クラウド コンピューティングの発展は、セキュリティ業界にどのような破壊的な変化をもたらしましたか?

クラウド コンピューティングの出現により、従来の企業の IT 構造と IT 業界全体が完全に変化しました。それに伴うクラウド セキュリティも多くの新たな問題に直面しており、それらに対処するには新たなセキュリティ管理のアイデアと技術的手段が必要です。しかし現実には、ほとんどの企業の概念や技術的手法は、依然として従来の IT 時代にとどまっています。多くの企業は、クラウドを単に大規模なサーバー クラスターとして使用しており、クラウドによってもたらされる基盤となるテクノロジーの本質的な変化を認識していません。概念の違いによる最も直接的な結果は、安全管理レベルの遅れであり、多くの安全上の問題を引き起こすことになります。

本稿では、クラウドコンピューティングがIT業界にもたらした変化、企業がセキュリティ構築で直面する新たな課題、そして当社の対応戦略と手法を中心に、当社独自のクラウドプラットフォームセキュリティ構築とクラウドテナントセキュリティ運用の実践に基づいた考察を詳しく述べていきます。

1. クラウド コンピューティングは IT 業界にどのような本質的な変化をもたらしましたか? また、それに伴うセキュリティ上の変化は何ですか?

1. セキュリティ管理モデルの変更。従来のセキュリティ分野では、IT 資産の所有権と機器の制御は基本的に同じです。誰がそれを使用し、購入し、所有し、管理するか。たとえば、ある企業は当初年間 1 億元の IT 予算を持っており、その中には財務部門に属する ERP、人事部門に属する HRM など 40 を超えるシステムが含まれていました。明確な責任と権限を持つこれらのサブシステムは共同で企業内の大規模な IT ネットワークを形成します。コスト モデルと組織の所属は一貫しています。どの部門がどのソフトウェア システム、どのソリューションを使用しているか、これらのシステムをサポートするネットワークは何か、どこに展開されているか、所有権と使用権は明確であり、物理的な境界は非常に明確です。現時点では、誰でも簡単にセキュリティ ソリューションを開発できます。しかし、クラウド コンピューティングでは、資産はほとんどが「レンタル」されており、資産の所有権と管理、および企業によるサービス、製品、テクノロジ モデルの選択に大きな変化が生じています。これはセキュリティ自体の問題ではありませんが、安全要因の選択とセキュリティの開発に大きな影響を与えます。これが、今日のクラウド時代のセキュリティ構築が直面する最大の問題です。

2. コンピューティング コンテンツとテクノロジの変化。一方ではコンピューティング能力に変化があり、他方ではデータ量に変化があります。これら 2 つの問題により、従来のセキュリティ メカニズムはクラウドには適用できなくなります。計算能力の面では、最も単純なセキュリティ技術であるデータ暗号化技術を使用した場合、20 年前、標準的なサーバーで MD5 を解読できる回数は、基本的に 1 秒あたり数千から数万回程度であったため、20 年前は MD5 は比較的安全なアルゴリズムであると考えられていました。しかし、今日では、一般的なデスクトップ コンピューターは、GPU アクセラレーション テクノロジを使用して、1 秒あたり 55 億回以上の速度で MD5 暗号化を解読できます。計算能力は過去に比べて 1,000 万倍以上増加しており、計算能力の大幅な増加により、従来の一見安全と思われるメカニズムが無効になっています。一方で、データ量は増加しています。データ量は毎年何倍、あるいは10倍にも増加しており、セキュリティメカニズムに影響を与えます。セキュリティ暗号化技術を例にとると、暗号化技術の量が少ない場合、暗号化時間、コスト、パフォーマンスへの影響は無視できます。 T レベルまたは P レベルに達すると、暗号化時間は数分、数時間、さらには数日にも達し、実際の業務運用環境ではまったく受け入れられません。

3. インフラストラクチャとアプリケーション アーキテクチャの変更。クラウド時代では、フラット アーキテクチャ、仮想化テクノロジの適用、分散組織の遍在、異機種コンピューティング、サービスの抽象化など、多くの新しいテクノロジが導入されました。これらのテクノロジにより、攻撃対象領域や攻撃パスの分析のいずれの観点からも、セキュリティ分析を実行する際の状況はより複雑になります。従来の IT 構築サイクルは非常に長く、半年、あるいは 1 年かかることもあります。サーバーハードウェアの到着時間は1～3か月、ソフトウェアシステムの構築サイクルは基本的に半年～数年、システム全体のライフサイクルは数年～数十年です。 5～10年の長期サイクルを持つシステムの場合、当社のセキュリティ構築では、1年ごとに全体的なリスク評価を実施してITシステム全体のリスクを評価し、その後、月ごとに脆弱性スキャンを実行し、月ごとまたは四半期ごとにシステムパッチ管理を実行します。対応する非常に厳格なプロセスにより、段階的にローリングサイクル管理を実行できます。

しかし、今日のコンピューティング環境では、私たちは非常に速いペースで絶えず変化する環境に直面しています。たとえば、サーバーレス テクノロジーの適用により、現在ではクラウド上でサーバーレス アプリケーションを起動するのに基本的に 3 ミリ秒かかり、サーバーレス インスタンスの最短ライフサイクルは 100 ミリ秒となっています。このような機能を実行しているインスタンスに脆弱性があったり、侵害されたり、侵入されたりした場合、攻撃イベント全体のライフサイクルは数百ミリ秒のレベルになります。クラウド上にはこの技術のアプリケーションが多数存在し、毎秒多数のインスタンスが起動され、すぐに消えていくため、悪意のあるコードによる攻撃はそれらの中で排除される可能性があります。監視と予防のための新しい技術がなければ、従来の静的または長期サイクルのメカニズムはまったく効果がないと言えます。したがって、今日私たちは、動的かつ急速に変化するライフサイクル モデルと、継続的な対立の環境に直面しています。

2. 外部環境の変化が企業のセキュリティ構築にもたらす新たな課題

GDPRの施行を契機に、サイバーセキュリティ関連の法規制は世界的に基準が徐々に厳しくなってきています。その後数年間にわたり、国内外でサイバーセキュリティに関する主要な法律が次々と導入されました。中国の「データセキュリティ法」「個人情報保護法」「重要インフラ保護条例」はいずれも2021年に導入され、近年のさまざまな法律でネットワークセキュリティの責任者が明確に定義されています。 「サイバーセキュリティ法」や「データセキュリティ法」では、ネットワークセキュリティに対する主な責任は企業が負う必要があると明確に規定されています。

これは法的なレベルでの課題です。技術レベルでは、クラウドコンピューティングによって導入された新技術が新たな生産性をもたらし、多くの伝統的な企業もクラウドコンピューティングの時代に急速な発展を遂げています。しかし、技術進歩の「コイン」の裏側には、新たな課題が存在します。私たちセキュリティ専門家の観点から見ると、クラウドは「大きなハニーポット」です。クラウド上の膨大なデータとビジネスは、必然的にブラック産業や攻撃者を引き寄せることになります。

過去数年間にわたり、セキュリティの脅威に関するいくつかの大きな傾向が見られます。まず、脅威の主体に関して言えば、専門組織や APT 組織がますます増えています。 2020年の米国の報告書によると、現在、世界には国家レベルの攻撃能力を持つハッカー組織が40以上存在し、次いでアナーキストハッカー、商業スパイ、組織犯罪が続いている。中国では、ブラック産業とグレー産業が商業攻撃事件全体の主流となっている。これらの脅威主体は、より高度な技術、武器、組織能力を有しています。攻撃対象としては、レベルがさらに広範囲に分散しており、国の重要インフラ、企業の業務データ、個人の機密情報などが攻撃対象となっている。デジタルとリアルの融合の流れは止められない。より良い発展を実現するためにデジタル化に頼ることが、企業の発展の唯一の方法となっています。ただし、前提条件として、デジタル開発が安定的かつ予測可能になるためには、優れたセキュリティ システムを確立する必要があります。

クラウド プラットフォームを構築し、お客様のクラウド セキュリティ構築を支援する過程で、私たちはこの業界が非常に大きなギャップに直面していることを発見しました。それは、リソースのギャップと人材のギャップです。人材のギャップは、絶対数のギャップだけでなく、十分な専門スキルを持つ専門家の不足にも反映されています。近年、わが国のさまざまな分野に、さまざまなサイズの何千ものクラウドが確立されています。各クラウドの日常的なセキュリティ運用（定期的なリスク評価、脆弱性スキャン、日々の監視など）には、攻撃と防御の実践経験を持つ約 30 人の専門家が必要です。これは、クラウドセキュリティ運用の分野に限っても、クラウドセキュリティ業界の現在のサービス供給能力をはるかに上回るものとなっています。

3. サイバーセキュリティ業界における現在の需要と供給の不均衡をどのように解決するか?

クラウド セキュリティの分野では、製品の制約、技術的な制約、人材不足の制約、アイデアやアーキテクチャの制約など、さまざまな制約に直面していますが、この問題をどのように解決すればよいのでしょうか。私たちは、現代の安全保障には「戦争意識」が必要だと考えています。戦争は動的であり、損失とトレードオフが必ず発生します。 「絶対的な安全」というのは非現実的です。したがって、今日の私たちの安全保障上の考え方は、比較的合理的な投資を利用して最大の成果を達成し、全体の水位を一定の高さまで上げることであるべきです。

戦争思考における安全保障管理の基本原則は 2 つあります。

まず、普遍的な問題を解決し、低レベルの脆弱性がセキュリティに影響を及ぼして企業に損失を与えないようにする必要があります。

第二に、重大な安全事故を回避し、安全性が十分なレベルにあることを確認します。これら 2 つの原則を達成するために人間の意欲に完全に頼るのは非現実的です。まず、人材と専門家が不足しています。第二に、人々は怠慢や不注意になりがちです。

上記の理解と、テンセントの過去数年間のクラウド プラットフォームに関する実践的な経験と蓄積に基づいて、本日、クラウド ネイティブ セキュリティ ホスティング サービスという新しいコンセプトを立ち上げました。過去数年間の運用で、私たちは小さな問題を一つずつ解決できるように、クラウドネイティブのシステム自動化ツールを多数蓄積してきました。最終的には、このようなツールによってリスクの大部分が排除されます。最終的に、データ駆動型、リスクインテリジェンス共有、自動化された作業エンジンを通じて、クラウドプラットフォームセキュリティサービスのコアエンジンを形成しました。したがって、最終的にセキュリティ サービスを 3 つのレベルに分割します。

まず、軽微なインシデントに対処し、それを減らします。現在、クラウド上では毎日 1 億件を超えるバッチ脆弱性スキャン イベントが発生しています。顧客であれば、毎日これほど大量のイベントに対応し、パスワードをスキャンしている人が何人いるのか、毎日何人が侵入しているのかをチェックするのは不可能です。しかし、これには多くの人材が必要になります。気にしないと、影響レベルが十分に高い重大なインシデントが発生し、さらに大きな影響が出ることになります。これは、運用プラットフォーム全体のバッチメカニズムであるクラウドプラットフォームレベルの第1レベルのリスク排除メカニズムを通じて排除され、すべてのユーザーに無料で提供されます。

第二に、自動化エンジン、データ分析、およびインテリジェンス主導の特定のカテゴリの急速なクローズドループのターゲット排除の使用により、システム強化、リスク評価、日常的なセキュリティインシデントの分析と処理など、自動化によって削減できる大量の人的資源需要を削減できます。

3 番目に、より合理的なアーキテクチャの設計方法、コードの開発方法、会社がプロセスを構築する方法、高レベルのコンプライアンス要件への対応方法など、セキュリティ担当者が行うべきことに中核的な人材を集中させます。ここで、真のセキュリティ人材がその価値を発揮します。

現在、これら 3 つのレベルにおける当社の能力は基本的に成熟しています。当社は昨年から、一連のクラウド プラットフォームの固有機能、自動化ツールとプロセス、専門サービスを段階的に統合し、クラウド ネイティブのマネージド セキュリティ サービス (MSS) を開始しました。これにより、クラウド ユーザーは、ビジネス開発中に複雑すぎるセキュリティ技術の問題を考慮する必要がなくなり、過度の人的投資も必要なく、比較的制御可能なコストでセキュリティの価値を最大化できます。これが、当社のクラウドネイティブ マネージド セキュリティ サービスの本来の目的であり、現在取り組んでいることです。現在、MSS は多くの企業の重要なセキュリティ状況や日常のセキュリティ監視プロセスにおいて大きな役割を果たしています。

従来のサービス モデルと比較すると、セキュリティ ホスティング サービスに必要なコスト、人材、および時間リソースが明らかになります。最終的には、セキュリティベンダーと顧客の両方にとってのリソースとコストの最適化を実現し、企業のセキュリティ構築の「負担を軽減」し、企業がビジネスに集中して考えることができるようにしたいと考えています。