新型コロナウイルス感染症(COVID-19)を経て、企業におけるクラウド活用の場面が急速に広がっています。メールやチャット、ビデオ会議といった日々の業務に不可欠なコミュニケーションをはじめ、営業・顧客管理を支援するSaaSや顧客やパートナーに新たな価値を提供するPaaS、IaaSに至るまで、今やクラウドを活用しないビジネスシーンを探すほうが難しいかもしれません。
柔軟性が高く、迅速なビジネス展開を実現する基盤として、幅広く重宝され始めたクラウドサービスですが、オンプレミスとは異なるリスクも潜んでいます。クラウド活用が広がる中でいかにリスクを見極め、セキュリティ対策を進めるべきか。KPMGコンサルティング株式会社(以下、KPMG)のパートナー 薩摩 貴人とテナブル・ネットワーク・セキュリティ社(以下、テナブル社)のシニアセキュリティエンジニア 花檀 明伸氏の対談を通して、全3回にわたり解説します。
ビジネスニーズへの対応で「市民権」~国の政策もクラウド普及を後押し
Q:日本企業でクラウドの活用が広がっています。
薩摩:コロナ禍以前からクラウドの活用は増えつつありましたが、やはり、コロナ禍に伴うリモートワークの拡大が追い風になり、コミュニケーションツールとしてクラウドを活用せざるを得ない状況が進展したことが背景として挙げられます。
政府共通プラットフォームの基盤としてクラウドサービスが採用され、ガバメントクラウドが進展していることも、クラウド利用の広がりを示す証左と言えるでしょう。これに伴い、政府のセキュリティ評価制度「ISMAP※」が整備され、金融機関においても「クラウドなどもってのほか」という雰囲気から、クラウドを活用する流れへシフトしていることを実感しています。
※Information system Security Management and Assessment Program(政府情報システムのためのセキュリティ評価制度)
Q:かつては選択肢としてみられていなかったクラウドが一気に広がった理由として、コロナ禍以外の要因もありますか?
薩摩:ビジネス側の要請でクラウドが市民権を得るようになったことが大きいと思います。当初、クラウドをビジネスに活用していたのは先駆的な企業のみでしたが、オンプレミスでは追随できないビジネススピードを実現できることが評価され、採用が急速に拡大しました。
こうした流れを後押ししているのが、デジタルトランスフォーメーション(DX)でしょう。DXを実現するにあたっては、オンプレミスで基盤を整備しようとしてもスピード感が出せません。クラウド上に基盤を構築し、迅速に整備することが不可欠になりました。環境の変化に伴い、M&A(企業の合併・買収)でビジネスを拡大する企業が増えていますが、その際にさまざまな環境や通信回線を集約するといった観点から、クラウドを活用する動きも増えています。
「関係者のみ」のつもりが世界中に公開?クラウド特有のインシデントに注意
Q:一方、クラウド環境ならではのリスクも浮上しています。
薩摩:「設定を間違え、本来ならば広く開示すべきではないデータがインターネット上に公開される」といったインシデントが、政府機関や自治体を含め数多く報告されてきました。クラウドサービスを提供するベンダー側でデフォルト設定が変更され、利用者が気付かぬ間に公開される状態になっていたケースも出ています。いずれにせよ「利用する側の意図せぬところでクラウド上の情報が開示される」というインシデントが、クラウド環境ならではのリスクの1つとして認識されていると思います。
花檀氏:クラウドにはオンプレミスにはないテクノロジーがあり、利便性が高いため、クラウド特有のリスクが生じるといった面があります。 先ほどデータが広く開示されてしまうインシデントの話がありましたが、オンプレミス環境は限られた人間しかアクセスできない隔離されたネットワークの中に、NASなどのストレージを置いていました。これに対し、クラウドのストレージサービスでは、パブリックな場所にサービスとして置かれることになります。ロケーションで隔離できていたNASとは異なり、適切に設定し構成しておかなければ、セキュリティインシデントにつながってしまいます。
誰もがデータを見られるということ自体が悪いというわけではないと思います。クラウドサービスはそもそも「パブリック」という言葉が付いており、複数の利用者が活用するためのサービスです。利用者それぞれの考え方や用途によって必要とされる構成は変わってきます。このためクラウド事業者は、利用者やその目的ごとに異なる構成に対応できるような形でサービスを用意しなければいけませんし、利用者はそれを理解し「ここはアクセス制限を厳しくする」といった構成を加えなければいけません。このプロセスが抜け落ちていることが問題につながっているのではないでしょうか。
まとめると、クラウドがもたらすメリットとリスクは表裏一体で、諸刃の剣という面があることを意識しながら活用しなければいけないでしょう。逆に、リスクがない形でクラウドサービスを利用しても、すごく使いづらくなってしまうと思います。
Q:ストレージサービスのほか、メリットとリスクが背中合わせになっている部分はありますか?
花檀氏:クラウドサービスのメリットとして最も大きいと感じているのは、アジャイル、つまり迅速な点です。ビジネスニーズを実現するITインフラやITサービスをきわめて迅速、かつ、ダイナミックに実現できることが最大の長所の1つだと思います。ただ、それが実現できるがゆえに、従来のオンプレミスでは気にする必要がなかった問題点やセキュリティリスクを意識しなければならないのも事実です。
クラウドのメリットとリスクは「表裏一体」、理解した上で適切な活用を
Q:クラウド特有のリスクがあることを理由にオンプレミスに固執するのは、賢明な企業戦略とは言えないでしょうか?
薩摩:そうですね。クラウドサービスは共有リソースであり、インターネットからアクセスし得るサービスであるという前提に立って、適切に管理したうえで活用していくことが重要だと思います。
最近企業から増えている要望に「クラウドサービス利用時のリスク評価基準を社内で整備したいので手伝ってほしい」というものがあります。まずは判断基準を作成し、それに基づいてヒトがしっかりチェックし、意図せずデータが開示されないよう、安全な状態で使う取組みを進めていくわけです。ただ、運用していくうえでミスや漏れが発生する可能性はありますから、そうしたリスクを認識しつつ、クラウドサービスを活用しビジネスに生かしていくことが、経営の指針として必要だと思います。
花檀氏:インターネットの黎明期には「eコマースは危なくて使えない」「インターネットでクレジットカード番号を送信するなんてあり得ない」と言われた時期もありましたが、現在、eコマースなしの生活は想像できないほど広く普及しています。利便性が高ければユーザーもついてきますし、大きなビジネスチャンスが生まれる、というわけです。大きな潜在性を秘めた市場に出て行かないという決断は、貴重なビジネスチャンスを逃してしまうことだと言えるでしょう。
簡単には比較できませんが、クラウドサービスもeコマースと同じような利便性やビジネスの可能性をもたらしています。経営判断として、それらを活用しないままチャンスを逃し、競争に負けることが良いか、というとそうではないでしょう。クレジットカード情報を扱うセキュリティ対策が強化され、PCI DSSのようなガイドラインが整備されてきたのと同様、クラウドに関しても、利便性を生かしつつセキュリティを確保できる方向を目指すのが健全だと思います。弊社のようなセキュリティベンダーは、そういったご要望に応えられるソリューションを提供していくことが使命だと考えています。
次代のビジネスを支えるクラウド環境~セキュリティ対策のポイントは
第3回目は近日中に公開予定です。
テナブル・ネットワーク・セキュリティ社と対談シリーズです。第1回にリンクします。2回目以降はリンク先からご覧いただけます。