トピック
なぜクラウドの設定ミスは相次ぐのか、情シス歴26年の担当者が語る過去10年の問題点と課題
解決のカギになるのは「棚卸」と「特化した診断」
- 提供:
- 株式会社ラック
2020年12月9日 06:00
日本におけるクラウドコンピューティングの元年と言われた2010年から10年が経過した。オンプレミス環境よりも圧倒的なスピード感でビジネスのIT化を実現する上で、クラウド無しのITは考えにくくなってきている。
しかし、そのスピード感ゆえ、システムの事前検証や精度の高い設計がないがしろにされがちで、結果、設定ミスによる重要データ流出などに繋がる事案も多く観測されている。
このような問題解決の一助として登場したのが、セキュリティ診断サービスやセキュリティコンサルティングなどを手掛ける株式会社ラックが5月にサービスを開始した「クラウドセキュリティ設定診断(スポット)」「クラウドセキュリティ設定診断 by MVISION Cloud」だ。
これは、過去10年間で浮き彫りになったユーザーの問題を解決するために開始した、クラウドの環境設定の診断に特化したサービスだ。
そこで今回、そうしたサービスを提供することになった背景……つまり、クラウドセキュリティの現状と今後の課題について、同社のセキュリティ設定診断の技術者である、土屋修平氏、柳澤伸幸氏、小林佑行氏の3人が診断ベンダー目線で、SSS事業統括部団体運営推進部長の原子拓氏に情シス目線で語ってもらったので、ぜひ参考にしてほしい。
「ユーザーの設定ミス」で脅かされ続けるクラウドのセキュリティ
――クラウド元年から早10年が経過していますが、それでも事故が続く状況だと思います。実際にはどのようなトラブルがあるのでしょうか?
[原子氏]情シス目線で言うと「情シスのガバナンスが効いていれば良い」という話になるのですが、実際には、事業部門がデジタルトランスフォーメーション(DX)の推進を行っているなどの理由で、「知らないクラウドにデータが置いてある」ということになりがちです。そして、そこがトラブルの遠因になったりします。
そして、そのクラウドの設定が誤っていて、インシデントになる……ということが多く発生しています。
総務省の調査でもすでに過半数の企業がクラウドを使っていますが、きちんと管理されていなければ事故が起こります。
マルウェアの感染でデータが抜かれ、サイバー犯罪者から脅迫メールが届いて初めて設定ミスを知る、というケースもあります。
[土屋氏]お客様事例に触れない程度でお話しすると、クラウドを使うことで、新しいサービスの立ち上げが「3日」とか「1週間」でできてしまうこともありますが、素早く立ち上げることに集中するあまり、適切でない設定をしてしまい、後日問題になる、ということことがあったりします。
設定ミスについては、事業部門がセキュリティのルールを理解せずに設定してしまうケースのほか、クラウド環境に慣れている事業者でも新しい環境、特殊な環境で不適切な設定を行ってしまう事例があります。
[原子氏]普通の企業にはIT部門や総務部門によるガバナンスやガイドラインがあるのですが、事業推進という観点で事業側に権限委譲しているところが多く、そこで設定ミスが起こりやすいです。
例えば広報部門に権限を渡していたら、広告代理店が不適切な設定の広報サイトを立ち上げてしまい、ウェブサイトが改ざんされたという話もあります。
また、公開セグメントにストレージが入っているケースでは、そのストレージをガバナンスガイドラインに入れ忘れててという話もあります。10年も経てば、どうなっているか忘れてしまったということもあるので、棚卸が必要でしょう。
現場サイドの話でもありましたが「すぐに立ち上げられる」のは危険と裏腹です。クラウドでは設定するとすぐにできてしまう。公開してからの増設や管理を事業部門にしっかり意識してもらう、というのがなかなかできないですね。
オンプレの場合、公開セグメントで事故を起こす理由としてパッチ未適用による脆弱性を狙った攻撃があります。クラウドは脆弱性問題が出にくいですが、公開設定にしてしまうことで「見えてはいけないものが見えてしまう」ということになります。
クラウドに上げるデータには優先順位を付け、使い分けを!「棚卸」と「定期的な診断」での見直しもアリ
――つまり不適切な設定を適宜見直す必要がある、ということですね。チェックリストを見ながら人力で確認する方法もありますが、そのツールとして始められたのが御社の「クラウドセキュリティ診断」サービスということでしょうか。
[土屋氏]はい、そうです。2020年5月に開始した「クラウドセキュリティ設定診断(スポット)」はそういった設定確認や棚卸に効くサービスになっています。
また、スポットではなく年単位で契約いただくサービスとして、「クラウドセキュリティ設定診断 by
MVISION Cloud」というサービスもやっています。こちらは、クラウドのセキュリティ診断としてマカフィーの「MVISION Cloud」をお客様に年単位で契約して頂き、マカフィーのレポートを弊社で解析、安全性の評価や問題点を定期的に報告する、というものです。
どちらのサービスも構成によって料金は変わります。
[原子氏]さきほどの棚卸に関係しますが、オンプレの場合、年間導入台数がむやみに多くなることはありませんが、クラウドではスポットでちょっとだけ使って止めるものも継続的に利用するものも多数あり、絶えず変化しています。
チェックしないと抜け漏れがでますから、管理のために棚卸して資産台帳を作り、フローを作って定期的に確認、台帳をきれいにしていくことが重要です。
しかし、現状を考えると「それは難しい」ということも多いと思います。私は情シスを26年やってきましたが、完璧になることはなく、反省ばかりになってしまっています。
[土屋氏]インターネット管理のインターフェースがクラウド事業者によって異なったり、他事業者でもアップデートがされたりとか複数の中でクラウドを使ってる場合、人が管理するのは難しい。そこできちんと管理するためのサービスを用意したというのが背景です。
クラウドの使い方が非常に限定的ならば人力という手もありますが、規模が大きくなるとツールのほうが手間も少なく漏れも少なくなります。
[原子氏]棚卸と台帳のほかに、優先順位付けというポイントもあります。
データには重要さによる優先順位があるはずで、例えば製造業だと技術情報、あるいは顧客情報のように非常に大切なものをクラウドに上げるなら、情シスがきちんと管理している所に格納しなければいけません。
一方、DXやマーケティングなど事業部門が主体になっているものは優先順位が低めで、トラブルが起こっても深刻な問題にならないことが多いはずです。事業の速度とセキュリティを考えると、このようなバランスを考えることがとても重要です。
管理ツールもクラウド側が用意していることもありますが、クラウドごとにツールが違うので、これからクラウドを始めるところは、まずはマルチクラウドにせずに運用を行った方が良いかもしれません。
やはり、定期的に棚卸をして、何がどこに合っているかツールでチェックした方が楽ですし、情シスとして管理運用の負担を減らして、できた余力で新しいことができると思います。
[小林氏]データの重要度を自身で整理して「ここまでの情報だったら積極的にクラウドを使いましょう。これなら漏れてもまだ取り返しが付く」と決めて制御するという企業もいらっしゃいます。
反対に機微情報と呼ばれているものに関しては「まだちょっとクラウドで扱うのは早いので、今はやめて欲しい」など重要度で管理することもあります。
――少々脱線する質問になりますが、「パブリッククラウドが落ちて仕事が止まった」というのはアリなんですかね?
[原子氏]これはCSIRT専門家としてちょっと言わせてください。クラウドって落ちることが想定されてますから、リスクコントロールが必要です。止めてはいけないシステムなら代替インフラを用意しなければいけません。大企業で半日業務が停止すると被害額も大きいです。
代替環境だと縮退はするでしょうが「(代替環境を用意して)絶対止めない」が重要です。同じことはウェブサーバーにも言えて(負荷が急増しても)「只今工事中」でいいから何か出さないとダメです。
とはいえ、あまりやっていないところが多いので、それがよろしくないですね。先日のとある重要インフラ停止のニュースも「なにやってんだ」と情シス歴が長い人は怒っています。「テストするに決まっているじゃないか」と。
――リスクコントロールにお金を出さずに被害を出したら経営側の判断ミスなので、情シスはリスクと対応策を提案するべきということですね。
[原子氏]このあたり、上手く行っている企業は台帳管理と紐付けて取り扱いデータを重要性だけじゃなくて「このサービスはどのぐらいシステムダウンを許容できる」のような可用性の指針みたいなものを定義しています。
可用性が極めて高いようなものであれば、別のクラウドで速やかに復帰できるようにするなど、さらに大規模の災害に備えてのBCP(事業継続計画)観点も含めて、遠隔のクラウドリージョンを使うなどの工夫がされています。そのあたりはオンプレと違うクラウドならではのメリットでしょう。
情シスは「戦う情シス」となって、事業や経営に貢献するべく提案を中小企業は診断サービスの活用でIT化の加速化を
――クラウドをより良く活用するためには「何をクラウドに置いて何をオンプレに置いておく」というような話を経営者に理解してもらうということでしょうか?
[原子氏]そうですね。いわゆるお任せ情シスではなく、事業や経営に貢献できるようなクラウドの提案っていう意味です。こういうところで事業支援するかっこいい情シスになるといいですよね。「戦う情シス」です。
[小林氏]事業部門の自由度を高くして、新しいことにいろいろ挑戦してクラウドを使って欲しい。ツールを活用して安全性を確認したり、定期的に棚卸を行って、事業部門とセキュリティ部門でクラウド推進のための連携し、事業推進を行うと良いと思ってます。
[原子氏]クラウドを上手く活用するために、事業部門には「診断サービスでチェックすればいいのでよろしくね」と渡すかたちにできればと。ガバナンスを押し付けるよりも分かりやすいかもしれません。
――ポイントは経営者と情シスと事業部門がどれだけ上手くやってけるかなんでしょうけど、上手くいきますかね?
[原子氏]「DX銘柄2020」に選ばれているような企業は、だいたいそうした連携が上手く行っていて、経営側のメッセージの中に、情報システムというキーワードがありますね。ITを駆使した企業では「距離を縮めて、ちゃんと話そうよ」というのが前提にあると思います。
私は、最近中小企業のセキュリティを見ていますが、手が回らないというのは事実です。ただ、クラウドはとっつきやすくて、安く早くできるという。要は「安い早いうまい」ですよね。これにツールを活用することで「安全」が入りますから、クラウド化が進めば、古いサーバーを捨てられる時代が来るのかなと思います。
中小企業もコストをかけずに事業ができるようになれば、元気な日本が帰ってくる。GAFAに勝つとは言いませんが、サプライチェーンの末端まで元気になれるのではないでしょうか?
人がやって大変なところや、ガバナンスで難しく言っているところがツールで具現化されてコントロールでき、管理側からもちゃんと見えて、経営からお金が見えるというふうになってればいいわけですよね。そういった意味ではこのようなツールは有効だと思います。
――クラウドを上手く使うためにはまず情シスが頑張って声を出せなきゃいけないというわけですね。
クラウドを上手く活用するために診断サービスを使う
[原子氏]AWSコミュニティの話をすると「Enterprise JAWS」では尖ったCIOの方が多いですよね。情シスが声を出せてると言いますか、そのような企業はクローズアップされており、成果を出してます。
クラウドで尖ってやっていて、新しいビジネスにチャレンジしている。だからクラウドを上手く活用して優良企業になる。そういうところで戦っていく意味がありますよね。情シスには頑張ってほしいと思っています。
そのためには(コミュニケーション力が弱い)パソコン少年を雇った人だけではダメで、マネジメントに戦略家を置く必要があると思います。そういう人はITではなく政治家ですね。CIOは声が大きい方が成功していることが多いです。提案をしないと単なるエンジニアで、何か言われた通りしかしないことが多いかもしれないでしょう。
信頼の置かれる一人情シスの方がいっぱいいるんですよ。あるいはすごく小さいところは経営者兼一人情シスみたいなところもあります。そういうところでもセミナーで手を上げて質問するような頑張っている人は、いいツールに出会えてクラウドを活用すれば上手くいくと思います。
オンプレの時代ではこうはいかず、戦わなくていいところは安いパッケージやクラウドSaaSを使い、戦わなきゃいけないことはしっかりやる、という時代が来ているはずです。
[柳澤氏]日本でも数年前から、政府が「クラウド・バイ・デフォルト原則」を提唱しており、各府省でもクラウドをどんどん使っていきましょうという流れの中で、政府情報システムのためのセキュリティ評価制度(ISMAP)が設定され、「このクラウドは政府調達基準を満たしています」と、国として整備されつつあります。
最初は各府省だけかもしれませんが、民間企業もこうした制度を上手く活用できると「このクラウドはしっかりしてる」「このクラウドはどう使えばいいのか」という情報が出てくると思うので、使いやすくなるかもしれません。
最終的に自分のシステムに合わせて、設定や構成を変えたりする自由度に関しては、専門の診断やツールを生かしてもらえれば良いかと思います。
[原子氏]そうですね。あと頼れるベンダー以外にもクラウドの場合はオープンなユーザーグループがあります。
そういうところに顔を出すと、クラウドに関して同じ悩みを持つ人たちがいるので、話を聞くだけでも一人情シスには心強いのではないかと思います。クラウドを活用できているユーザーの話を聞くのは参考になります。
――社内では一人かもしれないけど、同じクラウドで戦う仲間にも聞こうってことですね。色々と参考になりました。ありがとうございます。