準化メンバーとして標準化に貢献してきた。

2014年2月に開催されたRSA会議でSDPを紹介しトライアルを行ったところ、どこの国からもアタックされることはなかったという。また、2016年にはU.S. Department of Homeland Security(アメリカ合衆国国土安全保障省)でもDDoS攻撃対策としてSDPの有効性検証が行われるという。

Dockerの真の価値はイメージ管理機能によるインフラの提供にあり

続いて、日本ヒューレット・パッカード株式会社(以下、日本ヒューレット・パッカード) ITアシュアランス&セキュリティ ジャパンカントリーリード兼セキュリティエバンジェリストの増田博史氏がコンテナセキュリティについて、「Docker」を紹介した。

「Dockerとは、仮想化でハイパーバイザ上のVMごとにゲストOSやカーネルアプリケーションなどが搭載されて、重複している状況を改善するため、OSとカーネル空間を共有した形でユーザ空間だけを複数搭載し、それぞれのユーザプロセス(アプリケーション)から見えるリソースを制限する技術のこと。軽量でハードディスク容量も少なく、スクラッチ&ビルドをしやすくする環境を作ることができる」と説明する増田氏。OSにインストールできるものをイメージ化し、標準化することで、アプリケーション展開の自動化を可能にするという。

増田氏は、「Dockerの本来の価値は軽量型仮想OS(コンテナ)の提供ではなく、“イメージ管理”機能によるインフラの提供にある」と述べる。少ないリソースを多くのアプリケーションで効率的に利用し、アプリケーション実行環境を容易に用意でき、かつ開発環境と展開先環境の共通化を可能にするという。

一方、Dockerの課題点にも言及した。カーネルを共有しているため、特権昇格の脆弱性があるコンテナに被害を受けると他の全てのコンテナとホストも攻撃対象となってしまう。また、悪意のあるイメージの配布による攻撃も指摘されているという。「今後、Docker固有のセキュリティも開発されつつあり、トータルセキュリティで考えて、Dockerのような新しい利便性を積極的に取り込んでいくということは価値あること」と増田氏は語った。

高いセキュリティ機能をベースとした信頼性こそSalesforceの価値

そして最後に、株式会社セールスフォース・ドットコム(以下、セールスフォース) セールスエンジニアリング本部 プリンシパルソリューションエンジニアの成田泰彦氏が登場した。

「Salesforceのプラットフォームの価値は、業務アプリケーションを迅速に構築できる点にあると思われがちだが、15万社以上のユーザ企業にアンケートを取ったところ、実は高いセキュリティ機能をベースとした信頼性に最も価値を感じているという結果になった」と成田氏は打ち明ける。Salesforceは200万以上のアプリケーションを抱え、1日あたり30億以上のトランザクションを処理するクラウドサービスのプラットフォームとして、16年の歴史を歩んできた。

そして最近、アプリケーション実行時にさらなる信頼性を提供するサービスとして「Salesforce Shield」を開始。Salesforce Shieldはいくつかのセキュリティ機能をセットにしたもので、中でもプラットフォーム暗号化機能は、データベースへのデータ格納時に指定された項目単位で細かくデータの暗号化を処理する。従来のAES128bit暗号からAES256bit暗号に強化し、暗号を扱う管理者権限も設定でき、HSM(Hardware Security Module)による厳重な鍵管理も行っている。

成田氏は、「Salesforceのインフラ側ではデータを暗号化/復号するための暗号鍵は保存されず、暗号処理実行時に鍵配信サーバで暗号鍵を生成し、それがアプリケーションサーバ側のキャッシュエリアに送られ、瞬間的に使われる構造になっている」と説明し、高い安全性が保たれていると強調した。

実際のデータを使って調査した結果を可視化しCASBのメリットを訴求

4名のパネリストがプレゼンテーションを終えたところで、モデレータの大和氏は、「これらの新しい技術をお客様に勧めた際の反応はどうだったのか」と疑問を投げかけた。

マクニカネットワークスの夏目は、「日本の企業にとってCASBのサービスはまだ馴染みの薄いもので、従来のネットワークセキュリティとの違いがわからないという反応が多かった。そこで、実際にデータを預かり、調査した結果を可視化してどのようなメリットがあるのかを理解してもらうようにしている」と話す。

ベライゾンの工藤氏は、「SDPもまだ日本で普及しておらず、今後SDPのサービス化などユニークな使われ方が増えていくのではないかと期待している。その中で、例えばSDPでオーバーレイ・ネットワークによる“見えないネットワーク”を作り、必要な人にしか使わせない安全なプライベートクラウドの実現や、今後IoTで重要な技術になる可能性がある」と述べる。

日本ヒューレット・パッカードの増田氏は、「Docker自体は新しいもので、使いこなすには体制や人、スキル、歴史などが少ないが、プライベートクラウドを構築するような規模の企業は関心を示している。一方で、サービスプロバイダーは新しい技術を積極的に取り入れる志向が強く、前面には出さないが内部で使っている」と答える。

セールスフォースの成田氏は、「Salesforce Shieldは、アクセスログを分析したりメンタリングしたりできる機能や、更新系のアクセスログ情報を残す仕組み、データの暗号化、データのアーカイブの4つの機能を提供しているが、最も必要とされているのはアクセスログ情報を漏れなく取得し分析する機能。特に金融系企業のリアクションは良い」と打ち明ける。

ベンチャーが面白いアイデアで先に進みその後を企業が追って行く経済構造

そこで大和氏は、「こうした技術を企業がキャッチアップするにはどうしたらいいのか」と問いかける。

夏目は、「CASBは新しいテクノロジーではなく、従来からある技術の延長なのでキャッチアップするのは比較的簡単だと思う」と話す。増田氏は、「日本ヒューレット・パッカードは11月に分社化したのを期に、会社の方針として『アイデアエコノミー』をキーワードにしている。それは、個人やベンチャーが面白いアイデアで先に進み、その後を企業が体制を整備して追って行くという経済構造を示したもので、新しい技術にチャレンジする意識と、海外の先行事例などを参考に進めていくことも重要だと考えている」と語る。

成田氏は、「セールスフォースはセキュリティを第一に、革新的なコントロールをインフラに組み込み、その実装ノウハウも利用者に包み隠さず公開している。そのため、当社の実装例を参考にセキュリティコントロールに取り組むのもひとつの方法。ユーザ向け活用支援サイト『Idea Exchange』もご活用いただきたい」と提案した。

CSAは多くの企業がクラウドのセキュリティを考えともに作り上げていく場

続いて、大和氏の「CSAに期待することとは」という問いに対して、工藤氏は「SDPはCSAによって策定されたオープンスタンダードのプロトコルワークフロー。日本でもCSAジャパンでの活動を通じてSDPベースのフレームワークを大きく育てたいと考えている」と話す。

また、増田氏は「日本ヒューレット・パッカードは分社化によって事業戦略も、ハイブリッドインフラ、モビリティワークプレイス、ビッグデータ、プロテクト(セキュリティ)として新たに進めていく。そのため、今後もCSAジャパンの会員としてクラウドセキュリティの発展に貢献していく考えだ」と強調する。

一方、成田氏はクラウドへの不安感を払拭していきたいという。「もはやクラウドは社会や生活に不可欠のインフラとなっているにも関わらず、いまだにクラウドへの不安を訴える企業は多い。CSAジャパンには、クラウドで実現するセキュリティのレベルや仕組みを見定めて不安を解きほぐす判断基準や共通理解を進める認定制度などを構築していっていただきたい」と期待する。

そして、夏目は会場の参加者に対しCSAへの参加を促す。「CSAの使命は、クラウドコンピューティングのセキュリティを実現するためのベストプラクティスを広め推奨することにある。そしてユーザ企業に対しては、コミュニティとコラボレーションの場を提供し、クラウド利用に際してのセキュリティ確保に向けた啓発教育も広く提供している。そのため、まずはCSAジャパンの勉強会やワーキンググループに参加し、それをきっかけに会員企業になっていただくことで、多くの企業がクラウドのセキュリティをともに考え、ともに作り上げていく場になることを心より期待している」と提案した。

最後に、大和氏は、「今日、さまざまなセキュリティ技術やソリューションをご紹介したが、それによってできることがもっと増えるようになる。ぜひクラウドを安全に活用し、企業の成長やビジネスの成功につなげていただきたい」と語り、パネルディスカッションのまとめとした。

いつか見た景色 from Staff's Albums