クラウドとSaaSのセキュリティには包括的なアプローチが必要

Richard A. Spires 氏は、Learning Tree International の CEO であり、米国国土安全保障省および IRS の元 CIO です。

[[328722]]

元 CIO である Spires は、Infrastructure as a Service (IaaS) および Platform as a Service (PaaS) 配信モデルによるオンデマンド コンピューティングの活用と Software as a Service (SaaS) アプリケーションの使用の両方において、クラウド コンピューティングの大きなメリットを実感しています。特に、SaaS ベースのアプリケーションは、組織が新しいアプリケーションを迅速かつ簡単に活用できる手段になりつつあります。これが大きな成長の原動力となっており、米国ではイノベーション エンジェル リストに 11,000 社を超える SaaS スタートアップが名を連ねており、IDC は SaaS ベースの市場が 2019 年までに 1,120 億ドルを超えると予測しています。

IT 組織は、サードパーティのコンピューティングとアプリケーションへの依存に伴うセキュリティ上の課題に対処するために、包括的なアプローチを開発する必要があります。

クラウド コンピューティングと SaaS ビジネス モデルにより、IT 組織はインフラストラクチャ コストを削減し、顧客サポートの俊敏性を高めることができますが、IT セキュリティへの対応も複雑になります。 IT 組織は、SaaS ベースのアプリケーションを活用する限り、特定の IT インフラストラクチャに対する制御と可視性を放棄するだけでなく、機密データを第三者に保存および制御させることになります。少し前までは、IT セキュリティ スタッフは組織の IT 境界の保護に重点を置いていました。今日の新しいコンピューティングおよびサービス モデルでは、従来の境界はもはや存在しないことを認識する必要があります。境界が存在する場合でも、多くのサードパーティ クラウド サービスおよび SaaS アプリケーション プロバイダーの保護が含まれる場合があります。

Spires は、SaaS セキュリティを 2 つの課題として捉えています。まず、サードパーティの IT クラウド サービス プロバイダー (従来型のアウトソーシング データ センター サービスを含む) の使用に関しては、組織は、それらのプロバイダーが自社のクラウド コンピューティング サービスと一致する (または少なくとも同様の) 適切なセキュリティ制御を実装していることに確信を持つ必要があります。自社のデータセンターとネットワークに何を実装するか。これらの制御には、人員の物理的なアクセスから、システム管理アクセスの ID 管理や適切なネットワーク暗号化までが含まれます。多くの非営利団体が、業界におけるこれらの制御の標準化に取り組んでいます。 Cloud Security Alliance が、クラウド コンピューティング専用に設計されたセキュリティ制御フレームワークである Cloud Controls Matrix (CCM) を開発したことは注目に値します。 Cloud Security Alliance は、Cloud Controls Matrix を使用して、Security, Trust and Assurance Registry (STAR) と呼ばれるクラウド コンピューティング サービス プロバイダー向けの監査、認証、登録プログラムを開発しました。同様のモデルとして、米国連邦政府は FedRAMP プログラムを開発しました。これは、クラウド コンピューティング サービス プロバイダーが NIST 800-53 セキュリティ制御スイートで定義された 3 つの異なるレベルで最低限のセキュリティ制御要件を満たすことができる方法です。

しかし、IT セキュリティ マネージャーが基盤となるクラウド サービス プロバイダーのコントロール スイートを信頼しているとしても、組織が SaaS アプリケーションを活用している状況はどうでしょうか。この場合、機密データは第三者によって保存および管理され、組織のネットワーク、ファイアウォール、または組織が管理するその他のセキュリティ機器やプロセスにデータが接触しないような方法で組織の顧客またはパートナーによって使用される可能性が高くなります。 CIO や CISO にとって、SaaS アプリケーションではアプリケーションとそのデータのセキュリティに対する可視性と制御がほとんど提供されないため、この状況は憂慮すべきものです。したがって、2 番目の課題は、組織のセキュリティ ポリシーと制御をパブリック クラウドと SaaS アプリケーションにどのように拡張するかということです。

この課題により、オンプレミスまたはクラウド内に配置され、組織とクラウド コンピューティング サービス プロバイダーの間に論理的に存在してさまざまなサービスを提供するセキュリティ適用ポイントとして機能する製品である、いわゆるクラウド アクセス セキュリティ ブローカー (CASB) に注目が集まっています。これらには、認証と承認、デバイス プロファイル、アプリケーションのホワイトリスト、暗号化、アラート、マルウェア検出などが含まれます。クラウド アクセス セキュリティ ブローカー (CASB) 市場の主要ベンダーには、Bitglass、Forcepoint、Cloudlock/Cisco、Skyhigh Networks などがあります。クラウド アクセス セキュリティ ブローカー (CASB) ソリューションの使用が急速に増加しています。 Gartner の調査によると、2020 年までに大規模組織の 85% がクラウド アクセス セキュリティ ブローカー (CASB) ソリューションを使用するようになりますが、2015 年には 5% 未満でした。

良い面としては、クラウド アクセス セキュリティ ブローカー (CASB) ベンダーは強力な機能を備えており、市場のギャップを埋めています。しかし、元 CIO である Spires 氏は、ツールを追加し続け、それを社内で統合することで、企業の IT セキュリティの課題をどのように解決すればよいのか困惑していました。この戦略がうまく機能することは稀です。そのため、Spires は、企業の IT セキュリティの課題に対する最善のアプローチは、企業内での侵害を防止 (および必要に応じて発見) するのに役立つさまざまな機能を提供する IT セキュリティ プラットフォームを使用することだという見解を支持しています。この市場では、Palo Alto Networks、Cisco、Check Point Software が統合プラットフォーム ソリューションを提供しています。

プラットフォームの価値の一例として、Palo Alto Networks は最近、プラットフォーム機能をクラウド コンピューティング ソリューションと SaaS アプリケーションに拡張しました。特に興味深い（そして運用上魅力的な）点は、Spires が特定の種類のデータに対してセキュリティ制御を設定できること（データの機密性に基づいて制御を調整するなど）と、Palo Alto Networks のテクノロジにより、データが自社のデータセンター、アウトソーシングされたデータセンター、またはパブリック クラウドの SaaS アプリケーションに存在するかどうかに関係なく、プラットフォーム全体にそれらのポリシーを適用できることです。これにより、企業全体のセキュリティ ポリシーの管理が大幅に簡素化され、高度な脅威保護が実現します。さらに、サイバー攻撃者が使用する攻撃ベクトルとして、SaaS ベースのアプリケーションを通じてユーザーをマルウェアに感染させるという攻撃が増えています。これは、ほとんどの組織が内部ベースのアプリケーションと同じようにこれらの SaaS アプリケーションを監視できないことを攻撃者が知っているためです。これらのプラットフォームの重要なコンポーネントは、クラウドに存在するものも含め、IT インフラストラクチャとアプリケーションのあらゆる側面に脅威の検出と防止の機能をもたらすことです。

SaaS ベースのアプリケーションの使用は、組織に新しい機能を迅速に提供するための好ましい方法になりつつあります。需要はビジネス ユーザーから発生するため、IT 組織は SaaS の量と使用量の継続的な拡大を受け入れ、計画を立てる必要があります。したがって、ユーザーやデータが組織のネットワークやデータセンターを通過することはなくても、IT 組織はサードパーティのコンピューティングやアプリケーションに依存することで生じるセキュリティ上の課題に対処するための包括的なアプローチを開発する必要があります。