雲が低く垂れ込める中、高架道路や山道をドライブしたことはありますか。運転には慣れているものの、道路標識や対向車、道筋をはっきりと認識できない、という状況を想像してみてください。何かしら手を打たない限り、このままドライブを続けるのは危険です。状況こそ異なりますがこのときの心境は、業務用のアプリケーションやデータをクラウドへ移行しようとしている組織のIT担当者なら理解できるかもしれません。

大半の組織では、既存の物理ネットワークと丸々置き換わるような大規模で集中管理可能なクラウド環境は確保していません。この種の大規模な移行は高コストで、多大なプランニングやリソース、リスクを伴うためです。代わりに、ほとんどの組織では、物理データセンターとプライベート/パブリック・クラウドを組み合わせたハイブリッド・モデルの採用を選択しています。IT市場調査会社の451 Researchは、2018年半ばまでに組織のワークロードの60%がクラウドに移行すると予測しています(現時点では41%)。ただし、このようなハイブリッド環境のセキュリティ対策ははるかに複雑で、考え方とアプローチ両面での改善が求められます。IT担当者であれば、自社運用環境のネットワークの可視化と制御には長けていることでしょう。しかしクラウド環境となると、新たに発生した危険を認識し、対処するのは容易でありません。これは、標高が高い山道に差し掛かったドライバーが直面する状況とよく似ています。

クラウドはますます身近に

これらのセキュリティ上の課題は、パブリック/プライベートのクラウド・サービスが進化するにつれ、一層複雑になります。クラウドに接続して利用する組織のデバイスやサービスは増加の一途を辿っており、クラウド・アーキテクチャにのしかかる重圧はますます大きくなっています。加えて、医療や保険、小売、エンターテイメントなどの業種の組織であれば、地元の意向や法律に基づいて、その地域に特化したサービスを提供することも求められます。リアルタイムの情報を収集・分析すれば傾向や顧客のニーズにも速やかに対応できますが、しかるべき措置を即座に講じなければ情報の鮮度がすぐに失われてしまう可能性があります。したがって、クラウドの処理能力を「ビッグデータ」に対しても活用すれば、組織は提供する製品やサービスを迅速にカスタマイズし、競争力を維持することができます。

このような傾向に伴い、より高度で分散型のハイブリッド・クラウド・モデルへの需要が高まっています。組織の既存のシステムやプロセスの拡張版として機能するプライベート/パブリック・クラウドを適切に組み合わせたこのモデルでは、より効率的で俊敏な計算モデルが実現します。それはクラウド(雲)よりデバイスに近い「フォグ・コンピューティング」とも呼ばれ、クラウドでの処理を必要とするデータの削減を可能とします。しかしモデル名が何であれ、IT部門はいかにして包括的に可視化・制御し、自社運用環境とクラウド環境のあらゆる資産やデータに対して一貫したセキュリティとポリシー実施を実現するか、という問題は依然として残ります。

セキュリティ上の課題への対応

ハイブリッド・クラウドを使用した場合にIT担当者が直面する最大の課題はおそらく、データや業務用アプリケーションのセキュリティです。従来型のセキュリティ対策は通常、クラウドをカバーしておらず、パブリック・クラウド環境では特にリスクが高まります。そのうえ、セキュリティ脅威や侵害も増え続けています。ひとたび侵入に成功すれば、脅威はクラウド・インフラストラクチャ内で拡散し、ひいてはクラウドから自社運用環境のネットワークへと攻撃の舞台を広げることが可能です。IT担当者約650人を対象にPonemon Instituteが実施した、クラウドを狙うマルウェアおよびデータ侵害に関する2016年の調査によると、企業の31%がクラウドでセキュリティ侵害に遭っており、25%がその発生経緯を把握していませんでした。

これらの要素が絡み合った結果、組織を狙う攻撃は拡大・複雑化し、攻撃対象範囲も曖昧になっています。そのため、セキュリティ・ギャップを解消すると共に、柔軟性と自動化というクラウドの特徴を活かしながら、データセンターと同レベルの保護・可視性・制御をクラウドでも実現する包括的なソリューションが求められています。

このようなソリューションは、データセンターとクラウド環境を行き来する南北トラフィック、および境界ゲートウェイを保護できる必要があります。その一方で、クラウド環境内のセキュリティVM間の東西トラフィックに潜む脅威にも対処しなければなりません。堅牢なセキュリティを実現し、環境内のトラフィックや資産を検査、可視化、保護する能力が不可欠です。

東西トラフィックを保護する際には、クラウド環境内のリソースをグループ分けし、論理的な境界を有する小さな保護セグメントに分割するマイクロセグメンテーションという仕組みを利用します。この仕組みでは、グループ間やセグメント間の通信が動的なセキュリティ・ポリシーによって個々に制御されるため、より効果的な侵入の検出と封じ込めが実現します。

続いて、データセンター内のトラフィックは仮想セキュリティ・ゲートウェイに送られます。高度な脅威対策技術(ファイアウォールやIPS、アンチウイルス、アンチボット、サンドボックスなど)を使用して、より深いレベルで検査を行い、攻撃者や脅威によるセグメント間やアプリケーション間の移動を阻止します。

管理におけるニーズ

ソリューションに欠かせない要素としては、クラウド・サービスのどの管理ツールや連携ツールとも統合して、適切なセキュリティ・ポリシーのアプリケーションへの適用とセキュリティ管理プロセスの自動化を実現し、クラウド環境における即応性を維持する機能も挙げられます。このような機能は、統合された仮想化セキュリティ・プラットフォームを介して利用でき、自社運用環境のデータセンターからパブリック/プライベート・クラウドまで、ハイブリッド環境内のあらゆる場所への高度なセキュリティや脅威対策の柔軟な導入を可能にします。

以上をまとめると、ハイブリッド・クラウドの利用により、組織は即応性と柔軟性を高め、市場と顧客のニーズに迅速に対応できる、と言えます。自社運用環境のネットワークとプライベート/パブリック・クラウド(またはフォグ・コンピューティング)の両環境にわたって高度な保護、ポリシー管理、可視化を統合する適切なセキュリティ・アプローチを採用することで、包括的な可視化と制御が実現し、ITおよびビジネス・プロセスを推進できるようになるのです。

http://www.checkpoint.co.jp/products-solutions/vsec-cloud-security/