ブログ

クラウドにおける一貫したセキュリティには一貫性が必要

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2019年4月11日公開

過去 4 年間にわたり、私たちは世界中の回答者に、最新のマルチクラウド運用モデルへの移行で直面した課題について質問してきました。

過去 3 年間、私たちは一貫して「すべてのアプリケーションにわたる一貫したセキュリティ」が最大の課題であると言われ続けてきました。 確かに、その課題の一部は、組織がマルチクラウドの現実の中で偶然に運営するようになったことに起因しています。 大半は、従来の IT の非効率性を回避するためにクラウドを採用した開発者や事業部門を通じて、これに陥っています。 今日、マルチクラウドは、主に展開されるアプリケーションの種類によって決まる意識的な決定です

しかし、これらすべてのアプリケーションにわたって一貫したセキュリティを実現するという課題は依然として残っています。 原因の 1 つは、アプリケーション サービスが、保護するアプリケーションと必ずしも連動していないことであると思われます。 2019 年のアプリケーション サービスの現状に関する以下の点を考慮してください。

オンプレミスとパブリック クラウド アプリ サービスの展開の不一致により、セキュリティ上の懸念が生じます。 使用されているアプリケーション サービスの平均数は全体で 14 ですが、パブリック クラウドの展開ではその数が半分に減少します。 これは、組織がパブリック クラウドにアプリケーションを展開しているものの、アプリケーション サービスの展開が同じ速度で行われていないことを意味します。

回答者の 66% が WAF を導入していますが、パブリック クラウドに導入された本番アプリケーションに WAF を使用していると回答したのは 33% のみです。 その他のセキュリティ関連のアプリケーション サービスもパブリック クラウドで同様に使用が減少していますが、これは問題です。セキュリティ ポリシーの同等性を実現するには、それを実施するアプリケーション サービスがなければほぼ不可能だからです。

デジタル変革イニシアチブを実施している組織のほぼ半数 (48%) は、複数のクラウド プラットフォームに分散されたアプリケーションに対して一貫したセキュリティを実現することの難しさに悩まされており、45% は既存および新たな脅威からアプリを保護することが最大の課題であると述べています。

ここで注意すべき点が 3 つあります。 まず、パブリック クラウドで保護するように設計されたアプリケーションに、セキュリティ関連のアプリケーション サービスが十分に導入されていません。 これにより、既存および新たな脅威からアプリを保護する能力に課題を抱えている回答者の 45% に対する答えは非常に簡単になります。まず、それらのアプリを保護するためにセキュリティ アプリケーション サービスを導入します。 これらは絶対確実ではありませんが、高度な Web アプリケーション ファイアウォール、行動ベースの DDoS 保護、ボット防御などの最新のアプリケーション サービスにより、新たな脅威に不意を突かれるリスクを大幅に減らすことができます。 現在、このようなサービスが展開されている割合を考えると、一貫したセキュリティの課題に対処するための良いアプローチは、あらゆる環境でアプリを保護するために展開するアプリケーション サービスに一貫性を持たせることだと思われます。

セキュリティアプリケーションサービスの導入率

2 番目は、おそらくあまり明白ではありませんが、一貫性はアプリケーション サービスを超えるということです。 結局のところ、Web アプリケーション ファイアウォールは数多く存在しますが、それらの機能は必ずしも同等ではありません。 機能の一貫性を前提としているとしても、オンプレミス WAF A のポリシーを取得して、それをオフプレミス WAF B で使用できるものに変換するのは、かなり途方もない作業です。これは、理解できない言語で書かれた「ハウツー」ドキュメントを誰かに渡すようなものです。 したがって、まず翻訳する必要があり、それには時間と両方の言語の専門知識が必要です。 したがって、アプリケーション サービスに対して単一のプロバイダーを標準化すると、すべてのアプリケーションにわたってセキュリティ ポリシーを一貫して適用しやすくなります。 1 つのサービス、1 つの言語、1 つのポリシー。

アプリケーション サービスに関する回答者の第 1 位が、セキュリティがなければアプリケーションを展開しないというのは、いくぶん皮肉なことですが、展開の詳細を掘り下げてみると、おそらくそれは完全に真実ではないことがわかります。 少なくともクラウドでは、セキュリティは必要以上に無視されているように思われます。

最後に、最もわかりにくいことですが、複数のクラウドとデータセンターにまたがるアプリケーション サービスを手動で管理する運用上の負担を無視しないでください。 複数の場所に分散している場合、同じものであっても手動で管理するのは非常に困難になります。 ポリシーをコード成果物のように扱い、自動化を念頭に置いてサービスと関連ポリシーの展開に取り組むことで、発生する可能性のある間違い、エラー、および省略を減らすことができます。 自動化とオーケストレーションでは、同じ結果を何度も再現できるスクリプトとコードの性質によって一貫性が実現されます。 古代ギリシャの哲学者アリストテレスは、「私たちは繰り返し行うことによって形成される」と述べています。 優秀さは行為ではなく習慣なのです。」 したがって、自動化とオーケストレーションは、マルチクラウドの一貫性を追求する上で習得すべき重要な習慣(プラクティス)であると考えるべきです。

マルチクラウドの世界において、すべてのアプリケーションにわたって一貫したセキュリティを実現するには、一貫性が必要です。

  1. アプリケーションを保護および防御するアプリケーション サービスの展開における一貫性
  2. すべての環境にわたるアプリケーションサービス機能の一貫性
  3. 自動化とオーケストレーションを使用して、アプリケーション サービスとセキュリティ ポリシーの迅速かつ頻繁で一貫した展開を実現します。

一貫したセキュリティには、一貫した動作、実践、ツールが必要です。 これら 3 つを組み合わせることで、組織はアプリケーションだけでなく、アプリケーションに依存するビジネスや消費者を保護する習慣を身につけ、セキュリティ プラクティスの一貫性を実現できます。