クラウドでのセキュリティの確保【12/10更新】


(この記事は2017年10月19日にMicrosoft Partner Network blog に掲載された記事 Taking security to the cloud  の翻訳です。最新情報についてはリンク元のページをご参照ください。)

 

 

先日のブログ記事「お客様を安全なクラウド エクスペリエンスへ導く」では、従来の IT 部門にとってクラウドのセキュリティは未知の領域であり、これまでの役割や職務への固執は危険であるということをお伝えしました。マイクロソフトの IT 部門が配信するビデオ シリーズ「Expedition Cloud」の最新動画 (英語) では、主任プログラム マネージャーを務める Rob Polly が、新しいエンタープライズ クラウドにおけるセキュリティの確保について、その成果と課題を率直に語っています。

マイクロソフトに入社して 17 年のベテランである Rob は、セキュリティ エキスパート チームを率いてチームのデジタル改革を進めながら、優れた最新技術をテストすると共に、マイクロソフトに新しいテクノロジを導入しました。今ではマイクロソフトの IT 部門が、私のチームに対して、企業の視点からソリューションを理解できるようにサポートしてくれています。

構成管理、パッチに関するコンプライアンス、マルウェア対策ソフトウェアの管理といった基本的なセキュリティ対策が必要な状況に変わりはありませんが、このような直線的なセキュリティ アプローチではもはや不十分です。複数のアクセス ポイントが社外のデータセンターに存在するため、IT 部門は保護の必要があるすべてのサーバーを確認することができず、そうしたセキュリティ保護の責務の一部は、安心して外部に委任できるようにする必要があります。

 

 

新しいセキュリティ パートナーシップ

役割と責務の分担が進む中で、エンタープライズ クラウドのセキュリティもパートナーに委ねる必要が生じています。このパートナーシップを締結するにあたっては、クラウド サービス プロバイダーの能力、サービス内容、セキュリティ方針を考慮します。また、分散していても管理は中央 IT 部門でなされているようなプラットフォームを検討します。さらに、一般データ保護規則 (GDPR、英語) など、セキュリティやプライバシーに関する規制要件にも対応する必要があります。オンプレミスと同じように物理ネットワーク トポロジと監視アプライアンスを適用するだけでは十分ではありません。

エンタープライズ クラウドのセキュリティを確保するうえでは、アプリケーション サービスを開発している DevOps チームの存在も重要です。たとえば、クラウドの調達モデルはセルフサービス式であるため、運用環境に展開する前にアプリケーションのセキュリティ レビューを実施することはできません。そこで、日常的な開発プロセスにセキュリティへの対応が組み込まれていることを確認できるようにするために、マイクロソフトは Secure DevOps Kit for Azure (英語) を開発しました。このキットを利用すると、Azure のアプリ インフラストラクチャ内にシンプルかつ体系的で一貫性のあるセキュリティ環境を実現できます。

DevOps Kit に含まれるツールは以下のとおりです。

  • 安全なコーディング、ガイドライン、修正を提示する Security IntelliSense
  • 共通サービスの組み込みコントロールを検証するためのセキュリティ検証テスト
  • 継続的インテグレーションと自動デプロイメントに対応した組み込みのリリース タスク
  • 常に最新の Azure セキュリティ機能を利用できるようにする Continuous Assurance ツール
  • キー ローテーションや職務分離などのベスト プラクティスへの準拠
  • アラートと監視を一元管理するダッシュボード

 

 

新しい役割に求められる新しい考え方

マイクロソフトは、20 年にわたって従来からのデータセンターを運用してきた経験から、クラウドのセキュリティはまったく異なるものであることを十分に理解しています。マイクロソフトの IT 部門は、これをクラウド セキュリティの考え方 (英語) と呼んで、インフラストラクチャ、アプリケーションの展開、管理機能、セキュリティ機能に対する新たな考えの浸透を図っています。

 

Rob によると、普通このような状況ではパートナーに委託する方が効率的です。そのため、IT サービス チーム、サービス プロバイダー、DevOps チームなど、セキュリティに携わるすべてのチームが監視用のツールとガイダンスを利用できるようにして、自社の第一応答者をサポートする必要があります。

クラウドによって企業のセキュリティ対策を強化する方法は、もう 1 つあります。それは、事前構成された IaaS (サービスとしてのインフラストラクチャ) 仮想マシンにアプリを展開し、パッチ適用プロセスと更新プロセスを自動化することで、環境を最新の状態に維持してコンプライアンスを確保する方法です。

企業は非常に多くの脅威に晒されているため、オンプレミスよりもむしろクラウドの方がはるかに安全である場合も少なくありません。クラウドでは、クラウド サービス プロバイダー、アプリケーション サービス、中央 IT 部門で責務を分担することができます。さらに、クラウド環境では攻撃を受ける対象を的確に把握できます。使用したものがすべて請求されるため、所有しているものをすべて確認しやすいからです。

急速に変化するセキュリティ環境についてどのようにお考えですか。エンタープライズ クラウドのセキュリティ対策を構築した経験をお持ちでしたら、ぜひマイクロソフト パートナー コミュニティでお聞かせください。

 

 

Skip to main content