ガートナーは、重要なセキュリティツールとリスク評価方法とともに、クラウドセキュリティ実装に関する3つの主要な推奨事項をまとめています。

ガートナーは、2023年までに、主流のクラウド サービス プロバイダーで重大なセキュリティ インシデントが発生する確率は非常に低くなり、クラウド セキュリティの問題の 99% 以上が顧客の過失によって発生すると予測しています。 2024 年までに、クラウド インフラストラクチャのプログラマビリティを活用してクラウド内のワークロードのセキュリティを向上させることで、従来のデータ センターよりも優れたコンプライアンスが実証され、セキュリティ インシデントが少なくとも 60% 削減されます。

最近、ガートナーのシニアアナリストディレクターであるガオ・フェン氏は、「中国におけるクラウドセキュリティのベストプラクティス」をテーマにしたオンラインセミナーで、「企業はクラウド上で安全であり、従来のオフラインインフラストラクチャプラットフォームよりも安全です」と述べました。

中国企業は3つの大きなクラウドセキュリティの課題に直面している

実際、企業はクラウド セキュリティに関して依然として多くの懸念を抱いています。クラウド セキュリティは従来のオフライン インフラストラクチャ セキュリティとは大きく異なるため、企業はクラウドにおいて依然として多くの課題に直面しています。これらには、パブリック クラウドを信頼するかどうか、またどのように信頼するかといった世界的な課題や、中国市場特有の課題が含まれます。

ガートナーは、中国企業は現在、クラウド セキュリティに関する 3 つの大きな課題に直面していると考えています。

• 1 つ目は、クラウド セキュリティの責任割り当てモデルと関連する技術的機能に対する理解不足です。クラウド セキュリティにおいて企業が共有する責任は、従来のオフライン データ センターのセキュリティとは大きく異なるため、クラウド セキュリティ プロバイダーとのセキュリティ責任の分担を理解することが重要です。さらに、クラウド セキュリティに必要なスキルは、従来の境界セキュリティに必要なスキルとは大きく異なります。企業がこの分野で能力を欠いているため、クラウド セキュリティの実装はさらに困難になっています。
• 第二に、クラウド セキュリティ技術の選択と適用には一定の困難が伴います。クラウド展開モデルでは、いくつかのセキュリティ ツールのサポートが必要です。しかし、中国の現在の市場状況では、現在のクラウド サービス プロバイダーとセキュリティ ベンダーはすべてのクラウド セキュリティのニーズを満たすことができず、すべてのセキュリティ機能を提供することができません。そのため、多くの企業はクラウド セキュリティを実装する際にテクノロジの選択に困難に直面しています。
• 3 つ目は、クラウド サービス プロバイダーの継続的なリスク評価が不足していることです。クラウド サービス プロバイダーによってリスクは異なり、これらのリスクは一定ではありません。中国企業はクラウド サービス プロバイダーに対して体系的なリスク評価を実施することはほとんどなく、そのため企業のクラウド資産は一定のリスクにさらされています。

クラウドセキュリティの課題に対処するための企業向け3つの推奨事項

上記の3つの課題にどのように対処すればよいでしょうか? Gao Feng氏は会議でガートナーからの3つの提案を述べた。

推奨事項 1: 企業とクラウド サービス プロバイダーのセキュリティ責任の範囲を明確にし、クラウド セキュリティに必要な機能を確立します。

クラウド サービスのリソース共有の概念により、従来の IT 資産の物理的な境界が破壊され、既存のセキュリティ アーキテクチャではクラウド上の資産を効果的に保護できなくなります。パブリッククラウドに対する信頼の欠如により、多くの中国企業は自社の物理的な境界内であればデータがより安全であると信じ、データの保存場所について過度に懸念しています。ガートナーは、データの物理的な場所に過度に重点を置くのは間違っていると考えています。データ保護では、企業はデータの場所に重点を置くのではなく、データに対するセキュリティ制御を実装する必要があります。そうしないと、クラウド コンピューティングのメリットの多くを犠牲にすることになります。

実際、クラウド サービス プロバイダーにとって、セキュリティの重要性は自明です。彼らはセキュリティに多額の投資を続けるだろう。多数のセキュリティ技術者とユーザーベースがあれば、クラウドプロバイダーはセキュリティの問題をより簡単に発見して解決できます。したがって、規模の効果の観点から見ると、パブリック クラウドは実際にはプライベート クラウドや従来のデータ センターよりも安全です。企業は、規制遵守の要素に加えて、データの場所についても非常に懸念しています。もう 1 つの理由は、企業がクラウド セキュリティを実装する際に特定の困難を抱えていることです。物理的な境界が消滅したため、企業はクラウド サービス プロバイダーと連携してクラウド内のデータ資産を保護する方法がわかりません。

クラウド コンピューティング セキュリティの責任共有モデル

Gao Feng 氏は、次のように述べています。「責任共有の概念に基づき、企業とクラウド プロバイダーが負うセキュリティ責任は、クラウド コンピューティングの展開モデルによって異なります。」上図に示すように、濃い青色のモジュールは企業のセキュリティ責任を表し、緑色のモジュールはクラウド サービス プロバイダーの責任を表し、薄い青色のモジュールは企業とクラウド サービス プロバイダーが共同で負う必要があるセキュリティ責任を表します。図からわかるように、どのようなタイプのクラウド導入であっても、データセキュリティは常に企業自身の責任であり、データ暗号化やアクセス認証制御などの一連の手段を通じてクラウド上のデータセキュリティのレベルを向上させる必要があります。

ほとんどの企業では、セキュリティ担当者と技術的能力が不足しています。セキュリティ責任をクラウド サービス プロバイダーと共有することで、企業はコア データ資産の保護にさらに重点を置くことができます。データによると、クラウド上でのセキュリティ攻撃のほとんどは、構成ミスや必要なパッチの欠落などのユーザーエラーによって引き起こされています。クラウドに組み込まれたセキュリティ機能と高度に自動化されたツールを最大限に活用することで、企業はこのような構成エラーを大幅に削減し、管理不足などの問題を排除し、攻撃対象領域をさらに削減することでクラウドのセキュリティ状況全体を改善することができます。

クラウド リソースは共有可能で、ライフ サイクルが短く、自動化されており、プログラム可能です。クラウド上のセキュリティ運用と保守には、大量の自動化作業と、クロスドメインおよびクロスプラットフォームのセキュリティ保護作業が伴います。これは、ローカル インフラストラクチャのセキュリティ保護とは大きく異なります。したがって、企業はクラウド セキュリティ関連の機能を構築し、クラウド セキュリティ アーキテクトとクラウド セキュリティ エンジニアという 2 つの重要な役割を確立する必要があります。

ガートナーは、クラウドセキュリティアーキテクトとクラウドセキュリティエンジニアという2つの役割を確立することを推奨しています。

クラウド セキュリティ アーキテクトの主な責任は次のとおりです。

• クラウド セキュリティにおける文化的変化をリードします。
• クラウド セキュリティ戦略を策定します。
• クラウド セキュリティのためのセキュリティ テクノロジとツールを開発および調整します。
• クラウド セキュリティ エンジニアの採用またはトレーニング。

企業は社内から「クラウド セキュリティ アーキテクト」を採用または昇進させることができます。 「クラウド セキュリティ アーキテクト」は、「クラウド セキュリティ アーキテクチャ」を特定して策定する唯一の意思決定者ではないことに注意する必要があります。クラウド セキュリティを確保するために、クラウド アーキテクトや他のセキュリティ アーキテクトと緊密に連携して共同で意思決定を行う必要があります。

さらに、クラウドセキュリティエンジニアも非常に重要な役割を果たします。特定のセキュリティ分野の従来のセキュリティ エンジニアとは異なり、クラウド セキュリティ エンジニアは幅広いスキルを持つ技術専門家です。ローカル クラウド ネイティブおよびサードパーティ クラウド セキュリティの管理と制御を構成し、マルチクラウド環境全体で使用されるコア セキュリティ サービスを構成する責任があります。

Gao Feng 氏は次のように強調しました。「クラウドへの移行はほとんどの企業にとって非常に重要であり、クラウド セキュリティ アーキテクトとクラウド セキュリティ エンジニアという 2 つの役割を確立することが非常に重要です。」中小企業の場合、これら 2 つのフルタイムの役割を設定することが不可能な場合は、機能をアウトソーシングするか、既存のセキュリティ チームをトレーニングすることで、クラウド セキュリティ機能を向上させることができます。

推奨事項 2: クラウド サービス プロバイダーのクラウド ネイティブ セキュリティ ツールを優先し、サードパーティおよびオープン ソースのセキュリティ ツールを補足として使用してセキュリティ制御を実装します。

今日、クラウド サービス プロバイダーは、クラウド セキュリティ レベルを向上させるために、新しいクラウド セキュリティ ツールを継続的にリリースしています。その中には、エンタープライズレベルの製品機能を備えているか、それに近いセキュリティ ツールも数多くあります。これらのツールはクラウド サービスと高度に統合されています。クラウド サービス プロバイダーのセキュリティ ツールを使用すると、企業にとってコストが削減され、サブスクリプション ベースの支払いモデルは非常に便利で柔軟です。企業のさまざまなセキュリティ要求に迅速に対応できるだけでなく、セキュリティ ツールをいつでもキャンセルまたは交換することもできます。

中国市場の規制コンプライアンス要件を満たすために、中国で外国のクラウド サービス プロバイダーが提供するクラウド サービスは、グローバル クラウド サービスから物理的に分離されており、相互運用できないことに注意してください。運用・保守もサードパーティのチームが担当します。これにより、製品、テクノロジー、およびサービスの可用性に若干の違いが生じます。中国で加入できるセキュリティツールも海外と異なる場合があります。したがって、企業はこれらのツールを選択する前に、使いやすさと製品ロードマップを検証する必要があります。

海外のアプリケーション展開を同じ国内クラウド サービス プロバイダーに移行する必要がある企業にとって、国内と海外のクラウド サービスの可用性の違いにより、アプリケーション移行の複雑さが目に見えないほど増大しています。現時点では、よりパーソナライズされた構成とサービスを実現するために、サードパーティのセキュリティ ツールを使用することをお勧めします。

多くの海外クラウド サービス プロバイダーの SaaS 製品では、ユーザーは国境を越えた接続を通じてグローバル SaaS サービスにアクセスする必要があります。ただし、国境を越えたデータは、一定のコンプライアンスリスクに直面することになります。クラウド サービス プロバイダーのクラウド ネイティブ セキュリティ ツールやサードパーティのセキュリティ ツールが企業のニーズを満たせない場合、オープン ソース ツールは企業がクラウド セキュリティを実装するためのもう 1 つの選択肢になります。ただし、オープンソース ツールは商用サポートが不足しているため、脆弱性管理などの面で一定のリスクを伴う可能性があり、企業は慎重に評価する必要があることに留意する必要があります。

クラウドセキュリティの責任の共有とクラウド製品自体の複雑さにより、ほとんどの企業はクラウドに移行した後、国内のほとんどの企業で広く使用されているCWPP（クラウドワークロード保護プラットフォーム）、海外ではより成熟しているCASB（クラウドアクセスセキュリティブローカー）、CSPM（クラウドセキュリティポスチャ管理）、CNAPP（クラウドネイティブアプリケーション保護プラットフォーム）、さらにはSSPM（SaaSセキュリティポスチャ管理）やSMP（SaaS管理プラットフォーム）などの新しいセキュリティツールなど、セキュリティツールを更新する必要があります。

クラウド セキュリティ ツールセット

上図からわかるように、CWPP と CASB は一般的にデータ プレーンのセキュリティに重点を置いており、CSPM、SSPM、SMP は主にコントロール プレーンのセキュリティに重点を置いており、CNAPP はコントロール プレーンとデータ プレーンの両方のセキュリティ管理に適用できます。その後、Gao Feng 氏はいくつかの重要なクラウド セキュリティ ツールを詳しく紹介しました。

（１）CASB：クラウドアクセスセキュリティブローカー。 CASB は、認可、ユーザー行動分析 (UEBA)、適応型アクセス制御、データ漏洩防止 (DLP)、デバイス分析など、さまざまな種類のクラウド セキュリティ制御を統合して、SaaS、IaaS、PaaS の可視性、コンプライアンス、データ セキュリティ、脅威保護を提供します。海外ではCASBが広く利用されていると報告されていますが、国内市場ではCASBサプライヤーがクラウドサービスプロバイダーと深く連携する必要があるため、市場にCASBサプライヤーは少なくなっています。

CASB には通常、4 種類の統合方法があります。1 つは API 統合で、その導入の利点はプロキシ モードでセッション管理の問題がないことです。 2 つ目はフォワード プロキシ方式で、主に企業の外部ネットワークへのアクセスやクラウド上のリソースへのアクセスなどのユーザーのクラウドへのアクセスを保護します。 3 つ目はリバース プロキシの展開です。これにより、外部ユーザー (企業によって管理されていないクライアントなど) による企業クラウド上のアプリケーションへのアクセスが保護されます。 4 つ目は、セキュリティ ゲートウェイやエンタープライズ ファイアウォールなどのセキュリティ デバイスからログを抽出し、CASB に挿入して分析し、クラウド アプリケーション配布レポートを生成することです。

（2）CWPP：クラウドワークロード保護プラットフォーム（別名「クラウドホスト保護プラットフォーム」）は、ワークロード保護に重点を置いたセキュリティ製品であり、ハイブリッドクラウド、マルチクラウド、データセンター内のサーバーワークロードを保護できます。 EDR とは異なり、CWPP はサーバー ワークロード ホストの保護に重点を置いており、データ センター内かクラウド内かに関係なく、物理マシン、仮想マシン、コンテナー、サーバーレス ワークロードを含むすべてのホストを保護し、一貫した可視的な制御を提供します。 CWPP は、システム整合性保護、アプリケーション制御、動作監視、侵入防止、マルウェア保護などの複数の機能を組み合わせてワークロードを保護します。

中国のサプライヤーは多くの CWPP ツールを提供していますが、サプライヤーのオリジナルの EDR に基づいて変更された製品も多数あることを強調しておく必要があります。これらの変更された CWPP ツールでは、サーバーレス ワークロード、コンテナー、クラウド統合のサポート機能が非常に限られている可能性があります。企業は関連製品を選択する際に特別な注意を払う必要があります。

（３）CSPM：クラウドセキュリティポスチャ管理。主にクラウドインフラのリスクを防止、検出、対応、積極的に特定し、クラウドセキュリティの状態を継続的に管理するために使用されます。 ISO22701などの共通フレームワーク要件、情報セキュリティ保護などの関連法規制、企業のセキュリティポリシーに基づいて、クラウドサービスのセキュリティ構成リスクをプロアクティブかつリアクティブに特定し、発見することが中心です。問題が見つかった場合は、自動または手動による修復措置が提供されます。たとえば、CSPM は、企業が設定したセキュリティ ポリシーに基づいて継続的なセキュリティ チェックを実行し、設定の逸脱が見つかった場合はブロックしたり、セキュリティ担当者に通知したりできます。 CSPM 製品はクラウド サービス プロバイダーとの緊密な連携を必要とするため、現在そのような製品を提供できるのは少数の現地サプライヤーのみですが、多くの海外 CSPM 製品が中国のクラウド サービス プロバイダーのサポートを開始しています。

（4）CNAPP：クラウドネイティブアプリケーション保護プラットフォーム。 CNAPP は、セキュリティとコンプライアンスの機能を統合し、アプリケーションの構築、クラウド インフラストラクチャの構成、アプリケーション実行時のセキュリティ保護など、クラウド ネイティブ アプリケーションのライフ サイクル全体を保護します。 CNAPP は、コンテナ スキャン、クラウド セキュリティ ポスチャ管理、クラウド ホスト実行時のセキュリティ保護など、多数の独立した機能を統合します。現在、一部の中国のサプライヤー、特に新興のクラウド セキュリティ サプライヤーは CNAPP 製品の提供を開始していますが、まだすべての領域をカバーしておらず、このタイプのツールにはさらなる開発が必要です。

推奨事項 3: クラウド サービス プロバイダーのリスクを評価します。

クラウドセキュリティプロバイダーを評価する一般的な方法

企業がどのクラウド導入方法を採用するかに関係なく、クラウド サービス プロバイダーのリスクを無視することはできません。 Gartner は、一般的に使用される評価方法をいくつかまとめています。上図に示すように、これらの評価方法は、左から右に向かうにつれて企業の意思決定にますます高い評価価値をもたらし、下から上に向かうにつれて評価に必要な投資はますます少なくなります。企業は、自社の実情に応じて選択することも、さまざまな評価方法を用いてクラウド サービス プロバイダーのリスクを総合的に評価することもできます。

さらに、ガートナーはクラウド サービス プロバイダーの数に基づいたシンプルな評価モデルを提供しています。

• 最初の層は、少数の大規模で成熟したクラウド サービス プロバイダーと、少数の成熟した金融セキュリティ クラウド サービス プロバイダーで構成されます。同社は 5 年以上にわたって市場を独占しており、レベル 3 セキュリティ保護などの重要な認証や、市場で一般的なサードパーティのセキュリティ評価に合格しています。これらの大手企業は自社のイメージ保護に一層注意を払っており、顧客の信頼を得るためにセキュリティへの投資を増やし続けるでしょう。
• 第 2 層は、成長を続ける中規模のクラウド サービス プロバイダーと、ベンダーの成熟度と信頼性の点で中間層に位置する大規模で有名なソフトウェア ベンダーのグループです。第 2 層のサプライヤーはクラウド サービスを提供していますが、長期的な運用実績は良くなく、セキュリティ運用の面では第 1 層のサプライヤーほど成熟していません。多くの場合、重要な第三者セキュリティ評価認証が不足しており、特にスタートアップ企業は財務上のリスクに直面しています。したがって、企業がクラウド サービス プロバイダーを評価するために使用するリソースのほとんどは、第 2 層のクラウド サービス プロバイダーに配置する必要があります。
• 第 3 層は、第三者による評価を受けることがほとんどない小規模なクラウド サービス プロバイダーであり、その数は膨大かつ増加傾向にあるため、企業が実際の運用状況を把握することは困難です。企業は、これらのクラウド サービス プロバイダーは安全ではないと想定する必要があり、そのリスクを評価するために多大な労力を費やす価値はありません。これらのクラウド サービス プロバイダーの運用状況は短期間で変更される可能性があります。企業は、このレベルのクラウド サービスを使用する場合、これらのリスクを受け入れなければなりません。実際の事例では、クラウドサービスプロバイダーのクラウド技術提供者の倒産により、クラウドサービスのサポート、セキュリティ、ソフトウェアのバージョン更新など、一連の問題に直面する企業もあります。その後のアプリケーションとデータの移行も企業に大きなリスクをもたらします。

したがって、クラウド サービス プロバイダーのリスク評価を実施することが重要です。実際のクラウド評価では、クラウド サービス プロバイダーの重要なセキュリティ認定も、企業がセキュリティ リスクを評価するための重要な参照資料となります。上の図は、企業が特に注意を払う必要があるセキュリティ認証を示しています。中国企業は、法的要件やコンプライアンス要件を満たすために、世界的な認証よりも中国のローカル認証にもっと注意を払う必要があります。たとえば、「レベル 3 セキュリティ保護」は、認定された「クラウド サービス プロバイダー」の基本的な基準です。

Gao Feng 氏は、これらの認定資格の中には合格か不合格かの基準のみがあり、セキュリティ レベルを指定していないものがある一方で、一部の認定資格では通常、クラウド サービス プロバイダーに関する詳細な書面レポートが提供され、その長所と短所に関する具体的なコメントも含まれていると指摘しました。企業は、より詳細なリスク評価を実施するために、クラウド サービス プロバイダーにこれらの評価結果を要求できます。もちろん、リスク評価を実施するには、専門のコンサルティング会社や評価機関を見つける方が信頼性が高くなります。