管理権限を手放さずにパブリッククラウドへ移行するには

2018年10月5日

クラウドインフラの長所については、改めて説明するまでもないでしょう。しかしながら、ビジネスアプリケーションをパブリッククラウドに移行すると、情報セキュリティ部門の仕事が煩雑になります。さらに、パブリッククラウドへの移行によりハイブリッド化を進める(プライベートクラウドとパブリッククラウドを融合する)となると、情報セキュリティ部門だけではなく、ITサービス部門も神経をとがらせることになります。懸念はもっともです。日常業務の安全かつ安定的な遂行に不可欠なシステムやデータが突然、自分たちの手が直接届かない場所へ移ってしまうのですから。しかし、そんな懸念は当然のものなのでしょうか?それとも?

大企業の大半では、すでに何らかの形で仮想化テクノロジーを利用しています。少なくとも、リソースを統合して仮想サーバーと仮想マシンに分散させるプライベートクラウドは導入済みです。その一方で、パブリッククラウドに対する企業の関心が高まりを見せています。パブリッククラウドは保守費用の大幅削減やSLAの最適化が可能で、容量スケーリングがしやすいためです。

クラウドの使用により、データセキュリティへの取り組みが変わるのはなぜでしょうか?そして、情報セキュリティの専門家が神経質になる理由は?ここでは、企業インフラをパブリッククラウド業界大手のAmazon Web Services(AWS)に移行するケースを見てみます。

まず、情報セキュリティ部員が神経質になるのは、AWSに管理権限を譲り渡すことになると感じるためです。プライベートクラウドの場合、ハードウェア、ネットワーク機器、仮想化プラットフォーム(ハイパーバイザー)からOSやアプリケーションに至るまで、あらゆるものの管理権限を情報セキュリティ部門が握っています。パブリッククラウドの場合、情報セキュリティ部門が管理できるのは仮想マシンと、インストール済みのOSおよびアプリケーションくらいのものです。したがって、実質的に無制限の演算能力を手に入れる一方で、専門的なセキュリティツールの使用が制限されるようになります。

これは「責任共有モデル」と呼ばれるアプローチであって、心配するほどのことではありません。クラウドインフラの可用性を保証し、基本的な保護を講じる責任は、サービスプロバイダー側にあります。AWSには、仮想マシンのディスク暗号化やセキュアVPNなど、クラウドネイティブの各種セキュリティテクノロジーが組み込まれています。しかし、これらの組み込みセキュリティが仮想マシンで行われる作業の前後関係を必ずしも正確に評価できるとはいえず、それ故にゼロデイ脆弱性など高度なサイバー脅威に対する防御効果はそれほどでもありません。したがって、OSやアプリケーション(ひいては仮想マシン内のデータ)の保護は、顧客側の責任になります。

もう1点挙げると、情報セキュリティの専門家は変化を嫌います。ITの慣行、監視のメカニズム、そしてサイバーセキュリティは、企業のビジネスプロセスに深く組み込まれているのが普通です。パブリッククラウドへ移行することでこうしたものを失えば、新たなセキュリティリスクが生まれるのは避けられません。さらに、監視用コンソールや管理コンソールを複数使用すれば脅威の検知が難しくなり、ハイブリッドクラウドが深刻なサイバー攻撃標的となりやすくなるため、新たなセキュリティ管理ソリューションが必要になる可能性があります。

ただし、この問題には解決策があります。当社のハイブリッドクラウド向けの保護ソリューションは、クラウドインフラのコンポーネントに対するアクセスレベルに関係なく、仮想マシンの安全確保に必要なテクノロジーがすべて用意されています。

同時に、Kaspersky Security Centerコンソールの次期バージョンは、統合プロトコルを通じてパブリッククラウドへ接続することができます。これによりクラウドインフラの高いレベルの管理性と透明性がもたらされるだけでなく、パブリッククラウド内の仮想マシンへ保護を自動展開することも可能となります。さらに、物理的なエンドポイントやサーバーも、同じコンソールから管理できます。

Kaspersky Labのハイブリッドクラウド向けセキュリティソリューションがあれば、情報セキュリティ対策を考え直したり、新しい保護方法を探したりする必要はありません。また、パブリッククラウドへの移行やハイブリッドクラウドインフラを構築した際に管理権限を失う事態を避けることも可能です。