マルチクラウドセキュリティ

マルチクラウドセキュリティとは

マルチクラウドセキュリティは、AWS、Azure、Google Cloud Platform（GCP）、Oracle Cloud Infrastructure（OCI）のような、プライベートクラウドとパブリッククラウドの両方を含む複数のクラウドプラットフォームのデータを包括的に保護できるようにするクラウド セキュリティ ソリューションです。組織は、マルチクラウドセキュリティですべてのクラウドプラットフォームとその各種機能を保護できます。

マルチクラウドセキュリティが重要な理由 

マルチクラウドの導入はもはや選択肢の 1 つではなく、俊敏性と柔軟性がビジネスの成功に影響する、変化の激しい今日の組織に欠かせない要素です。マルチクラウド環境は、組織に多大なメリットをもたらす一方で複雑化を招きます。この複雑化により、セキュリティギャップや効率の低下が生じて、組織におけるクラウドの経済性のメリットが損なわれる可能性があります。

組織がクラウドの経済性のメリットを最大限に得るには、マルチクラウドセキュリティの戦略が必要です。この記事では、マルチクラウドセキュリティのアーキテクチャ、要件、課題、そして組織がどの段階でもマルチクラウド戦略を最適化できるようにするためのベストプラクティスについて見ていきます。

マルチクラウドは至る所に存在するが、セキュリティはそうではない

マルチクラウドの導入は、この数年で加速しています。シスコが委託した『2022 Hybrid Cloud Trends Report』によると、82% の IT リーダーがハイブリッドクラウドを導入していると報告しており、58% の組織が 2 ～ 3 個の Infrastructure-as-a-Service（IaaS）クラウドを使用しています¹。また Gartner 社の報告によると、すべてのエンタープライズ ワークロードのうち、クラウド インフラストラクチャおよびプラットフォームサービスに展開されるようになるものの割合は、2020 年の 20% から 2023 年には 40% に増加すると見られています²。多くの組織がマルチクラウド環境のメリットを存分に得ていることは明らかです。大多数の組織は、デジタル トランスフォーメーションなどのイニシアチブをサポートするためにすでに複数のクラウドに多額の投資を行っていますが、その多くがさらなるデジタルビジネスの実現を目指して投資を増やす計画を立てています。 

ただし、多くの組織にとってマルチクラウドで成功を実現するのは今もなお難しいのが実情です。たとえば、HashiCorp³ 社が 2021 年に実施した調査によると、中規模組織のうち、マルチクラウドがビジネス目標の達成に貢献したとする割合はわずか 50% となっています。 

お客様との会話では、マルチクラウド環境の導入と展開の一般的な障壁として、コスト管理、ガバナンス、可視性が多く挙げられてきましたが、常に最上位に位置しているのはセキュリティです。2023 年の Valtix 社の調査では、セキュリティの複雑さを理由に自社がクラウドの追加拡大を望んでいないということに強く同意する IT リーダーの割合が 51% に達しました。 

このような課題の要因の 1 つとして、データセンターやオンプレミスのセキュリティのフレームワークをクラウドに簡単に拡張できるという期待があります。ただし、マルチクラウド環境に関連するセキュリティの複雑さを解消するには、クラウドファーストのアプローチを取り入れて自社の戦略を動的な環境に適応させる必要があります。 

この記事では、クラウドとビジネスのスピードでマルチクラウドへの移行を推進するのに役立つセキュリティモデルを推奨しています。

図 1. クラウド サービス プロバイダーのセキュリティ要件を満たすために使用されるツール

マルチクラウド戦略の課題

マルチクラウド環境は組織のリスクを増大させます。リスクは、次のようなさまざまな課題から生じる可能性があります。

クラウドに対する脅威

オンプレミス環境に対する脅威があるのと同じように、マルチクラウド環境に影響を与える脅威もあります。組織のクラウド環境に影響を与える可能性があるさまざまな脅威を考えると、73% の組織がクラウドセキュリティに強い、または非常に強い懸念を持っているのは驚くことではありません。このような脅威としては、次のようなものが挙げられます。

• ボットネット
• ゼロデイエクスプロイト
• 仮想通貨マイニング
• マルウェア
• 悪意のあるインサイダー
• ランサムウェアや脅威のラテラルムーブメント

データ損失と侵害

侵害とデータ損失のリスクは最も注目を集めます。『2023 IBM Cost of a Data Breach Report』⁴ によると、すべてのデータ侵害の平均被害額は 445 万米ドルでした。その他のデータポイントにはクラウド環境が含まれており、クラウドに保存されているデータに関わる侵害と複数の環境にわたる侵害の割合は、それぞれ 82% と 39% でした。また、複数の環境にわたる侵害の被害額は平均より高い 475 万米ドルに達しており、すべてのマルチクラウド戦略でデータ損失防止とラテラルムーブメントに対する防御が必要不可欠となっています。

複雑さ

クラウドに対する脅威の状況に対応する中で、組織は次のような数多くのマルチクラウドセキュリティの課題に対処しなければなりません。 

• 共同責任モデルの複雑さ（およびグレーゾーンと予測のつかない変化） 
• 可視性や制御性の低下をはじめとする、クラウドに固有のリスク 
• さらなる考慮が必要とされる、クラウドに固有のオープンモデル 
• さまざまなクラウド環境の一貫性のないアーキテクチャとインフラストラクチャ 
• 人材不足やコンプライアンスなどのその他の問題 

このような課題の多くに対処するには、（そうした課題をより困難なものにする）クラウドネットワーキングとクラウドセキュリティだけでなく、各クラウドプロバイダーの製品やサービス、アーキテクチャ、自動化、セキュリティツールに関するきめ細かい専門知識が必要です。 

複雑で曖昧なうえに柔軟性に欠ける共同責任モデル 

パブリッククラウドの共同セキュリティ責任モデルは、セキュリティチームの気を引き締めさせるものです。通常はプロバイダーからガイドラインが提供されますが、実際にはそれらに完全に頼ることはできず、場合によっては線引きが曖昧なように思われます。これは特に、エンドユーザーが修正を待ちながら軽減することを求められた、最近のクラウド サービス プロバイダー内でのエクスプロイトについて考察したときに明白になりました。 

従来のサービス アウトソーシング モデルでは、プロバイダーがチームと連携して境界を明確に定義していましたが、クラウドではそうではありません。 

プロバイダーから次々とアップデートや新しいサービスが提供される中、状況はより一層厳しくなっています。プロバイダーは、毎年のように数多くのサービスや新機能を導入し、数えきれないほど多くのアップデートを実施します。デベロッパーは、特定の問題が解決されたり新たな機能が追加されたりすることから、熱心にサービスを利用します。急速な変化によってデベロッパーは業務を進めやすくなりますが、セキュリティチームの業務はさらにハードになります。

そうなると、セキュリティチームは絶えず遅れを取り戻さなければならない状況に陥り、変化が起きるたびにその影響を明らかにしようとします。このような課題は展開したクラウドの数とともに大きくなり、問題はすぐに悪化します。 

図 2. 共同責任モデル

その他の課題 

クラウドセキュリティに固有のリスク 

可視性と制御性の低下は多く見られる問題であり、調査対象となったサイバーセキュリティ プロフェッショナルのうち、導入の最大の障壁として可視性の欠如と不十分な制御を挙げたプロフェッショナルの割合は、それぞれ 53% と 46% に達しました3。その他のリスクとしては、安全でない API やマルチクラウド全体にわたる一元的なビューの欠如などがあります。 

人材不足

サイバーセキュリティ業界は長年人材不足の問題に取り組んでいますが、最新のデータによると、2020 年には全世界でセキュリティ担当者が 310 万人不足していました5。プロバイダーに固有のセキュリティには、各クラウドの設定に関する高度な専門知識が必要とされ、それが人材の問題を増大させる要因となっています。

ポリシーの適用 

クラウドとアプリケーション アーキテクチャの制御はそれぞれに異なるため、環境全体に一貫したポリシーが適用されず、保護のギャップが生じてセキュリティ態勢が弱まってしまいます。

クラウドにおける多層防御の実現 

クラウドのアーキテクチャとセキュリティのアプローチはオンプレミスとは異なりますが、多層型のセキュリティの考え方は同じように適用されます。攻撃のすべての脅威媒体とタイプをカバーする万能なソリューションはありません。セキュリティレイヤを構築するときは、次のような機能について検討します。 

• すべてのクラウドにわたるすべての資産（アプリケーション、API、ワークロードなど）とセキュリティモニタリング、およびセキュリティモニタリングが想定どおりに機能しているかどうかについての可視性 
• ファイアウォール、データ損失防止（DLP）、セグメンテーション、侵入検知/侵入防御システム（クラウドの IDS/IPS）などのクラウド ネットワーク セキュリティ 
• Web アプリケーション ファイアウォール（クラウドの WAF）と悪意のある IP のブロックによる Web の脅威に対する防御  
• アプリケーションのライフサイクル（開発、テスト、実稼働）とアプリケーションのタイプ（一般、機密、コンプライアンス）全体にわたるコンテキスト連動セキュリティ 
• これらのセキュリティレイヤをデータセンターから拡張したり、アーキテクチャの上に固定したりするのは効果的ではなく、それによってマルチクラウド全体にわたるツールのオーケストレーションや自動化などの新たな問題が生じます。 

一方、クラウドネイティブな方法でネットワーキングとセキュリティの両方を提供するソリューションには、次のような多くのメリットがあります。 

• 俊敏性、拡張性、柔軟性などが向上する。 
• クラウドアプリケーションとシームレスに連携する。 
• 新しいアプリケーションやインフラストラクチャを絶えず検出し、アプリケーション コンテキストに基づいて自動的にポリシーを適用できる。

アクティブ防御の導入 

クラウドの脆弱性は、セキュリティチームにとって最大の課題の 1 つです。そのため、セキュリティチームはパッチの適用に多くの時間を費やしています。ただし、脆弱性を管理するだけではゼロデイ脅威を防ぐことはできません。ベンダーが新たな脅威を把握してパッチを作成するまで待っていると遅すぎる可能性があります。 

オンプレミスと同じように、マルチクラウドにもプロアクティブとリアクティブ両方の防御が必要です。アクティブ防御なら、攻撃をブロックして資産に対する不正アクセスを制限し、新たな脅威を防ぐことができます。アクティブ防御の目的は、複数の場所で攻撃のキルチェーンを破壊し、防御のシングルポイント障害に左右されないようにすることにあります。たとえば、侵害されたサーバーの攻撃者、悪意のあるインサイダー、またはランサムウェア攻撃を阻止するには、最終的に、サイト、ドメイン、URL の既知のカテゴリに対するすべてのアウトバウンドトラフィックを制限するのが効果的です。 

マルチクラウド セキュリティ ソリューションの要件 

マルチクラウド セキュリティ ソリューションは、カテゴリによって機能が異なりますが、展開と管理のシンプルなどのコモンクライテリアがあります。ベンダーのマルチクラウド セキュリティ ソリューションを評価するときには、次のような側面を検討します。 

継続的な可視性 

データ漏洩などの悪意のあるアクティビティを検出するには、クラウドの資産情報と脅威インテリジェンスに、インターネットからのインバウンド、インターネットへのアウトバウンド、水平方向、Platform-as-a-Service（PaaS）サービスに対するものといった、すべてのトラフィックフローに対する完全な可視性を組み合わせる必要があります。 

包括性 

完全かつ堅牢な機能セットを備えたソリューションは、複数のポイント製品の必要性を減らすかなくし、クラウドセキュリティを統合できるようにします。動的なポリシー適用、セグメンテーション、ネットワーク保護（クラウドファイアウォール）、Web 保護などの重要な機能があるかどうかを確認します。 

アクティブ防御機能 

現在のセキュリティで可能なのが、プロアクティブな脅威の阻止ではなく脅威への対応だけなのであれば、チームは絶えず攻撃者から一歩以上後れを取っています。これまで、アクティブ防御にはエージェントベースのソリューションが必要でしたが、今では、組織はエージェントレスのアプローチでアクティブ防御を実現し、展開とメンテナンスの課題を軽減できます。 

クラウドの拡張性 

ビジネスの要件と環境は絶えず変化しているため、セキュリティはそうした変化に合わせてすばやく拡縮できなければなりません。マルチクラウド セキュリティ ソリューションは、チームが複数のクラウド、地域、アカウントにわたるツールの運用について常に頭を悩ませなくて済むよう、需要に応じてセキュリティを自動的に拡張したり、新たな資産を実稼働環境に導入された時点で検出したり、コンテキストベースのポリシーを適用したりするものであるべきです。マルチクラウド セキュリティ ソリューションは、チームが複数のクラウド、地域、アカウントにわたるツールの運用について常に頭を悩ませなくて済むよう、手動による操作を行うことなく、需要に応じてセキュリティを自動的に拡張したり、新たな資産を実稼働環境に導入された時点で検出したり、コンテキストベースのポリシーを適用したりするものであるべきです。 

展開の容易さとスピード

クラウド セキュリティ ソリューションは、すでに複雑なマルチクラウド環境をさらに複雑にするものであってはなりませんが、多くのベンダーの製品は、パブリック クラウド インフラストラクチャに展開するのが難しく時間がかかります。簡単に成果を得られたり、すばやく導入できたり、既存の環境でネイティブに動作したりするターンキーソリューションを探します。そうすれば管理者が手動で環境を適応させる必要がなくなるうえ、導入したソリューションはそのクラウドの API を通じて環境を「把握」します。 

単一のポリシーフレームワーク 

さまざまなクラウドをカバーする集中管理プレーンにより、1 つのコントローラから一貫してセキュリティポリシーを適用できるようになるため、マルチクラウドの管理が簡素化されて複雑さが軽減されます。これを実現するには、コントロールプレーンとデータプレーンを切り離す抽象化層を提供するセキュリティソリューションが必要です。 

図 3. Cisco Multicloud Defense のマルチクラウド ネットワーク セキュリティに対する包括的なアプローチ

Cisco Multicloud Defense で一元化されたシンプルなマルチクラウド ネットワーク セキュリティを導入 

Cisco Multicloud Defense は、マルチクラウド環境におけるセキュリティの展開と管理の複雑さを解消します。サービスとして提供されるこのソリューションは、単一のコントロールプレーンで AWS、Azure、GCP、OCI のセキュリティ管理を一元化し、複雑なマルチクラウド環境を簡素化します。 

Cisco Multicloud Defense の特長 

• （ファイアウォール、WAF、DLP、IDS/IPS を含む）高度なセキュリティ管理によるプロアクティブな多層防御 
• インフラストラクチャの追加を必要としない、わずか 5 分で完了する展開 
• すべてのクラウドアプリケーションおよびインフラストラクチャに対する継続的かつ動的なリアルタイムの可視性 
• マルチクラウド全体への一貫したポリシーの自動適用を可能にする、単一の動的なポリシーフレームワーク 
• 脅威インテリジェンスフィードとセキュリティ情報イベント管理（SIEM）やセキュリティ オーケストレーション、自動化、対応（SOAR）などのサードパーティ ソリューションを統合する、柔軟なオープンプラットフォーム 

今日の IT チームと DevOps チームは、すばやい対応でビジネスの競争力を維持するデジタル トランスフォーメーションなどのイニシアチブをサポートしています。Cisco Multicloud Defense は、チームが既存の有能なリソースを活用し、セキュリティを損なうことなくクラウドの経済性のメリットを最大限に得られるようサポートします。 

図 3. Cisco Multicloud Defense のマルチクラウド ネットワーク セキュリティに対する包括的なアプローチ

マルチクラウド環境に必要な制御を取り入れる 

マルチクラウドの導入はもはや選択肢の 1 つではなく、俊敏性がビジネスの成功に影響する、変化の激しい今日のビジネス環境に欠かせない要素です。マルチクラウドの課題と要件を完全に理解しなければ、マルチクラウドへの移行で直面する可能性がある障害やリスクを把握するのは難しいでしょう。クラウドファーストの考え方にシフトする、つまり設計の段階から複雑さとリスクを最小限に抑えるようになっており、組織が目まぐるしく変化するマルチクラウド環境でしっかりと制御を保てるようサポートするセキュリティソリューションを導入すれば、そうした障害を克服できます。 

不明な点がある場合や Cisco Multicloud Defense の活用方法をご覧になりたい場合は、シスコの製品ツアーをご覧いただくか、デモをリクエストしていただくか、無料トライアルをお試しください。 

参考資料 

1. 『2022 Global Hybrid Cloud Trends Report』、451 Research 社、シスコ、2022 年
2. 『Gartner Hype Cycle™ for Workload and Network Security』、2022 年
3. 『HashiCorp State of Cloud Strategy Survey』、2021 年
4. 『IBM Cost of a Data Breach Report』、2023 年
5. 『ISC2 Cybersecurity Workforce Study』、2020 年