世界中の企業がDXを進める中、政府機関も住民中心で利便性が高いインフラへの変革に取り組んでいます。その実現において、クラウドサービスはデータ活用、意思決定、コスト効率、拡張性といった観点から、重要な役割を担っていますが、クラウドサービスを利用することによって、データのプライバシーとセキュリティへの対応から解放される訳ではありません。利用するクラウドサービスが、常に高度化しているサイバー攻撃の脅威と法令の要求事項に適切に対応しているかを理解する必要があります。
本稿では、政府機関で急速に採用されたクラウドサービスで見られた以下の観点を解説します。
政府機関がクラウド環境を保護する上での障害
サードパーティプロバイダ
サードパーティのテクノロジープロバイダは、政府機関にとって信頼できる存在となる必要があります。彼らは通常、機密データへの鍵を握っており、もしそれが危険にさらされれば、政府機関は国民の信頼を失い、国家の安全を脅かすことになります。政府機関が信頼に足らないと判断したことによって、重要なデータをクラウドに移行できないケースが多数ありました。
役割と責任
クラウドへの変革を成功させるには、組織とクラウドプロバイダの間のデータセキュリティといった責任を、明確にする必要があります。クラウド管理に必要な新しいスキルが社内で不足していることに加え、責任と役割が明確でないことで、クラウドへの変革に失敗していることがありました。
デジタル主権とデータ越境移転規制
多くの国家がデジタル主権を保持しようとしており、インフラストラクチャーやデータを外部のクラウドサービスの手に委ねることに消極的です。これに対応するため、クラウドプロバイダは多くの国で専用のデータセンターを立ち上げてきています。また、GAIA-X(欧州の次世代データインフラストラクチャー構築の提案)のようなイニシアティブもあります。GAIA-Xは、革新的ながらデジタル主権の最高水準を満たす安全な連合システムで、現在300以上の組織が推進中です。
規則
EUの一般データ保護規則(GDPR)は、クラウドプロバイダに高いデータプライバシー基準を要求しています。ブラジルやインドのように、自国の法律を導入して追随している国もあり、実装される標準が国によって異なり、クラウドプロバイダにとって新たな課題となっています。
安心・安全なクラウド環境の実現に向けた指針
学習する組織
クラウドテクノロジーに長けた人を惹きつけるのは、金銭以上に文化です。将来性のある従業員は、リスクを過度に回避し動きの遅い従来型の組織には属したがらないことを認識する必要があります。イノベーションや挑戦に寛容な文化を創り出すことは、新しい才能を惹きつけるのに役立ちます。
環境の理解
どのようなデータを保持し、どのデータをオンプレミスではなくクラウドで適切に保存できるかを理解し、このデータを正しく分類して保存するための統制を実装します。政府機関は機密性の高いデータを保有しているため、悪者の手に渡ると、国家の安全が脅かされる恐れがあります。
小さく考え、迅速に行動
迅速に構築し、迅速に分析し、学んだことに基づいて再構築すべきです。また、セキュリティは段階的に実現することができます。たとえば、新しいコンテナ保護方法を少しずつ実行し、ビジネスの迅速な移行を可能にします。
ソフトウェアテストサイクルの初期段階でのセキュリティの検討
セキュリティをソフトウェアテストサイクルのできるだけ初期段階に少しずつ適用します。これを実現するには、開発者がセキュリティチームの関与なしに必要なセキュリティ対策をハードコーディングできるように支援することです。これにはコードによるインフラの構成管理が重要です。
基礎となるコードの理解
コードを読み書きする能力は尊敬されるべきです。図を描いて、ソリューションプロバイダーに渡して、エンジニアに仕組みを構築してもらう、従来のセキュリティアーキテクトの役割から移行し、コーディング能力を持つセキュリティプロフェッショナルがますます必要になります。
事業全体の理解とコミュニケーション
事業の実現性やリカバリ力、情報保護との関連性を理解します。これは、重要なデータがオンプレミスにある場合とクラウドにある場合で少し異なる可能性がありますが、それによる運用の違いを認識した上で、セキュリティの優先事項に集中すべきです。
クラウド移行に伴い直面するセキュリティ課題と対応
クラウドベースのeメールへの攻撃
- クラウドベースのeメールは容易に立ち上げたり拡張できたりして便利ですが、認証情報のみで攻撃が可能であるため、ビジネスメール侵害といった攻撃を引き起こしました。
- 対策として、多要素認証の利用や、不審な振る舞いの検知や監視の導入等があります。
シャドウクラウドに潜む脅威
- IT部門が関知していない、各部門が個別に採用したシャドウクラウドは、ガバナンスとセキュリティ対策が欠如している場合があり、組織全体に対するサイバー攻撃のリスクを増しています。
- 対策として、シャドウクラウドを禁止するポリシーの作成や、許可されていないクラウドサービスへのアクセスをブロックする仕組み等があります。
インシデント対応
- 組織がクラウドに移行した際に、セキュリティ監視の範囲にクラウドを含めるのを忘れたり、インシデント対応手順にクラウドの考慮が漏れたりする場合があります。
- 対策として、インシデント対応手順がクラウドにおけるインシデントにも使用できるか否かについて外部専門家によるテストや、クラウドサービスと相性の良いインシデント対応ツール(SOAR:Security Orchestration Automation and Response)の導入等があります。
本稿は、2021年6月にKPMGインターナショナルのサイトで紹介しているレポートのサマリーです。
全文は下記のリンクよりご覧いただけます。
全文はこちらから(英文)
Securing the cloud — the next chapter in public services