クラウドとSaaSのセキュリティには包括的なアプローチが必要

米国国土安全保障省および米国国税庁の元最高情報責任者であり、現在は Learning Tree International の CEO を務める Richard A. Spires 氏が、クラウド コンピューティング テクノロジーと SaaS セキュリティについて分析し、説明しました。

同氏は、クラウド コンピューティングを導入すると、インフラストラクチャ アズ ア サービス (IaaS) やプラットフォーム アズ ア サービス (PaaS) 配信モデルによるオンデマンド コンピューティングの利点や、ソフトウェア アズ ア サービス (SaaS) アプリケーションを使用する利点など、多くの利点があると述べました。特に、SaaS ベースのアプリケーションは、企業が新しいアプリケーションを迅速かつ簡単に導入するための手段になりつつあります。これにより市場は飛躍的に成長し、現在、米国には 11,000 社を超える SaaS スタートアップが登録されています。調査会社IDCの分析によると、2019年までに世界のSaaSベースの市場規模は1,120億米ドルを超えると予想されています。

[[350795]]

IT 組織は、サードパーティのコンピューティングとアプリケーションへの依存に伴うセキュリティ上の課題に対処するために、包括的なアプローチを開発する必要があります。

クラウド コンピューティングと SaaS ビジネス モデルにより、IT 組織はインフラストラクチャ コストを削減し、顧客サポートの俊敏性を高めることができますが、IT セキュリティの処理の複雑さも増大します。 IT 組織は、SaaS ベースのアプリケーションを活用することで、特定の IT インフラストラクチャに対する制御と可視性をある程度放棄しているだけでなく、機密データの保存と制御を第三者に任せています。つい最近まで、IT セキュリティ専門家は組織の IT 境界の保護に重点を置いていました。新しいコンピューティング モデルやサービス モデルが登場するにつれて、従来の周辺機器はもはや存在しないことを認識することが重要になります。

A.Spires は、SaaS セキュリティは二重の課題であると考えています。まず、サードパーティのクラウド サービス プロバイダー (従来のアウトソーシングされたデータ センター サービスを含む) を使用する場合、組織は、これらのプロバイダーが、自社のデータ センターやネットワークに実装するものと一致する (または少なくとも類似する) 適切なセキュリティ制御を実装していることに自信を持つ必要があります。これらの制御は、人員の物理的なアクセスから、システム管理アクセスや適切なネットワーク暗号化を含む ID 管理まで多岐にわたります。いくつかの非営利団体が、業界内の管理の標準化に取り組んでいます。

注目すべきは、Cloud Security Alliance (CSA) が、クラウド コンピューティング専用に設計されたセキュリティ制御フレームワークである Cloud Computing Controls Matrix (CCM) を開発したことです。 Cloud Security Alliance (CSA) は、Cloud Controls Matrix (CCM) を使用して、Security, Trust, and Assurance Registry (STAR) と呼ばれるクラウド コンピューティング サービス プロバイダー向けの監査、認証、登録プログラムを開発しました。米国連邦政府は、同様のモデルである FedRAMP を開発しました。これは、クラウド コンピューティング サービス プロバイダーが、NIST 800-53 セキュリティ制御スイートで定義された 3 つの異なるレベルの最小セキュリティ制御要件を満たす方法です。

しかし、IT セキュリティ リーダーが基盤となるクラウド サービス プロバイダーのコントロール スイートに信頼を置いているとしても、SaaS アプリケーションを使用している組織はどうでしょうか?この場合、機密データは第三者によって保存および管理され、組織の顧客またはパートナーによって使用される可能性が高く、データが組織のネットワーク、ファイアウォール、またはその他のセキュリティ デバイスやプロセス制御に接触することはありません。 SaaS アプリケーションではアプリケーションとそのデータのセキュリティの可視性と制御がほとんど提供されないため、この状況は CIO または最高情報セキュリティ責任者 (CISO) にとって懸念事項です。したがって、2 番目の課題は、組織のセキュリティ ポリシーと制御をパブリック クラウドと SaaS アプリケーションにどのように拡張するかということです。

この課題により、いわゆるクラウド アクセス セキュリティ ブローカー (CASB) が生まれました。これは、オンプレミスまたはクラウド内に配置され、組織とクラウド サービス プロバイダーの間に論理的に存在して、認証と承認、デバイス プロファイル、アプリケーションのホワイトリスト、暗号化、アラート、マルウェア検出などのさまざまなサービスを提供するセキュリティ実施ポイントとして機能する製品です。CASB 市場の業界をリードするベンダーには、Bitglass、Forcepoint、Cloudlock/Cisco、Skyhigh Networks などがあります。 CASB ソリューションの使用は急速に増加しています。調査会社ガートナーの調査レポートによると、2015 年には大規模組織の 5% 未満が CASB ソリューションを使用していたのに対し、2020 年までに 85% が CASB ソリューションを使用するようになると予想されています。

良い面としては、CASB ベンダーは強力な機能を備えており、市場のギャップを埋めています。しかし、A.スパイアーズ氏は、ツールを追加し続け、それを社内で統合することで、企業のITセキュリティの課題をどうやって解決すればよいのか困惑していると語った。彼はこの戦略がうまく実行されているのをほとんど見たことがなかった。これは、企業の IT セキュリティの課題に対処する最善の方法は、企業が脆弱性を発見するのに役立つさまざまな機能を提供する IT セキュリティ プラットフォームを使用することだという見解を裏付けています。この市場では、Palo Alto Networks、Cisco、Check Point Software が統合プラットフォーム ソリューションを提供しています。

プラットフォームの価値の一例として、Palo Alto Networks は最近、プラットフォーム機能をクラウド コンピューティング ソリューションと SaaS アプリケーションに拡張しました。特に魅力的（かつ運用上も魅力的）なのは、組織が 1 つのデータ タイプに対してセキュリティ制御を設定できる（たとえば、データの機密性に基づいて制御をカスタマイズする）一方で、Palo Alto Networks のテクノロジにより、ユーザーはプラットフォーム全体でそれらのポリシーを適用できることです。データがユーザー自身のデータセンター、アウトソーシングされたデータセンター、またはパブリック クラウド内の SaaS アプリケーションに保存されているかどうか。これにより、組織内のセキュリティ ポリシーの管理が大幅に簡素化され、高度な脅威保護が実現します。

さらに、サイバー攻撃者が使用するエクスプロイトの増加の 1 つは、SaaS ベースのアプリケーションを通じてユーザーにマルウェアを感染させるように設計されています。これは、ほとんどの組織が内部ベースのアプリケーションと同じようにこれらの SaaS アプリケーションを監視できないことをサイバー攻撃者が知っているためです。これらのプラットフォームの主要コンポーネントには、クラウドに存在するものも含め、IT インフラストラクチャとアプリケーションのあらゆる側面に脅威の検出および防止機能をもたらす機能が含まれます。

SaaS ベースのアプリケーションの使用は、組織が新しい機能を迅速に提供するための好ましい方法になりつつあります。需要はビジネス ユーザーから発生するため、IT 組織は SaaS の量と使用量の継続的な拡大を受け入れ、計画を立てる必要があります。したがって、ユーザー データが組織のネットワークまたはデータ センターで処理または保存されない場合でも、IT 組織は、サード パーティのコンピューティングとアプリケーションへの依存に伴うセキュリティ上の課題に対処するための包括的なアプローチを開発する必要があります。