ゼロトラスト戦略：セキュリティ・バイ・デザインで実現するクラウド

課題―求める変化

過去18か月間で見たように、クラウドはかつてない規模で組織の俊敏性を実現する扉を開きます。しかし、そのポテンシャルを最大限に引き出すには、セキュリティが不可欠です。アクセンチュアは、その規模、スケール、そして複雑性ゆえに、クラウドセキュリティが持つパワーを身をもって経験してきました。

6年前、アクセンチュアはクラウドへの移行を開始しました。アクセンチュアの最近の調査では、セキュリティとハイブリッドクラウコンプライアンスのリスクがクラウド導入の主な2つの課題の1つと見られていますが、クラウドセキュリティがビジネスニーズをサポートするための重要な要素であるという点は明らかでした。

自社で完全にコントロール可能だったオンプレミスのインフラから、クラウド上でベンダーと協業し、そのテクノロジーや環境に依存する必要がある状況への移行は、大きな転換点でした。クラウドのインフラや新たなサービス機能はオンプレミスとは全く異なり、従来型の資産をそのままクラウドに移行させるだけでは不十分だったのです。

クラウドネイティブ・ソリューションの能力を最大限に引き出すためには、セキュリティモデルの実装アプローチをリイマジン（再創造）する必要がありました。アクセンチュアは、クラウドでの運用要件を満たすために、コアセキュリティの指針原則を進化させ、刷新されたクラウドベースのインフラに柔軟に対応できるよう、セキュリティルールを再定義したのです。私たちのアプローチは、インフラにとどまらず、アプリケーション、データ、そしてコードのレベルまで視野を広げています。

現在、アクセンチュアのITインフラストラクチャは、ハイブリッドクラウドで稼働しており、従来のデリバリーモデルよりも大幅にコストが削減されています。アクセンチュアの戦略は、最初からセキュリティを確保し、クラウドの能力を前提にセキュリティのあり方を再構築することであり、これにより、クラウドソリューションがビジネスに必要なあらゆるセキュリティ要素をどのようにサポートできるかを確認することができました。

取り組み―技術と人間の創意工夫

クラウドコンティニュアムプロセスの初期段階から、私たちはクラウド環境に対応するため、アクセンチュアが掲げるセキュリティの基本理念を実践する必要性を認識していました。目指したのは、ソフトウェアディファインド（Software-Defined）を前提とし、開発の初期段階からアプリケーションとインフラのコードのセキュリティを確保することです。また、振る舞い（ビヘイビア）駆動型のアナリティクスを導入し、AI（人工知能）による自動化された振る舞い分析を通じて、複数のクラウドプラットフォームを横断した異常を、より迅速かつ正確に検知できるようにしました。さらに重視したのは、マルチクラウド環境に対応できる、クラウドに依存しない（クラウド・アグノスティック）な設計です。これにより、セキュリティのフレームワークと原則を、監査可能な形で、あらゆるクラウドベンダーに適用できるのです。

さらに、クラウド、ネットワーク、アクセス、データ、エンドポイントといった様々な深度で多層的な防御を組み込みました。戦略の中心にはゼロトラスト・アプローチを据え、すべてを「信頼できないもの」として扱うことで、クラウドセキュリティ・ジャーニーのあらゆる側面を保護します。ゼロトラストの考えに基づき、ID（アイデンティティ）中心のアプローチをとり、すべてのリクエストを明示的に検証することでアクセスを許可しています。

クラウドセキュリティの成功に貢献した5つの中核機能：

責任の共有。SaaSやPaaSの利用が増えるにつれ、クラウドベンダーとの「責任共有モデル」を重視するようになりました。責任を自社のみで負うのではなく、ハイパースケーラーと共有することで、本質的に安全性が向上します。Microsoft、Amazon、Googleとのパートナーシップを通じて、彼らの市場における成熟度、幅広いセキュリティ認証、そして私たちと同様にセキュリティを最優先する企業文化といった強みを最大限に活用したのです。

クラウドベースのソリューションの追求。クラウドプロバイダーは、自社のイノベーションの提供とセキュリティに多額の投資を行っています。クラウドネイティブなポリシー、統制、プロセス、そしてテクノロジーを積極的に採用することで、クラウドセキュリティを確保する上で、クラウド本来のアジリティとスケールという恩恵を享受することができました。

コンプライアンスの実現。プロバイダーとの連携を通じて、アクセンチュアのクラウドセキュリティ戦略は、業界で認知された標準を基盤とし、企業のビジネスニーズに継続的に適応します。アクセンチュアは、業界で定義されたポリシーを遵守し、アラート機能を活用し、ゼロトラストの原則を徹底しながら、コードによるセキュリティ管理を行うことでコンプライアンスを維持しています。これにより、アクセンチュアのサービス、ユーザー、ワークロード、データは導入初日から保護され、絶えず変化する脅威のランドスケープから安全に保たれるだけでなく、第三者機関による検証のための監査にも対応できます。

可視性の向上。私たちは多層的なアプローチを採り、クラウドベンダーのテクノロジーと高度な脅威検知ソリューションを組み合わせることでセキュリティを強化しました。自社で実行可能な管理だけでなく、外部の監査可能性についても可視性を得ることができました。

信頼の構築。アクセンチュアは、「アイデンティティこそが新たなファイアウォールである」と考えています。このID中心のアプローチは、ゼロトラスト戦略を根幹とし、適切かつ継続的なID検証をセキュリティの仕組みに組み込むことを意味します。これからの時代、信頼は、IDと役割によって根本的に担保されることになるのです。

成果―創出された価値

クラウドを運用する上で欠かせない様々な構成要素を包括的に捉え、真にホリスティックな（全体論的な）クラウドセキュリティ戦略を創出しました。この変革的アプローチをマルチクラウド・インフラ全体に適用することで、極めて有効なセキュリティポリシー、リソース、そしてサービスを継続的に展開することが可能になります。

効果的なクラウドセキュリティの実現に向けて、アクセンチュアが得た重要な示唆を以下に紹介します。

• クラウドを前提とした設計：クラウドコンティニュアムのプロセスには、オンプレミスソリューションとはまったく異なる運用モデルが必要です。クラウドが持つセキュリティの力を解き放ち、ビジネスを変革するために、セキュリティの基本原則をクラウドの観点からリイマジン（再創造）することが不可欠です。

• 文化的な変化を起こす：クラウドネイティブ・サービスへ移行するための文化的なギャップを、トップダウンで埋めていく必要があります。従業員がクラウドの利点やセキュリティポスチャーの重要性を深く理解し、マインドセットを変革できるよう、教育やトレーニングの機会を提供することが有効です。

• パートナーシップの促進：クラウドコンティニュアムへのジャーニーでは、ある程度のコントロールを第三者に委譲すると同時に、クラウドソリューションが持つ高度な機能を継承することになります。だからこそ、プロバイダーと強固な信頼関係を築き、セキュリティのオーナーシップは共有されるべきもの、と捉えることが極めて重要です。

今後は、マルチクラウド環境全体のアクセス制御を保護・管理するため、クロスプラットフォームでの連携と整合性をさらに追求していきます。目指すのは、すべてのIDが、あらゆるプラットフォームやベンダー間で完全に連携する世界です。データを主要なドライバーとして活用し、プラットフォームを横断してクラウド活用能力が進化するのに伴い、アクセンチュアのクラウドセキュリティもまた、その包括性を高め続けます。

そして、新たなソリューションの探求も続けます。脅威検知のためのAIや、潜在的な脆弱性を未然に防ぐためのコード修正を行う機械学習（ML）の活用を通じて、セキュリティ能力をさらに拡張していきます。こうした取り組みを、アクセンチュアが掲げる「防御、保護、検知、復旧」の戦略と組み合わせることで、ゼロトラストという必須命題をより強固なものにできると確信しています。