ガートナーが「中国のクラウド セキュリティ市場の概要」を発表: クラウド セキュリティ開発が黄金時代を迎える過程を詳しく見る

最近、国際的に有名なコンサルティング組織であるガートナーは、中国のセキュリティ市場の調査と中国のセキュリティ製品ベンダーの評価に基づいて、「中国におけるクラウドセキュリティのトッププラクティス」と題する分析レポートを発表しました。

ガートナーは、これまでの世界市場向けの推奨事項とは異なり、中国市場セグメントに関する独立したレポートを発行しました。これは、中国のセキュリティ市場が世界的な注目を集めていることを示すのに十分です。

この報告書は、中国が非常にユニークな市場であることを示しています。クラウド セキュリティの分野では、パブリック クラウドを信頼するかどうか、またどのように信頼するかといった共通のグローバル課題と、技術的な実現可能性や CSP を正しく選択する方法といったローカルな困難に直面しています。

パブリック クラウドの信頼問題の主な原因は、一般の人々がセキュリティ制御自体よりも物理的な場所に注目していることです。一方、成熟したクラウド セキュリティ防御システムは、クラウド セキュリティの責任共有モデルを基本的なサポートとして利用し、セキュリティ ツールや CSP から生じる可能性のあるリスクを効果的に評価する必要があります。このレポートでは、現在中国市場が直面している問題を次の3点にまとめています。

• 全体的に見ると、中国市場ではパブリッククラウドの導入率が徐々に増加していますが、プライベートクラウド、ハイブリッドクラウド、従来のデータセンターは依然として中国で高い市場シェアを占めています。これは、市場が依然としてクラウド セキュリティの制御よりもデータの物理的な場所に過度に重点を置いているためです。
• 海外のクラウド サービス プロバイダー (CSP) とセキュリティ ベンダーは、中国市場にクラウド サービスを提供する際に技術的な実現可能性の問題に直面しています。一方、現地のベンダーは、パブリック クラウド プロバイダーとの直接の競合を避けるためにプライベート クラウド サービスの提供を好むため、企業/組織がクラウド セキュリティ ツールを選択することが困難になっています。
• 中国の多くの企業/組織は CSP に対する体系的なリスク評価を実施しておらず、セキュリティ リスクにさらされています。

これは、中国市場が、特に SaaS 製品の展開や現地の規制要件に関する追加の考慮事項において、世界市場とは大きく異なるためです。したがって、セキュリティを構築する際、企業は海外の慣行を単純にコピーするのではなく、一般的な慣行と現地の個別の需要シナリオとのバランスを確保する必要があります。この点に関して、このレポートでは中国のクラウドセキュリティとリスク管理のリーダーに対して次のような提案を行っています。

• クラウド セキュリティの責任共有モデルの評価を通じて、クラウド プロバイダーのセキュリティ責任の範囲を明確にし、必要なセキュリティ機能を確立します。
• クラウド セキュリティ アーキテクチャを確立し、クラウド ネイティブ ファーストのアプローチを通じてサードパーティおよびオープン ソース ツールを使用してセキュリティ制御を実装し、中国での技術的な実現可能性を継続的に監視します。
• 階層化モデルとセキュリティ認証を活用して、CSP の潜在的なリスクを評価します。

これら 3 つの提案の具体的な運用により、クラウド プロバイダーとのセキュリティ責任の範囲を決定し、必要な機能を確立する方法という 3 つの具体的な問題が生じます。クラウド セキュリティ アーキテクチャを確立する方法。 CSP のリスクを効果的に評価する方法を説明します。このレポートでは、これら 3 つの問題に関する詳細な分析を提供します。

クラウド プロバイダーと協力して、セキュリティ責任の範囲をどのように定義し、必要な機能を構築しますか?

この報告書ではまず、クラウド セキュリティ責任共有モデルの確立を提案しています。組織や企業は、クラウド展開の種類に基づいてセキュリティの責任を理解し、最も重要な資産の保護に重点を置き、その他のセキュリティの責任を CSP と共有することでデータの場所に関する懸念を軽減する必要があります。

2 つ目は、クラウド セキュリティ機能を構築することです。データ センターを保護するための従来のセキュリティ専門知識は、すべてのクラウド リソースの保護には適用できないため、組織はクラウド セキュリティ機能を構築する必要があります。

クラウド セキュリティ アーキテクトを配置することも不可欠です。クラウド セキュリティの複雑さに対処するには、組織や企業には、クラウド セキュリティ文化の変化を主導し、クラウド セキュリティ戦略を策定し、クラウド セキュリティ技術とツールの採用を開発および調整し、クラウド セキュリティ エンジニアを雇用またはトレーニングする責任を負うクラウド セキュリティ アーキテクトが必要です。

最後に、クラウド セキュリティ エンジニアがいます。組織/企業は、ネットワーク セキュリティ、サーバー セキュリティ、脆弱性管理、アプリケーション セキュリティ、データ セキュリティなど、幅広いセキュリティ領域に関する知識を持つクラウド セキュリティ エンジニアを雇用することで、綿密な技術サポートを実現できます。

クラウド セキュリティ アーキテクチャを構築するにはどうすればよいでしょうか?

クラウド製品の導入モデルの多様性と責任の割り当ての複雑さにより、ユーザーはクラウドを安全に使用する完全なツールセットを備える必要があります。クラウド セキュリティ ベンダーは通常、サービス提供にモジュール式のアプローチを採用し、機能を 1 つのポートフォリオに統合します。報告書では、大きく3つのカテゴリーに分類し、詳細な分析と調査を行っています。

• 成熟したサービス: ローカル クラウド セキュリティ ツール、クラウド セキュリティ アクセス ブローカー (CASB)、クラウド ワークロード保護プラットフォーム (CWPP)、クラウド セキュリティ ポスチャ管理 (CSPM) など。
• 新しいツール: SaaS セキュリティ ポスチャ管理 (SSPM)、SaaS 管理プラットフォーム (SMP)、オープン ソース ツールなど。
• その他のサービス: クラウド ネイティブ アプリケーション保護プラットフォーム (CNAPP)

ネイティブ クラウド セキュリティ ツールは購入と実装が簡単ですが、ユースケース、機能、既存の社内セキュリティ ツールやプロセスとの統合に基づいて評価する必要があります。一部のグローバル CSP にはグローバル クラウドと中国クラウドがあり、中国独自の規制により製品、技術的な実現可能性、サービス モデルに違いが生じています。

オープンソース ツールはクラウド セキュリティの 1 つの選択肢です。オープンソース ツールはクラウド セキュリティに柔軟性と革新性をもたらしますが、新たなリスクももたらします。オープンソース コードのリスクとメリットは適切に管理する必要があります。一般的に、非地元サプライヤーは中国国内ですべての製品とサービスを提供しているわけではありません。彼らは地元のインフラ事業者と取引または協力したり、国境を越えた接続を通じてユーザーがグローバルなサービスを利用できるようにしたりします。パブリック クラウド ツールを提供するベンダーとの競合を避けるため、中国のサプライヤーは、パブリック クラウド、特に SaaS よりも、社内およびプライベート クラウドの展開向けのセキュリティ ツールに重点を置いています。つまり、中国におけるパブリック クラウドの導入率はまだ最大限にまで達していません。世界のサプライヤーが中国でのサービスの実現可能性を徐々に向上させ、現地のサプライヤーがより多くのシナリオをカバーする製品に投資するにつれて、中国と世界の技術格差は最終的に縮小するでしょう。

CNAPP は、コンテナ スキャン、クラウド セキュリティ ポスチャ管理、コード スキャンなどのインフラストラクチャ、クラウド インフラストラクチャの承認管理など、これまで閉鎖されていた多数の機能を統合します。一部のローカルベンダーの製品は、クラウドネイティブ アプリケーションのセキュリティ ニーズに対応するように設計されていますが、現時点ではすべての機能領域をカバーしているわけではありません。

CSP リスクを効果的に評価するにはどうすればよいでしょうか?

本報告書で採用されている評価方法は、国際的に認められた CSP 評価モデルです。

評価後、CSP は 3 つのレベルに分けられます。

I. レベル 1 CSP

すべての Tier 1 CSP は、中国 MLPS レベル 3 認定と、その他の複数のサードパーティ セキュリティ評価を受けています。これらの大規模な CSP は自社のブランド イメージを保護し、顧客の信頼を高める方法を常に模索しています。これらは主に、市場を独占している確立されたクラウド サービス プロバイダーで構成されています。著名な事例としては、Alibaba Cloud、Tencent Cloud、Huawei Cloud、eCloud、Amazon、Microsoftなどが挙げられる。

II 二次CSP

第 2 層の CSP は、主に中規模プロバイダーと、クラウド コンピューティング機能に優れていない一部の大規模ソフトウェア サービス プロバイダーで構成されています。これらの CSP は、セキュリティと運用の面で比較的未熟であり、第三者による評価が不足していることが多く、財務基盤が弱く、支払い能力が不十分な場合があります。市場のサプライヤーのほとんどはこのレベルに集中しています。

III レベル 3 CSP

主に、第三者による評価を受けるリソースが不足しており、能力が非常に限られている非常に小規模なサプライヤーを指します。彼らの弱い財政基盤を短期間で変えることは困難です。これらは安全ではないと想定する必要があり、そのようなサービスを受け入れる組織/企業は、存在する可能性のあるリスクを十分に認識し、受け入れる必要があります。

さらに、このレポートでは、第三者による評価のいくつかの形式についても詳しく説明しています。 CSP のセキュリティを評価するために、サードパーティの評価または認証がよく使用されます。このリンクでは、グローバル認証に加えて、ローカルの中国認証が不可欠です。一般的なサードパーティ認証には、MLPS、Trusted Cloud Certification、ITSS Cloud Computing Service Capability Assessment、CAC (中国サイバースペース管理局) ネットワーク セキュリティ評価、ISO 27001/27017/27018 認証などがあります。レポートでは、MLPS が最も重要であり、中国の資格のある CSP は MLPS レベル 3 評価に合格する必要があると指摘しています。

中国のクラウドセキュリティ市場は将来有望

クラウドコンピューティングとクラウドネイティブ技術の発展において、中国と西側先進国の間にはまだ一定のギャップがありますが、クラウドセキュリティは長い間、業界企業と市場顧客からますます注目され、重要視されてきました。現在、CWPP関連のサービスを提供できる国内メーカーは多数存在します。 PaaS、コンテナ、クラウド統合機能がさらに向上することで、中国市場には大きな成長の余地があると考えています。

クラウド セキュリティ サービスは、ネットワーク セキュリティ サービスの最新形態として、クラウド コンピューティング技術とビジネス モデルをネットワーク セキュリティの分野に適用し、セキュリティ機能をクラウド方式で提供し、セキュリティをサービスとして実現します。サイバー攻撃が複雑化するにつれ、クラウド セキュリティ サービスがネットワーク セキュリティの重要な開発方向となることは不可逆的な傾向です。

ガートナーは、2024年までに中国のシステムインフラストラクチャとインフラストラクチャソフトウェアに対するエンドユーザーの支出の約40％がクラウドサービス支出に移行すると予測しています。この構造的変化により、クラウド セキュリティは中国のセキュリティおよびリスク管理者にとって優先事項となります。