クラウドセキュリティに係る戦略立案、クラウド環境の利用状況可視化やインシデント早期発見のためのガバナンス・運用構築、クラウド環境を保護する対応など、クラウド活用における包括的なセキュリティをご提供します。詳しくはこちら

日本企業のクラウドをめぐるセキュリティ状況

日本企業のクラウド活用を阻んでいる大きなハードルの1つとして、セキュリティが挙げられます。アクセンチュアが2020年に実施したクラウド活用に関する調査結果によると、約65%の企業が「セキュリティとリスク、コンプライアンス」を最大の懸念事項としています。*1

クラウド事業者が提供するサービスのセキュリティレベルは高いものであると評価されているものの、ガバナンス整備やコンプライアンス遵守、セキュアなクラウド環境の構築、利用状況・運用状況のモニタリングなど、自社で担保しなければならないセキュリティの維持・管理がクラウド利用推進の妨げになっているのが実情です。

実際に、クラウドサービスのアクセス権限が正しく設定されていなかったために、第三者がデータにアクセス可能な状態になっていたという、クラウドセキュリティの問題に起因するインシデントも発生しています。中にはユーザー企業自身がインシデントの発生に気付かずに、外部からの指摘によって明るみになったという事例もあります。このような事例は氷山の一角に過ぎず、本来はユーザー企業側で実施すべきクラウドセキュリティ対策が行われないまま放置されているおそれも否定できません。

クラウド利用の責任共有モデルを理解する

こうしたインシデントの発生を防ぐためにも、クラウドの活用には最適なセキュリティ対策が不可欠です。しかし現実には、適切なクラウドセキュリティ対策を十分に講じている企業は未だ少ないと言わざるを得ません。では、どのようにクラウドセキュリティ対策に取り組めばよいのでしょうか。

まず初めに知っておきたいのが、クラウド利用の「責任共有モデル」です。クラウドではサービス形態(IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)など)の違いに応じ、ユーザー企業側とクラウド事業者側のそれぞれにセキュリティ上の責任範囲が明確に分かれています。

一般的にデータの管理責任はユーザー企業側にあります。そのため、データの重要度に合わせた保管プロセスやルールの整備、暗号化やモニタリングといった対策はユーザー企業が実施する必要があります。

一方のクラウド事業者は、データセンターの災害対策や侵入対策といった物理セキュリティに関する対策に責任を負っています。しかし、クラウド上で稼働する仮想マシン、OS、ミドルウェア、アプリケーションの責任範囲については、サービス形態の違いによって大きく異なります。

このような責任分界点への理解が不十分なままクラウドを利用すると、ユーザー企業が講じるべきセキュリティ対策が不足し、インシデントへのリスクが高まります。

クラウドの利用形態と各レイヤーにおけるセキュリティ

図:クラウド利用の責任共有モデル

ユースケース別、クラウドセキュリティで考慮すべきポイント

クラウドセキュリティは、利用するサービス形態の責任共有モデルを踏まえたうえで必要な対策を講じていくことになります。

例えば、オンプレミス環境で保守・運用していたアプリケーションやデータをそのままクラウド事業者のIaaS環境へ移行する場合、オンプレミス環境で具備されているセキュリティ対策も考慮して、移行先のクラウド環境において必要なセキュリティ機能を特定しクラウドセキュリティのアーキテクチャを明確にしたうえで、クラウド環境に確実に組み込まなければいけません。

また、オンプレミス環境の業務システムとクラウド事業者のIaaS、オフィス系SaaSを組み合わせて利用する場合、オンプレミス環境を含むハイブリッドクラウドをセキュアに利用するためのガバナンスと運用プロセス・ルールを構築するとともに、オンプレミス環境とクラウド環境横断的なアクセス制御や、セキュアかつ効率的にアクセスするためのネットワークインフラを整備します。

さらに、特定のクラウド事業者やサービス形態に拠らず、要件に合ったクラウドサービスを活用するマルチクラウド、コンテナやサーバーレスなどの技術を使ったクラウドネイティブの場合は、多種多様なクラウドサービスを利用しても適切なセキュリティ管理・運用が実行でき、その状況のモニタリングを通じて継続に改善が実施できるようセキュリティガバナンスを構築します。クラウドサービスやクラウド技術の変化に合わせてクラウドセキュリティを確保できる仕組みにすることが必要になります。

このようにそれぞれのユースケースによって講じるべきセキュリティ対策は異なりますが、クラウドで取り扱うデータの保護、クラウド環境へのアクセス制御、クラウド上のアプリケーションのセキュリティ確保など幅広い領域でのセキュリティ対策を、直面する脅威やリスクを把握した上で実施していくことが求められます。また、それら対策を単に導入すればよいわけではなく、対策の有効性を維持、向上するためのガバナンス、およびその状況を把握するためのモニタリングといったセキュリティ運用が、対策の土台となることを忘れてはなりません。化学業界のある企業では、オンプレミス環境からクラウド環境への大規模な移行に際して、セキュリティガバナンスおよびセキュリティ運用の見直しと同時に、クラウド環境をセキュアに利用するためのネットワークセキュリティ対策やクラウド利用状況のモニタリングのための製品を導入することで、クラウドセキュリティの有効性、効率性を高めながらクラウド利活用を推進することに成功しました。

クラウドセキュリティ対策の全体像

図:クラウドセキュリティ対策の全体像

アクセンチュアのクラウドセキュリティ

アクセンチュアではクラウドセキュリティはもちろんセキュリティ全体を俯瞰した視点を持って、クライアントが直面する脅威・リスク、将来像を踏まえてセキュリティ全体の戦略を立案するだけでなく、ガバナンス整備やソリューション導入といったトランスフォーメーションの実行、そしてセキュリティ監視やインシデント対応、継続的改善のためのPDCAサイクル実行等のオペレーションまでをカバーする、エンド・ツー・エンドのサービスを提供しています。

クラウドへのトランスフォーメーションにあたっては、クラウド移行の計画立案と実行、移行後のインフラストラクチャーの運用アウトソースなど、アクセンチュアが持つセキュリティ以外のクラウド専門人材ともコラボレーションするとともに、アクセンチュアのグローバルネットワークやクラウドセキュリティ領域を含む数多くのエコシステムパートナーとの協力関係を最大限活用して、クライアントのクラウドトランスフォーメーションの実現を支援いたします。

*1 Source: Accenture, PERSPECTIVES ON CLOUD OUTCOMES: EXPECTATION VS. REALITY

尾形 玄

テクノロジー コンサルティング本部 セキュリティ グループ マネジング・ディレクター


高垣 一秀

テクノロジー コンサルティング本部 セキュリティ グループ シニア・マネジャー

関連コンテンツはこちら

2020 cyber threatscape report
先進企業から学ぶサイバーセキュリティの要諦

ニュースレター
最新コラム・調査をニュースレターで 最新コラム・調査をニュースレターで