一般的な商業消費者向けソリューションであれ、ビジネス/エンタープライズ向けソリューションであれ、情報セキュリティに関しては、堅牢なクラウドソリューションを選択することが極めて重要です。「包括的な」ソリューションは存在しないため、クラウドソリューションはどれも同じではありません。ほとんどのクラウドソリューションは特定の目的やカスタム目的に合わせてカスタマイズされており、本稿ではこの点について解説するとともに、様々な種類のクラウドサービスについても見ていきます。最後に、クラウドサービスは今日広く利用され、インターネットとのやり取りに深く組み込まれているにもかかわらず、セキュリティに関しては評判が悪い理由を理解します。
今日、数千テラバイト、あるいはそれ以上のデータが、まるで止めることのできない激流のようにインターネット上を流れています。全人口の半分以上がオンラインであり、300億台以上のデバイスがインターネットに接続されています。こうしたデータの多くは、どこかで止まり、休息、あるいは眠る必要があります。つまり、データを保存できるサーバー上に保存される必要があるのです。そこで、データを保管できるクラウドが誕生しました。
今日、世界最大規模の組織のいくつかは、データストレージとコラボレーション技術における次のステップであるクラウドコンピューティングへの移行を完了しています。このステップは、現在進行中の巨大なデジタル革命、あるいはデジタルトランスフォーメーションと呼ばれるもののほんの一部に過ぎません。
クラウド サービスとは何ですか?
クラウドサービスとは、ある意味、説明の必要がないと言えるでしょう。インターネットは、数十ものプロトコルによって制御され、行き交うトラフィックとデータパケットで構成されています。基本的に、私たちが互いに通信し、インターネット上のサービスを利用するには、データフローが不可欠です。データが生成・保存されて初めて、それが機能するのです。私たちが使用するデバイスはバイナリデバイスであり、内部(ハードウェアとソフトウェア)はソフトウェアコードと通信します。このコードは、コンピューターが動作するために0と1に変換される一連の電気信号です。
クラウドや高速インターネットが登場する以前の時代、従来のデータはUSBメモリ、CD、DVD、外付け・内蔵ハードドライブといった物理メディアに保存されていました。しかし今日では、高速DSL、5G、光ファイバーといった技術による高速アップロードのおかげで、状況は全く異なります。
「クラウド上のデータ」とは、お客様またはお客様の組織が保有するあらゆるデータがリモートロケーションにオフロードされ、物理的なデータセンターがその情報を取得し、処理・保存することを意味します。お客様の「ローカル」デバイスにはデータが保存されないため、スペースの節約や、クラウド上の「データ」にアクセスできる他のユーザーとの共同作業など、大きなメリットがあります。
Gmailなどのメールプラットフォーム、Facebookなどのソーシャルネットワーキングプラットフォーム、WhatsAppなどのメッセージングプラットフォームを使ったことがありますか?Instagramのアカウントをお持ちですか?今ではほとんどの人が使っているでしょう。クラウドサービス技術がなければ、これらのサービスはすべて利用できなかったでしょう。なぜなら、これらの製品を提供する大手テクノロジー企業が、数十億人のユーザーのデータを収容できる巨大なクラウドプラットフォームに、私たちのあらゆるデータを保存しているからです。
ここでのデリケートな問題は、これらのクラウド上には機密情報だけでなく、機密性の高いユーザーデータ、個人を特定できる情報 (PII) が無数に存在することです。
市場をリードする企業が提供する最大規模のクラウドプラットフォームには、Amazon AWS、Microsoft Azure、Google Cloudなどが挙げられます。他にもAlibaba Cloud、Oracle、IBM、Tencent Cloudといったクラウドプラットフォームがありますが、規模とエンゲージメントの点では、これらに大きく劣ります。
クラウドサービスがサイバー犯罪に対して脆弱な理由
クラウドプラットフォームとは何かを理解したところで、サイバーセキュリティの要素に触れてみましょう。ご想像のとおり、数十億ユーザー、ペタバイト規模のクラウドプラットフォームは、巨大な筐体がうなり音を立てて点滅し、数千マイルものケーブルが張り巡らされた建物全体で構成されており、そのセキュリティを確保するのは至難の業です。数百人もの乗客を乗せた大型旅客機の操縦責任を担うことを想像してみてください。巨大なクラウドプラットフォームサービスのセキュリティ確保も、同様にストレスフルと言えるでしょう。
問題はサイバー攻撃とサイバー犯罪です。クラウドプラットフォームがどれほど巨大で脆弱になり得るかを思い出した上で、高度なサイバー犯罪が横行しているという事実と照らし合わせてみましょう。これは大惨事の元凶でしょうか?まさにその通りです。サイバー犯罪者は、可能な限り短期間でROI(投資収益率)を上げようとしています。クラウドプラットフォームへの攻撃は、その手段の一つです。得られる利益は無限大だからです。Amazon AWSプラットフォームやMicrosoft Azureに脆弱性をもたらした複数の攻撃は、この事実を如実に物語っています。
クラウドサービスには、Software as a Service(SaaS)、Platform as a Service(PaaS)、Infrastructure as a Service(IaaS)など、様々なモデルがあります。これらのサービスは、パブリッククラウド、プライベートクラウド、ハイブリッドクラウドのいずれかで提供されます。クラウド技術は、機械学習や人工知能といった新興技術、例えばマルチクラウド環境に対応するために、常に進化を続けています。
これらはセキュリティにとって何を意味するのでしょうか?つまり、これらのプラットフォームは(直接的な脅威、あるいは設定ミスなどの人為的ミスのいずれかによって)脆弱であるということです。
- APIの脆弱性
- データの脅威
- 悪意のある内部脅威(内部者)
- 弱い暗号化
- 全体的に脆弱なプラットフォーム
さて、この件で何ができるでしょうか?世界最大級のサイバーセキュリティ企業でさえ、商用クラウドプラットフォームなどはもちろんのこと、政府の最高レベル機関でさえ、ハッキング被害に遭っています。できることは、情報セキュリティのベストプラクティスの確立、リアルタイムの脅威検知の改善、リスク管理計画の策定、サイバーセキュリティフレームワークの遵守、そして脆弱性への迅速な対応です。ゼロトラストの導入も迫られていますが、これは非常に高度なセキュリティが求められるため、誰にとっても容易な移行とは言えません(とはいえ、これは必須です)。また、最下層から最高レベルのCEOやCISOに至るまで、すべての従業員がサイバーセキュリティに関する高度なトレーニングを受けることも不可欠です。
