ハイブリッドIT環境を適切に運用して、クラウドから真の価値を引き出すためには、セキュリティに対する戦略的なアプローチが不可欠です。以下では考慮すべき4つの主要なセキュリティ領域について説明します。

長年にわたり、クラウドへの移行を目指す企業にとって、データとアプリケーションのセキュリティは大きな懸念事項となっており、またこれらは懸念すべき事項でもあります。クラウドトランスフォーメーションは複雑で、その道程には多くの課題が存在します。

クラウド環境のセキュリティに対して推奨されるアプローチは、選択した展開モデルの種類に大きく依存します。多くの組織で最初に導入されるのがプライベートクラウドですが、この場合はセキュリティアプローチの変更は最小限で済みます。しかしながら、パブリッククラウドプロバイダーへのワークロードの移行を開始する時点で、自動化の必要性に伴いセキュリティアプローチの進化が求められます。選択可能な展開モデルは複数存在します。 ハイブリッドIT環境では、一部のワークロードがオンプレミスのデータセンターからパブリッククラウドプロバイダーに移されます。ハイブリッドクラウド環境では、プライベートクラウドとパブリッククラウドの両方でワークロードが実行されます。またマルチクラウド環境では、ワークロードを実行するための2番目ないし3番目のパブリッククラウドが追加されます。

これらの環境では、得られるビジネス上の利点がそれぞれ異なり、同様にセキュリティに関する課題も異なります。セキュリティ戦略の策定にあたっては、組織のニーズから業界固有のリスクプロファイルまで、さまざまなファクターを考慮しなければなりません。とりわけ重視すべき事項としては、アクセス制御、暗号化、ログの収集と監視、脅威と脆弱性の管理などが挙げられ、さらにこれらの機能を展開するためにクラウド環境のタイプに応じて採るべきアプローチも明らかにする必要があります。こうした環境でセキュリティを効果的に管理するうえでカギとなるのが、標準化、計測、トレーニング、および自動化の4つの領域です。これらのセキュリティ領域に重点的に取り組むことで、異種混在のクラウドモデルにわたって機能する制御プレーンを構築できます。

 

4つの主要なセキュリティ領域

これらのセキュリティ領域のうち、あらゆるクラウド展開タイプにわたって重要な基盤となるのが標準化です。展開のタイプを問わず、拡張、自動化、および再利用を促進するためには、クラウド環境全体にわたるアーキテクチャーと制御の標準化が欠かせません。すなわち標準化は特定のクラウド内だけでなく、可能な限り環境全体にわたって行う必要があります。標準的な構成がどうあるべきかが明確に定義されていなければ、異常の検出がそれだけ難しくなり、環境内に潜伏している可能性がある脅威の特定に余分な労力がかかります。自動化スタックとイメージビルドを標準化すれば、Infrastructure as Code (IaC) としてこれらを展開し、CI/CDパイプラインの一部として戦術的なセキュリティ保護を適用することが可能になります。 なお各クラウド展開モデルに固有の機能に応じて、ITスタックの特定部分については標準からの逸脱が必要になりますが、その場合も可能な限り統一性を保つよう努めてください。

計測は多くの組織が最初に焦点を当てがちな領域ですが、計測に関する決定はツールのニーズに直結するため、クラウド展開モデルおよび標準を決定した「後で」この領域に取り組むことが推奨されます。計測に関して特に重視すべきは、可視性の向上、およびオンプレミス環境とクラウド環境にわたる相関付けの実現です。セキュリティ運用チームに十分な可視性を提供することで、脅威の潜伏期間 (脅威アクターが検知されることなく活動している期間) を最小限に抑制できます。なおオンプレミス環境とパブリッククラウド環境の両方を標準でサポートしているツールを使用できるのであれば、オンプレミス用のツールをパブリッククラウドサービスに無理に適用すべきではありません。複雑性を最小限に抑制しながら可視性を最大化するためには、ツールスタックを可能な限り共通化し、ハイブリッドIT環境全体にわたって計測の標準化に努めることが大切です。

トレーニングは、パブリッククラウドの導入にあたって見落とされがちな領域ですが、導入を成功へと導くためにはトレーニングが不可欠であり、可能な限り早い段階で開始することが推奨されます。運用上の特徴やアーキテクチャーは、個々の環境によって異なります。脅威ベクトルの現れ方もアーキテクチャーによって異なるため、ITチームやセキュリティ運用チームは、さまざまなアーキテクチャー間の主な違いを理解していなければなりません。例えば、オンプレミスのデータセンター内で一般的に見られる東西トラフィックのように見えるものが、パブリッククラウド環境では侵入者による横方向の移動の可能性があります。

そして最後に取り上げる重要な領域である自動化は、セキュリティプラクティスを合理化し、より少ないリソースでより多くの成果をあげることを可能にします。セキュリティチームは厳しい予算と犯罪者という2つの敵と戦っています。日常的なセキュリティプロセス (セキュリティツールや構成の展開 (シフトレフト)、ログの集約、分析、アラート、コンプライアンスの監視など) を自動化すれば、スタッフはより価値の高い業務に専念できるようになります。セキュリティの自動化の最終段階となるのがSOAR (セキュリティのオーケストレーション、自動化、および応答) の導入で、高精度のフォレンジックデータの収集により問題の検出と修復がサポートされます。例えば、適切なCISベンチマークを適用することなしにLinuxホストが展開された場合、この状況が検出されて、当該ホストは隔離されたサンドボックスに移されます。追加のセキュリティ機能としてSOARを実装することで、ITスタッフはアクティブな脅威ハンティングといった、より有意義な活動に注力できるようになります。 パブリッククラウドプラットフォームではこうした機能が強力にサポートされている一方で、オンプレミス環境ではある程度の手作業が求められるため、ハイブリッドIT環境にわたってこれらの機能がどの程度の効果をもたらすかは、個々の環境によって異なります。

さまざまな展開モデルにわたって、これらの主要なセキュリティ領域に取り組むのは決して簡単ではありません。万能の解決策は存在しませんが、マルチ環境をサポートするための管理アプローチやツールは日々進化を続けています。一例としてコンテナ戦略を採用すると、標準化、ツールの共通化、および堅牢な自動化が促進され、さまざまな展開モデルにわたるワークロードのポータビリティも向上します。コンテナの導入および管理に役立つさまざまなアプローチを提供する、KubernetesやOpenShiftなどのツールも存在します。この2つのツールはいずれも広く利用されており、活発なエコシステムが存在します。 コンテナ戦略の展開による合理化は、ハイブリッドIT、ハイブリッドクラウド、またはマルチクラウド環境のより安全な運用にも役立ちます。

さまざまなクラウドのメリットを安全かつ最大限に利用するためには、標準化、効果的な計測、および堅牢な自動化を推進するとともに、トレーニングを通じて、異なるクラウド環境間のアーキテクチャーや運用の違いについてスタッフを教育することが欠かせません。

 

ハイブリッドITセキュリティの管理における重要事項

アクセス制御

IT環境内で誰が何にアクセスできるのか。それらのアクセスをどのように制御するのか。複数のクラウド環境にわたる拡張と管理を適切に行うためには、これらの点を明確にしておくことが大切です。残念ながら大多数の企業内には、IDとアクセス制御のソースが複数存在しています。IDソースを最小限に抑制して、ロールベースのアクセス管理 (RBAC) を整備することが重要であり、環境全体にわたって可能な限りの集中化と標準化を進めることが推奨されます。領域ごとに異なるIDとアクセスモデルが使用されていると、運用が必要以上に複雑化し、アクセス権の管理でミスが生じる危険性も高まります。

Infrastructure as Code (IaC) プラクティスを導入してRBAC戦略に組み込むと、効率的な拡張が可能になる一方で、複雑さも増大します。しかしながら、これは必要な複雑さであり、苦労に見合うメリットが得られます。複数のクラウド環境を管理するためには、IaCの導入やIDソースの最小化が欠かせませんが、それと同時に、環境によって機能が異なる領域への対処も忘れてはなりません。例えば、CloudFormationやARMテンプレートなどのCSPツールに加えて、Terraformのようなクラウドに依存しないオーケストレーションツールが必要になることが考えられます。

さらにIDとRBACモデル、およびアプリケーションコードのパッケージ化を開始することにより、セキュリティ/運用チームによる環境の監視および管理方法の変更も必要となる点に留意してください。 特権アクセスがコードを通じて効率よく管理されるようになるため、担当チームはこのプロセスを理解したうえで、不正な変更が行われないよう、コードが格納されているリポジトリを厳重に監視する必要があります。

こうしたアプローチは、パブリッククラウドやIaCに不慣れなID/セキュリティ管理専門家が見落としがちな側面であり、監視および管理に対する考え方の刷新が求められます。

 

ログの収集と監視

あらゆる環境の可視化において欠かせないのが、効果的なログの収集と監視です。AWS、Azure、GCPなどのCSPは、自身のプラットフォーム向けに堅牢なログの収集/監視機能を提供していますが、ハイブリッド環境では、こうしたアクティビティの一元化が必要になります。いずれのハイブリッドITモデルでも、資産を安全に管理するためには、環境全体にわたる可視性が欠かせません。大多数の企業には、データセンターベースの環境を監視するためのセキュリティ情報/イベント管理 (SIEM) システムがすでに実装されています。 クラウドへの移行にあたっては、あらゆる監視アクティビティを一元化および集約し、有益なシグナルとノイズを見分け、統合されたSIEMプラットフォームにそれらの要素を組み込む必要があります。多くのクラウドプロバイダーが、こうした取り組みに役立つツールを提供していますが、SplunkやSumo Logicなどのベンダーが提供している、ログ/監視ソースの集約に役立つサードパーティツールを利用することも可能です。

ログの集約を実現できたら、次のステップとして、担当チームはハイブリッドIT環境全体にわたって「正常」な状態を定義したうえで、応答や修復が必要なシグナルの特定に継続的に取り組む必要があります。繰り返しになりますが、セキュリティ専門家によるこうした取り組みについては、トレーニングの実施と自動化の導入が多大なメリットをもたらします。 

 

暗号化

データの分類と保護の方法について考えることも必要です。暗号化の重要性は言うまでもありませんが、展開に一貫性がないことで有効性が損なわれているケースも少なくありません。データを適切に分類し、カテゴリに応じた暗号化を確実に実施することは、オンプレミス環境 (とりわけ長年にわたり有機的に成長してきたデータ環境) における積年の課題です。この問題に関する朗報として、AWS、Azure、GCPなどのクラウドサービスプロバイダーが、それぞれのプラットフォームの基盤となる暗号化管理機能の提供を開始しています。これらの機能はエンタープライズ規模の暗号化を容易にするため、「あらゆるデータ」の暗号化も可能になります。あらゆるデータを暗号化することは、データの分類が誤っていた場合の安全装置にもなります。

ただし、ハイブリッドIT、ハイブリッドクラウド、またはマルチクラウド環境全体にわたってデータを管理する場合は、このような暗号化はメリットの一方で複雑化も招きます。ハイブリッド環境全体にわたってデータリスクの分類を標準化することはそれほど難しくありませんが、暗号化およびキー管理の実施状況をビジネスニーズと環境の機能に照らして評価する必要があります。個々のクラウドサービスプロバイダーが提供しているキー管理機能はそれぞれ異なっており、その違いを反映したキースコープ戦略が求められます。マルチクラウド戦略を選択している場合であれば、キースコープのエッジがCSP環境のエッジと一致しているかを確認したり、異なる環境間でデータを転送する際に発生する費用や復号化/再暗号化方法を検討したりすることが必要です。あるいは別の方法として、キー管理戦略を抽象化する、キー管理のサポートにハードウェアセキュリティモジュール (HSM) を使用する、特定のクラウドプロバイダーのキー管理システム (KMS) をマスターキープロバイダーとして使用する、といったやり方も考えられます。 これらのアプローチにはそれぞれ長所と短所がありますが、効果的なハイブリッド展開を実現するためには、こうしたアプローチの活用が欠かせません。

 

脅威への対応

複数の異なる環境にわたってセキュリティプラクティスを実装する場合、担当チームは問題点に適切に対処するために、環境間のアーキテクチャーの違いを理解している必要があります。また各環境へのアクセスがどのように相互作用するのかを把握することも必要で、環境間に論理的ファイアウォールは存在するか、個々の環境の監視と全体的な脅威ハンティングをどのように実施するか、といった点を考察することが求められます。

ここで重要な役割を担うのがトレーニングと自動化です。脅威の調査および修復を適切に実施するためには、関連するアーキテクチャーについて、スタッフが十分なトレーニングを受けている必要があります。また将来的には、マルウェア保護などの簡単なタスクについては自動修復を実現するために、SOAR (セキュリティのオーケストレーション、自動化、および応答) の統合が必要になることも考えられます。環境内で発生する可能性のある問題への対応を自動化して標準化された方法で対処することで、スタッフはより価値の高い活動に専念できます。

 

万能のソリューションは存在しない

ハイブリッドIT環境を適切に運用して、クラウドから真の価値を引き出すためには、セキュリティに対する戦略的なアプローチが不可欠です。多くの組織がセキュリティの必要性を認識しながらも、どこから着手すればよいかに戸惑っています。大規模なセキュリティの自動化に取り組んでいる組織はまだ少数で、Infrastructure as Codeの導入がセキュリティ運用に及ぼす影響も十分に理解されているとは言えません。いずれのタイプのハイブリッドモデルでも、環境の規模が拡大するほど、安全かつ効果的に運用するために、こうした機能に対するニーズが高まります。

あらゆる環境に適した万能のソリューションは存在しません。検討すべき事項は数多く存在し、熟慮を重ねたうえで取り組みを進めることが大切です。標準化、計測、トレーニング、および自動化を適切に組み合わせることで、クラウド環境におけるセキュリティニーズと運用ニーズの両方に応える計画の策定が可能になります。

_{この記事/コンテンツは、記載されている特定の著者によって書かれたものであり、必ずしもヒューレット・パッカード エンタープライズの見解を反映しているわけではありません。}