日経BP総研とソフトバンク特別セミナー Enterprise IT Infrastructure 2020 レビュー ~クラウドプラットフォーム・セキュリティ~

"日経BP総研とソフトバンク特別セミナー Enterprise IT Infrastructure 2020 レビュー ~クラウドプラットフォーム・セキュリティ~"

(2020年3月2日 掲載)

目次

クラウド時代の「セキュリティ新常識」とは

銀行の勘定系システム、政府機関の行政システムなど、これまでオンプレミスが当たり前と考えられてきたシステムが、続々とパブリッククラウドへ移行し始める。「パブリッククラウドは危険」という意識の転換がようやく広がりを見せ始めたことがその背景にあるだろう。


こうした変化は、セキュリティ対策の常識にも否応なく見直しを迫る。従来は、組織の内と外を「壁」で隔てる境界防御が一般的だった。壁に相当するのがファイアウォールやUTM(統合脅威管理)などだ。だがクラウドサービスを利用する場合、守るべき情報資産やそれを利用する社員は、もはや壁の内側にとどまらずに外側のクラウド上へも広がっていく。


「もはや境界での防御だけでは守り切れない。データの保存場所や利用者のアクセス手段に依存しないで、必要とされるセキュリティポリシーを常に維持できるようにする仕組みが不可欠です」と日経BP 総合研究所の井出 一仁氏は語る。


具体的にはユーザーや端末の正当性の認証、利用状況の可視化、データごとのアクセス権限の制御などが必要だ。また、クラウドの設定間違いが攻撃者に狙われることもあるため、人為的なミスを排除する仕組みや、バックアップ環境の整備も欠かせないだろう。


境界防御も無用になったわけではない。依然として必要だ。「やるべきことが格段に増えています。自社のリソースだけで対応が難しい場合は、MSP(マネージドサービスプロバイダー)やセキュアWebゲートウエイなど、各種セキュリティサービスの利用も検討すべきでしょう」(井出氏)。


日本へのサイバー攻撃の激化が予想される2020年。境界防御の限界を知り、クラウド時代にマッチした新しいセキュリティ対策を講じることが、事業継続に向けて必須になっている。

企業が抱える3つの課題を解決しマルチクラウドの効果を最大限引き出す

ソフトバンク株式会社 クラウドエンジニアリング本部 インテグレーション部 部長 石田 貴史

石田 貴史
ソフトバンク株式会社
クラウドエンジニアリング本部
インテグレーション部 部長

マルチクラウド化を阻む、3つの課題
情報システムを活用する際、クラウドを第一の選択肢とする「クラウド・バイ・デフォルト原則」が政府によって打ち出された現在、企業のクラウド活用もますます広がりを見せている。複数のクラウドを適材適所で使い分ける「マルチクラウド」も普及しつつあり、この傾向は今後も強まっていくだろう。

汎用的な業務アプリケーションはSaaSを、デジタルトランスフォーメーション(DX)を支えるアプリケーションなどの開発基盤には、より自由度の高いPaaSやIaaSを活用し、クラウド化が難しい基幹システムなどはオンプレミスで継続運用する——。そんな使い分けが、ビジネスの新常識になりつつある。

これらの変化を踏まえ、マルチクラウドの最適活用をどう図っていくべきか。

特にPaaSやIaaSの活用には注意が必要だ。例えば、OSやミドルウエア、アプリケーションのセキュリティ対策は、サービス利用者側の責任になることが挙げられる。適切なガバナンス/コンプライアンス強化策を打つことが必須だ。また、コスト最適化を図ることも欠かせない。すべてユーザの裁量に任せていると、リソースを湯水のように使ってしまいコストに歯止めがかからなくなるからだ。

「といっても、適切な利活用を任せられる人材を確保・育成することは簡単ではありません。つまり、『セキュリティ』『コスト』『人的リソース』という3つの課題をどう克服するかが、マルチクラウドの効果を最大化するカギになります」とソフトバンクの石田 貴史は述べる。

クラウドの効果を最大化する「マルチクラウド戦略」
3つの課題を解決するため、ソフトバンクはマルチクラウド戦略を展開している。「主要パブリッククラウドのPaaSやIaaSへの既存資産の移行をトータルでサポートするほか、様々なソフトバンクのサービスを適用することで、オンプレミスとマルチクラウドをシームレスにつないだ、セキュアかつ低遅延で利用できる環境を提供します」と石田は説明する。

"ソフトバンクのマルチクラウド戦略"

ソフトバンクのマルチクラウド戦略
他社のパブリッククラウドもオンプレミスも、統合プラットフォームで一元管理できる。マルチクラウド化に向けたコンサルティングから導入支援、導入後の運用・保守もフルマネージドでサポートする

3つの課題のうち「セキュリティ」と「コスト」の課題解決に有効なサービスが「CMP(クラウドマネジメントプラットフォーム)」だ。異なるクラウドプラットフォームの一元管理を実現する。例えば、複数のクラウドサービスの利用状況とコストをリアルタイムに可視化できるため、過剰なリソース使用を是正して、コストの最適化につなげることができる。

すべてのクラウドサービスに一貫したポリシーを適用したり、特定サービスのリソース使用を制限したりすることも可能だ。「モニタリング機能を使ってセキュリティ監査を行えば、ポリシー違反も速やかに検知できます。ガバナンスを強化し、セキュリティレベルを向上できるでしょう」と石田は紹介する。

さらにサービスカタログを利用したプロビジョニングやオートメーション機能により、定型作業の自動化も図れる。人的作業の工数削減に加え、操作の標準化によってオペレーションミスも削減できるという。

そして、「人的リソース」の課題を解決するのが「MSP(マネージドサービスプロバイダー)サービス」だ。これは、豊富な実績を基に構築した独自のクラウド導入フレームワークをベースに、ITライフサイクル全体をカバーするフルマネージドサービスである。

最適なシステムデザインのためのコンサルティングを実施し、その結果にもとづいて、システムの設計・構築・移行・検証をサポート。さらに、移行後のシステム監視やアラート/インシデント対応などの運用・保守までトータルに支援する。「お客さま社内の人的リソースの負担を減らし、本来取り組むべき課題やビジネス変革に注力できるようにします」と石田は言う。

システムインフラの本流になりつつあるマルチクラウドだが、メリットを最大限に引き出している企業はまだ少ない。限られた人的リソースでセキュリティやコストを最適化し、効果を最大化する上で、ソフトバンクのマルチクラウド戦略は重要な指針になるだろう。

「オンプレミス回帰」は本当に最善手か 守りのITを支えるクラウドの実力

ソフトバンク株式会社 クラウドエンジニアリング統括部 IaaSエンジニアリング部 部長 佐々木 俊幸

佐々木 俊幸
ソフトバンク株式会社
クラウドエンジニアリング統括部
IaaSエンジニアリング部 部長

オンプレミス回帰が起こる理由とその対策
クラウド利用は着実に増加しており、その傾向は今後も続いていくだろう。一方で、この流れに逆行する動きも見られる。オンプレミスのシステムをパブリッククラウドに移行したものの、ふたたびオンプレミスに戻すことを計画するケースだ。多くの場合、その理由は「サービスレベルやセキュリティの向上」「データ連携や運用管理の効率化」などと言われる。いったんはクラウド移行を決意したものの、満たせない点があり、泣く泣くオンプレミスに戻すというわけだ。

こうした状況はなぜ起こるのか。「クラウド化の目的を見誤っていることが大きい」とソフトバンクの佐々木 俊幸は指摘する。

DXに代表される「攻めのIT」においては、最新の技術トレンドにいち早く対応できるパブリッククラウドが有効だ。しかし、コアビジネスを支える「守りのIT」においては、高い安定性・信頼性を確保しつつ、情報資産を活用した業務の効率化、生産性向上が強く求められる。攻めのITと同じ、または同様のクラウド環境が、必ずしもその要件を満たせるとは限らないのだ。

「かといって、安易にオンプレミスに戻すと、インフラの保守や運用管理の手間も以前の状態に逆戻りしてしまいます。やはり、必要な条件をしっかり見極めた上で、クラウドサービスも含めて適材適所のシステム配置を検討することが不可欠です」と佐々木は語る。

同社はマルチクラウド戦略の一環として、守りのITを支えるクラウドサービスを提供している。それがVMware vSphereベースのIaaS「ホワイトクラウド ASPIRE」(以下、ASPIRE)である。これは、ソフトバンク自身も多様なサービスの基盤として利用しているキャリア品質のIaaS。99.999%のSLAに支えられた高可用性を備えると同時に、柔軟なシステム構築が可能だ。

既存環境をそのままクラウドに移行できる
「ASPIRE」のサービス基盤は、ソフトバンクが国内14ヵ所に展開する堅牢なデータセンタである。基幹ネットワークは、ソフトバンクの大容量・超高速光バックボーンで構成され、強固な障害耐性を実現している。

また、オンプレミス環境との互換性が非常に高いことも大きな特長だ。「例えば、VMware vSphere環境であれば、再設計・再インストールをすることなく、既存環境と同じ構成でそのまま移行できます。今までの仮想化運用の知識やナレッジはそのまま生かせるため、すぐに使いこなすことができます」と佐々木は紹介する。

ネットワーク構成も柔軟に構成可能だ。プライベートIPアドレスも変更なしでそのまま移行可能。既存のネットワーク構成を変えずにクラウド移行することはNGであったり個別相談が必要な場合もあるが、「ASPIRE」では標準メニューで提供できることが多いという。また閉域ネットワークサービス「SmartVPN」を活用すれば、ユーザ自身の環境と「ASPIRE」を、インターネットを介さずセキュアに接続することも可能だ。東日本・西日本の2サイトを活用したリモートバックアップや、ディザスタリカバリなどの事業継続ソリューションも提供されており、広域災害に備えたBCP対策も強化できる。

”ASPIREを活用したマルチクラウド活用イメージ”

「ASPIRE」を活用したマルチクラウド活用イメージ
守りのITを支える「ASPIRE」に、ソフトバンクが提供する多彩なサービスを連携させることで、パブリッククラウドとシームレスかつセキュアにつながる環境が実現できる

「CPU、メモリ、ストレージなどのリソースサイズも必要な分だけ自由に契約できます。過剰なリソースを持たずに済むため、コストを最適化できる上、リソースの増強にもスピーディかつ柔軟に対応できる点は、オンプレミスにはない利点といえます」と佐々木は強調する。

前身となる仮想化基盤サービスを含めると、提供開始から11年の歴史を持つ「ASPIRE」。ユーザの過半数が5年以上の長期利用を続けているといい、これは信頼性の証といえるだろう。その中で同社が培ってきた基盤運用ノウハウを生かし、サービス開発チームと連携した手厚い運用サポートが提供される点も魅力といえる。豊富な知識を備えた同社SEによる提案・導入支援のほか、運用監視と障害対応は専用窓口で24時間365日対応を行う。クラウド環境だけでなく、ネットワークやセキュリティ、モバイルなどの問い合わせにも対応するという。

守りのITには、その特性にフィットしたクラウドプラットフォームを選ぶことが望ましい。「ASPIRE」が、その有力な選択肢となるはずだ。

クラウドのセキュリティは「ゼロトラスト」で守る

ソフトバンク株式会社 戦略事業統括部 IoT・セキュリティ事業推進部 部長 北山 正姿

北山 正姿
ソフトバンク株式会社
戦略事業統括部
IoT・セキュリティ事業推進部 部長

クラウド時代、既存のセキュリティ対策はもはや通用しない
インターネットにつながる環境さえあれば、場所やデバイスに依存せずサービスやシステムを利用できる。ご存じの通り、これがクラウドの大きなメリットである。オフィスでの就業/紙ベースの業務を脱却し、リモートワークやペーパーレス化を加速する——。働き方改革の起爆剤としても、クラウドは有効だ。

一方で、従来のオンプレミス環境とは注意点が異なる部分が出てくる。例えば社外からスマートデバイスでインターネット接続していると、巧妙な手口により端末が悪意のあるプログラムに感染する事も起こり得る。その状態で帰社後、社内Wi-Fiなどに接続すると外部からの攻撃を検知・遮断しているファイアウォールなどをバイパスして不正通信されるため、従来のセキュリティポリシーが役目を果たさなくなってしまうのだ。

「現在は重要情報を狙うサイバー攻撃の手法も多様化・巧妙化しています。例えばSSLで暗号化された通信は、復号化しないとその中身を検知することができません。このことを逆手にとり、SSL通信を使った攻撃は常套手段となっています」とソフトバンクの北山 正姿は指摘する。

またこれがマルチクラウド環境になると、異なるクラウドプラットフォームが混在するため管理も煩雑になる。どうしても人為的な設定ミスが増加するが、そこを突く攻撃やそれによる情報漏えい事故も発生しているという。

ひとたび情報漏えい事故を起こしてしまえば、その企業の被害は甚大なものになる。平均数億円に上るといわれる他社への損害賠償額に加え、純利益や株価も大きく落ち込むことは避けられないだろう。クラウド環境のセキュリティ対策は、今や重要な経営課題となっている。「社内システムの保護を目的としてきた従来型の手法はもはや通用しません。場所を問わず、すべての情報を確認・実証しない限り、信頼してはいけない。クラウド時代のセキュリティ対策は『ゼロトラスト(何も信用しない)』を起点に改めて考えるべきなのです」と北山は強調する。

存在するリスクの実態を正しく知り、正しく対処せよ
ゼロトラストの考え方のもとではクラウド環境はもちろん、そこに接続するデバイスやアプリケーションも含め、すべてを疑ってかかることが肝心だ。この考え方にもとづきソフトバンクはクラウドセキュリティソリューションを提供している。

SaaS型Webセキュリティ「Zscaler(ゼットスケーラー)」はWebアクセス時の通信内容を検査し、企業ポリシー未準拠のサイトアクセス制限やマルウェア検知といった多様なセキュリティ機能を提供する。HTTPS通信を復号し、SSLで暗号化された通信の中身まで確認・識別するため、先に紹介したようなサイバー攻撃も検知可能だ。SaaS型なので設備導入やインフラ構築などは不要な上、ユーザ単位課金で、通信量に応じてオートスケールする。運用管理の手間もかからない。

またZscalerは大きく2つのサービスがあり、ソフトバンクではそのどちらも提供が可能だ。Webアクセス時のセキュリティ機能を提供する「Zscalerインターネットアクセス」と、IaaS環境や自社データセンターで展開している企業のプライベートアプリケーションに対し、セキュアなリモートアクセスを実現する「Zscalerプライベートアクセス」がこれに該当する。

”Zscalerの利用イメージ”

Zscalerの利用イメージ
Web上のアクセス先を自動識別しセキュリティ統制できるほか、SDP型リモートアクセスなど多様なセキュリティ機能を有する

加えて同社は、Zscalerを24時間365日体制で有人サポートするサービスや、設定変更代行メニュー、監視/通報/通信遮断などを代行するマネージドセキュリティサービスも提供する。「例えばアクセスログをリアルタイム監視し、不正通信などの異常検知時にはお客さまに代わって通信を遮断します。これによりリスクの拡散を迅速に防ぐことが可能です」と北山は説明する。

さらに、人によるミスを予防するソリューションもある。それが「CloudGuard Dome9」だ。Amazon Web Service、Microsoft Azure、Google Cloud Platform という主要クラウドサービスにおいて、管理ミス・管理不全により生じるリスクを統合的に可視化し、意図せぬ設定変更の自動修正復旧まで行うことができる。

「PCI-DSSやGDPRなどコンプライアンスルールへの準拠状況を継続的に評価します。またネットワークやファイアウォール設定、IDとアクセス管理の準拠状況、未対処のアラート数などを一目で把握できます」(北山)
これを使い、評価と修正のサイクルを定期的に回していくことで、人為的な管理ミス・管理不全による脅威の混入を防ぐことができるだろう。

”CloudGuard Dome9のダッシュボード画面”

「CloudGuard Dome9」のダッシュボード画面
マルチクラウド環境のアセットやコンプライアンスルールの準拠状況、未対処のアラート数などを俯瞰的に可視化できる

「リスクがないと思い込まず、実態を正しく知って正しく対処する。これがゼロトラストセキュリティの基本です」と語る北山。ソフトバンクは、そのためのソリューションを提供することで、安全・安心かつ効率的なクラウド活用を支援する。

関連サービス

「MSPサービス(Managed Service Provider)」

「MSPサービス」は、お客さまのパブリッククラウド(Microsoft Azureなど)の導入から運用までをトータルでご提供するマネージドサービスです。

「ホワイトクラウド ASPIRE」

「ホワイトクラウド ASPIRE」はSLA99.999%を誇る国産クラウドサービスです。VMwareの最新仮想化基盤をベースとし、ソフトバンクの信頼性の高いネットワークと国内データセンターを組み合わせることで、柔軟な基盤と、日本語でのサポートを提供します。

「Zscalerインターネットアクセス」

「Zscaler™インターネットアクセス」は、複数のオンプレミス製品で実現していた「Webプロキシ」や、「URLフィルタ」、「アンチウイルス」、「サンドボックス」などのWebセキュリティ対策を、単一の統合プラットフォームで提供するサービスです。

「CloudGuard Dome9」

「CloudGuard Dome9」はクラウド環境のセキュリティ設定を見える化し、人為的設定ミスの回避、コンプライアンス遵守を支援するセキュリティサービスです。