ガートナー: クラウド セキュリティが直面する 3 つの大きな課題とそれに対応する 3 つの戦略

クラウド セキュリティの課題について話す前に、まず 1 つのことを確認しておく必要があります。クラウド コンピューティングはトレンドであり、データの物理的な場所や保存場所に焦点を当てるのではなく、データ制御の観点から、セキュリティの全体的な側面で、パブリック クラウドは従来の IT 調達よりも安全であるはずです。

ガートナーの 2022 年 CIO テクノロジー エグゼクティブ アンケート調査の結果によると、2022 年に 52% の企業が「クラウド」への投資を増やす一方で、32% の企業が従来のインフラストラクチャとデータ センターへの投資を削減するとのことです。ガートナー社の中国クラウド インフラストラクチャおよびプラットフォーム サービス市場ガイドでは、2024 年までに中国のシステム インフラストラクチャおよびインフラストラクチャ ソフトウェアに対するエンド ユーザー支出の約 40% が「クラウド サービス」に移行すると予測されています。

クラウドへの移行がトレンドになっています。クラウド コンピューティングの出現により、IT 資産の物理的な境界は打ち破られましたが、従来の IT アーキテクチャでは「クラウド」内の資産を効果的に保護することはできません。また、世界的に見ても、多くの企業が依然としてパブリック クラウドを信頼していないことがわかります。中国を含む多くの中国の組織は、データの場所について懸念しており、依然としてデータは自社の組織内および自社の物理的境界内であればより安全であると考えています。これにより、中国ではプライベート クラウドとハイブリッド クラウドの使用率が高まりました。どちらの展開方法でも、組織の物理的な境界内にデータを保存できるためです。

しかし、データの物理的な場所に過度に重点を置くと、クラウド自体の利点が犠牲になることがよくあります。単純に規模の経済の観点から言えば、クラウド サービス プロバイダーは、プライベート クラウドや従来のデータ センターよりも安全な保護を提供できます。今日の工業製品を例に挙げてみましょう。今日では、工業化された製品はどこにでもあり、効率と品質の点で伝統的な小規模な工房をはるかに上回っています。 10年以上の開発を経て、「クラウド」はより高度なモデルになりました。規模の経済に基づき、技術の成熟度、運用・保守レベル、技術チーム、リスクの予防と管理、コスト管理の面で従来の IT アーキテクチャを上回っています。従来のデータセンターやプライベートクラウドよりも安全で効率的です。

一方で、「クラウド セキュリティ」はユーザー自身に大きく起因します。ガートナーは、2023 年までに「クラウド セキュリティ」の問題の 99% がユーザー要因によって発生すると予測しています。公開情報によれば、主流の「クラウド サービス」プロバイダーで重大なセキュリティ インシデントを経験した例はほとんどないようです。もう 1 つの予測は、2024 年までに、クラウド インフラストラクチャとプログラマビリティを活用することで、クラウド上のワークロードに対するセキュリティ保護が強化され、従来のデータ センターと比較してコンプライアンスが向上し、セキュリティ インシデントが少なくとも 60% 削減されるというものです。

このような背景から、ガートナーのシニアアナリストディレクターであるガオ・フェン氏は最近、調査データに基づいて中国企業が「クラウドセキュリティ」で直面している3つの大きな課題を分析し、それに応じた行動指針を示した。

ガートナーのシニアアナリストディレクター、ガオ・フェン氏

今後の「クラウドセキュリティ」をベースとしたセキュリティとリスク管理は、中国の経営リーダーにとって最も重要な課題の一つとなるだろう。 Gartner は、顧客がクラウドに移行する際に 3 つの課題に直面していることを発見しました。第 1 に、クラウド セキュリティ責任共有モデルと関連する技術的機能に対する理解不足です。 2. クラウドセキュリティ技術の選択と適用。 3つ目は、「クラウドサービスプロバイダー」のリスク評価が不足していることです。

ガートナーは、これらの課題に対して主に 3 つの提案をしています。まず、企業と「クラウド サービス プロバイダー」のセキュリティ責任の範囲を明確にし、「クラウド セキュリティ」に必要な機能を確立することです。 2. 「クラウド サービス プロバイダー」のネイティブ セキュリティ ツールを優先し、サードパーティ/オープン ソース ツールを使用してセキュリティ実装を補完します。 3. クラウド サービス プロバイダーに対するリスク評価を継続します。

具体的には：

課題 1: クラウド セキュリティ責任共有モデルと関連スキルの理解不足。

「クラウド セキュリティ」では、クラウド セキュリティの責任は従来のセキュリティとは大きく異なります。 「クラウド セキュリティ」と「クラウド セキュリティ」プロバイダー間のセキュリティ責任の分担を理解することは、「クラウド セキュリティ」を成功させるために必要な条件です。クラウド セキュリティに必要なスキルも、従来の境界ベースのセキュリティとは大きく異なります。企業の相対的な能力の欠如により、クラウド セキュリティの実装を成功させることは大きな課題となります。

したがって、企業はクラウド セキュリティ共有モデルを完全に理解する必要があります。クラウド セキュリティは「責任の共有」という概念に基づいているため、セキュリティの責任は「クラウド」の展開モデルによって異なります。

プライベート展開モデルでは、すべての責任は顧客が負います。ただし、「クラウド化」後にIaaS（インフラストラクチャレベルのサービス）を利用する場合、物理層と仮想層の責任は「クラウドプロバイダー」が負うことになります。 PaaS (プラットフォーム レベル サービス) を使用する場合、責任は「クラウド プロバイダー」にさらに割り当てられます。たとえば、仮想マシンやサービス オーケストレーションなどです。ソフトウェアレベルのサービスを使用する場合、基本的に顧客はデータだけでなく「認証」と「認可管理」に主に関心を持ち、アプリケーションと API の責任の一部を分担します。

推奨事項 1: 企業とクラウド サービス プロバイダーのセキュリティ責任の範囲を明確にし、クラウド セキュリティに必要な機能を確立します。

正しい制御を実装し、企業と「クラウド サービス プロバイダー」間のセキュリティ責任の範囲を明確にするには、顧客が対応するスキルを構築する必要があります。 「クラウド」の展開は企業のニーズに応じて変化するため、「クラウド」リソースには共有、短いライフサイクル、自動化などの特徴があります。したがって、企業は必要な「クラウド セキュリティ」関連の機能を構築する必要があります。

ガートナーは、企業が今後クラウドセキュリティアーキテクトとクラウドセキュリティエンジニアという2つの役割を創設することを推奨している。

企業は社内で「クラウド セキュリティ アーキテクト」を雇用したり昇進させたりすることができます。 「クラウド セキュリティ アーキテクト」は、「クラウド セキュリティ アーキテクチャ」に関連する決定を識別して行う唯一の人物ではありません。実際には、クラウドのセキュリティを確保するために、クラウド アーキテクトやその他のセキュリティ アーキテクトなど、他の社内アーキテクトと緊密に連携する必要があります。

クラウド セキュリティ アーキテクトの主な責任は次のとおりです。

• クラウド セキュリティにおける文化的変化をリードします。
• クラウド セキュリティ戦略を策定します。
• クラウド セキュリティ テクノロジーとツールの開発と導入を調整します。
• クラウド セキュリティ エンジニアを雇用し、トレーニングします。

クラウド セキュリティ エンジニアは、幅広いスキルを備えた専門家であり、クラウド セキュリティ制御の実装を担当します。従来のセキュリティエンジニアとは異なり、彼のスキルは特定のセキュリティ分野に限定されず、さまざまなセキュリティ分野に広く分散されています。たとえば、ネットワーク セキュリティ、サーバー セキュリティ、脆弱性管理、アプリケーション セキュリティ、データ セキュリティなどです。クラウドネイティブの管理と制御、サードパーティのセキュリティ管理、クラウドプラットフォーム全体にわたるセキュリティサービス構成の設定などを担当します。

課題 2: 企業は、「クラウド セキュリティ」テクノロジの選択と適用においても多くの困難に直面しています。

「クラウド」展開モデルを考慮すると、会社の既存のセキュリティ ツールの一部を更新する必要がある可能性があります。企業が必要とするすべてのセキュリティ機能を単一の「クラウド サービス」プロバイダーやセキュリティ ベンダーが提供できるわけではありません。一部の国際メーカーは、中国の規制上の理由により中国への上陸に困難に直面しており、多くの企業も「クラウド技術」の選択と適用に困難に直面しています。

推奨事項 2: 「クラウド サービス プロバイダー」のネイティブ セキュリティ ツールを優先し、サードパーティ/オープン ソース ツールを使用してセキュリティ実装を補完します。

ガートナーは、企業がクラウド サービス プロバイダーのクラウド セキュリティ ネイティブ ツールを優先し、セキュリティ制御を実装するための補足としてサードパーティ ツールまたはオープン ソース ツールを使用することを推奨しています。

ガートナーが推奨するステップ: 最初に「クラウド プロバイダーのネイティブ セキュリティ ツール」、次に「サードパーティ ツール」、最後に「オープン ソース ツール」。

「クラウド プロバイダーのネイティブ セキュリティ ツール」は、クラウド プロバイダーによって提供されるセキュリティ ツールの一部です。クラウド プロバイダーは、クラウド サービスのセキュリティを向上させるために、セキュリティ ツールを継続的に追加しています。一部のツールはまだ比較的初歩的ですが、その多くはすでにエンタープライズ レベルの機能を備えているか、エンタープライズ レベルの機能に近いものになっています。これらのツールは「クラウド サービス」と高度に統合されているため、クラウド ネイティブ セキュリティ ツールの導入はコスト効率が高く、導入も非常に簡単で、顧客のセキュリティ ニーズに迅速に対応できます。

クラウド サービス プロバイダーとクラウド ネイティブ セキュリティ ツールが満足のいく結果を提供できない場合、ガートナーはサードパーティ ツールまたはオープン ソース ツールの使用を推奨しています。クラウド プロバイダーと比較して、サードパーティ ツールはよりパーソナライズされた構成とサービスを提供できます。

3 番目の主要なツール ソースはオープン ソース ツールです。特に市販のツールが利用できない場合は、オープンソース ツールもクラウド セキュリティを実装するための選択肢であると考えています。多くが無料であるためコスト効率が良いだけでなく、オープンソースであり二次開発にも使用できるため、柔軟性と革新性も高くなります。 Gao Feng 氏は次のように語っています。「企業はオープンソース ツールの使用に伴うリスクを慎重に評価する必要があると考えています。たとえば、商用サポートや脆弱性管理が不足している可能性があります。当社のベスト プラクティスでは、オープンソース ソフトウェアの使用戦略を確立することでリスクとメリットを管理する方法についても議論しています。」

Gartner は、いくつかの重要な「クラウド保護セキュリティ ツール」を推奨しています。

クラウドはセキュリティの責任とクラウド製品の複雑さの一部を共有するため、顧客はクラウドを安全に使用するのに役立つ新しいセキュリティ ツールを必要としています。クラウド プロバイダーは通常、いくつかの製品モジュールを使用し、この機能を 1 つの製品に統合して、モジュール方式でサービスを提供します。これらの製品は主にいくつかのカテゴリーに分けられます。

より成熟したものとしては、「クラウド アクセス セキュリティ ブローカー」や「クラウド ワークロード保護プラットフォーム」、および「クラウド ポスチャ管理」などがあります。その他には、クラウドネイティブ アプリケーション保護プラットフォーム CNAPP、セキュリティ状況管理 SSPM、SaaS 管理プラットフォーム SMP などがあります。 CWPP と CSPM は一般的にデータ プレーン制御に重点を置いており、CSPM、SSPM、SMP は主に制御プレーンに重点を置いており、CNAPP は制御プレーンとデータ プレーン制御の両方に適用できます。

クラウド セキュリティ アクセス ブローカー CASB: CASB の主な機能は SaaS を保護することです。 CASB は主に、さまざまな種類のクラウド セキュリティ制御を統合して、SaaS、IaaS、PaaS の可視性、コンプライアンス、データ セキュリティ、脅威からの保護を提供します。たとえば、認証、ユーザー行動分析、適応型アクセス制御、データ漏洩防止などです。

クラウド ワークロード保護プラットフォーム CWPP: 「クラウド ホスト保護プラットフォーム」とも呼ばれます。これは主に中国のほとんどのセキュリティベンダーが提供するセキュリティツールです。 CWPP は、動作中のホスト、つまり負荷またはホストのセキュリティに重点を置いた製品です。ハイブリッド クラウドおよびマルチクラウド サーバーのワークロードを保護できます。 CWPP は、場所に関係なく、物理マシン、仮想マシン、コンテナ、サーバーレス全体で一貫した可視性と制御を提供します。 CWPP は、整合性保護、アプリケーション制御、動作制御、侵入防止、一部のマルウェア保護など、複数の機能を組み合わせてワークロードを保護します。

クラウド セキュリティ ポスチャ管理 (CSPM): CSPM は、クラウド インフラストラクチャのリスクの防止、検出、対応、およびプロアクティブな特定を通じて、クラウド セキュリティの状態を継続的に管理します。同社の製品の中核は、主に ISO22701 などのフレームワークと規制要件に基づいています。中国の規制、たとえば情報セキュリティ保護やセキュリティ ポリシー、企業のセキュリティ ポリシーは、クラウド セキュリティ構成のリスクを積極的および受動的に検出するために使用されます。クラウド上のリソースが会社のポリシーに従って正しく構成されているかどうかを検出できます。問題が見つかった場合は、自動または手動で修正されます。現在、このツールは中国では広く採用されておらず、そのような製品を提供する現地サプライヤーはほとんどありません。

クラウド ネイティブ アプリケーション保護プラットフォーム CNAPP: CNAPP は、いくつかのセキュリティ機能とコンプライアンス機能を統合します。これは主に、クラウド ネイティブ アプリケーションの開発と運用を保護するために設計されています。 CNAPP は主に、CWPP と CASB のすべての機能を含む多数の機能を統合します。 Gao Feng氏は次のように述べた。「ある程度、コンテナスキャン、クラウドセキュリティ態勢管理、インフラストラクチャ、コードスキャン、クラウドホストランタイム保護などを提供します。実際、中国にはいくつかの現地サプライヤー、特に新興のクラウドセキュリティサプライヤーが、クラウドネイティブプログラムのセキュリティ要件を解決するための対応する製品や製品を実際に提供していますが、まだすべての領域をカバーしているわけではないため、この種のツールはまだ開発中であると考えています。」

課題3：「クラウド サービス プロバイダー」の継続的な評価。

ガートナーは、中国企業がクラウドに移行する際にクラウド サービス プロバイダーに対する体系的なリスク評価を実施することはほとんどないことを発見しました。クラウド サービス プロバイダーによってリスクは異なり、これらのリスクは一定ではありません。したがって、継続的なリスク評価が不足すると、「クラウド」内の企業の資産が危険にさらされることになります。

推奨事項 3: Gartner は、企業がクラウド サービス プロバイダーのリスクを評価し、継続的に評価を行うことを推奨しています。

クラウド サービス プロバイダーのリスクは無視できません。 Gartner は、顧客が最もよく使用する方法のいくつかをまとめ、必要な投資とそれらが生み出す価値に応じて分類しました。たとえば、クラウド サービス プロバイダーの販促資料は非常に簡単に入手できますが、サービス プロバイダーによって提供されるため、その価値は比較的低い可能性があります。クラウド プロバイダーの監査を提供するためにサードパーティの評価機関またはコンサルティング機関を使用する場合、これらのサービスは比較的高価になり、より多くの投資や時間を費やす必要があるかもしれませんが、それらがもたらす価値も高くなります。さらに、クラウド サービス プロバイダーの数に基づく Gartner の 3 層モデルも非常に適用可能であると考えています。主に、少数の成熟した一流の大規模クラウド サービス プロバイダーが含まれます。また、第 2 層のクラウド サービス プロバイダーの数も増加しており、小規模な第 3 層のクラウド サービス プロバイダーの数も多数存在し、増加傾向にあります。

一流のクラウド サービス プロバイダーは、比較的長い間市場を支配してきた、少数の成熟した、財務的に安定したクラウド サービス プロバイダーです。中国のすべての一流クラウド サービス プロバイダーは、その他の重要なサードパーティ セキュリティ評価を含む「レベル 3 情報セキュリティ保護標準」に合格する必要がある可能性があります。さらに、これらの大企業は自社のイメージを非常に重視しており、さまざまな方法で顧客の信頼を高めるよう常に努めています。

クラウド サービス プロバイダーの第 2 レベルは、同様に「クラウド」サービスを提供する中規模プロバイダーと大規模で有名なソフトウェア ベンダーです。しかし、彼らは「クラウド」における一流クラウドサービスプロバイダーのような優れた運用実績を持っていません。彼らはこの分野に参入したばかりかもしれませんし、主な事業が「クラウドサービス」ではないかもしれません。これらは、プロバイダーと成熟度の間のレイヤーを表します。 2 次サプライヤーは、セキュリティと運用の面で成熟しておらず、重要なサードパーティの評価と認証が不足しています。たとえば、特に新興企業の中には、財政的に脆弱なところもあります。ガートナーは、クラウド サービス プロバイダーを評価するためのリソースの大部分を第 2 層のクラウド サービス プロバイダーに割り当てるべきだと考えています。

残るのは第 3 層のクラウド サービス プロバイダーですが、そのほとんどは非常に小規模であるため、顧客が状況を把握するのは困難です。リスクが許容できるかどうかを評価する必要があるかもしれません。たとえば、これらのクラウド プロバイダーがいつか倒産する可能性を受け入れ、どのように対処しますか?他の場所に対応するバックアップはありますか?会社のリスク許容度に応じて、いくつかの選択肢があります。

「クラウド評価」では、クラウド サービス プロバイダーが比較的重要な認定に合格しているかどうかを確認する必要もありますが、これは最も簡単に入手できる情報の一部でもあります。資格のある「クラウド サービス プロバイダー」は、少なくとも「情報保護レベル 3」に合格する必要があります。金融クラウドの場合、金融機関によっては「情報保護レベル4」に合格する必要がある場合もあります。

まとめると、クラウド プロバイダーは、サービスの安全性とコンプライアンスを確保するためにサービスを継続的に改善しており、顧客はプロバイダーに対する信頼を継続的に高めて、クラウド内のデータを保護できるようにしています。たとえば、「クラウドベンダー」は実際に自社のセキュリティの向上に取り組んでいます。国内レベルの保護および業界標準だけでなく、さまざまな国の業界認証にも合格します。第二に、多くの企業ではクラウドネイティブのセキュリティツールを使用するセキュリティ担当者がそれほど多くない可能性があり、クラウドベンダーは企業顧客のセキュリティ機能の向上を支援するために独自の「クラウド」に基づくセキュリティツールをいくつか開発しています。これらのツールの最大の利点は、購入と有効化が非常に便利なことです。最後に、「リスク評価」が重要なのは、クラウド プロバイダーが突然倒産し、自社のクラウド データやアプリケーションが技術サポートを受けられなくなるかどうかが企業にはわからないためです。ガートナーは、多面的な監査を実施するために専門のコンサルティング会社や評価機関を見つけることを推奨しています。