クラウドビジネスはセキュリティで伸ばす

　クラウド市場は確実に成長し続けている。ユーザー企業が抱きがちだったクラウドに対する漠然とした不安も、クラウドの活用事例が増えたことによって、具体的な問題点や対応策に変わりつつあるのではないだろうか。クラウド上のセキュリティ対策ソリューションで事業拡大を狙う3社を紹介する。

●PCI DSS認定の取得で問い合わせ急増

　AWSを専門とするCIerのアイレットは、AWS上で構築したシステムで「PCI DSS Level1」認定を取得したことによって、ビジネスを大きく伸ばした。きっかけは、モバイル決済サービスを提供するコイニー（Coiney）のシステム構築である。

　PCI DSS（Payment Card Industry Data Security Standard）は、VisaやMasterCardといった国際ペイメントカード・ブランドが中心となって策定されたセキュリティ基準だ。クレジットカードを取り扱う企業は、PCI DSS認定を受けることが求められる。モバイル決済サービスを提供するコイニーもその対象であり、認定を受けないとクレジットカードの決済サービスを提供することができない。

　コイニーと同様のサービスを提供する企業は、これまではオンプレミスでシステムを構築するのが普通だった。ところが、コイニーは2012年3月設立のベンチャー企業。IT投資に振り向ける予算は限られることから、初期投資を抑えることができるクラウド上にシステムを構築することを考えた。

　システム構築を担うことになったアイレットは、金融系を得意とするコンサルティング企業とともにAWS上でPCI DSSの認定を目指すことになる。「PCI DSSは12の大項目に、273の小項目があり、AWSで対応できるかどうかを一つずつ検証しながら対応していった」とアイレット cloudpack事業部 エバンジェリスト ソリューションアーキテクトの石田知也氏は当時を振り返る。なかでも対応で工夫を要したのが、すべてのノードでどのような通信があったかをログとして残すところ。

　「AWSではロードバランサのログが取れないので、前後にプロキシサーバーを置いて対応した。また、管理コンソールのログも取れなかったため、プロキシサーバーを通ってコンソールに接続する運用にした」と同事業部エバンジェリスト ソリューションアーキテクトの吉田真吾氏は語る。ただし、セキュリティ対応の作業は必要最小限とする目的で、トレンドマイクロのセキュリティソリューションなども積極的に採用した。

　コイニーの決済システムが完成したのは、2012年11月。AWSやトレンドマイクロとともに事例として発表した途端、アイレットに問い合わせが急増した。「セキュリティのビジネスが伸びる」と吉田氏が可能性を実感した瞬間だった。


　「クラウド上でPCI DSSの認定を受けるのは、当時としては誰もが想定外の状況だった」と石田氏。AWS上でのPCI DSS認定は、驚きをもって受け止められた。しかも、「PCI DSSレベルでセキュリティを担保したい」という問い合わせは、金融業界に限らなかった。PCI DSSは、セキュリティの実装が明確で具体的で、クラウドサービスのセキュリティを担保するにあたっての基準にしやすいとのことである。

　これ以降、アイレットはAWS上でのセキュリティ対応を差異化要素として、CIerとしてのビジネスを展開している。


●競合も推奨する操作ログ監査

　IaaSなどのクラウドサービスを提供するフュージョン・コミュニケーションズ。同社が提供する操作ログ監査証跡サービス「FUSION Forensics」は、クラウドサービスとしては競合がいない。必要に迫られて同様のサービスを探したが、見つからなかったために自社で開発したという経緯があるからだ。

　きっかけは、親会社である楽天からの要望だった。AWSやMicrosoft Azureといったクラウドサービスを適材適所で利用している楽天では、多くのエンジニアが開発に参加しているので、開発現場でのセキュリティ対策が必要だと考えていた。そこで着目したのが作業ログである。

　「内部のエンジニアに悪意があるかどうかはわからない。作業ログを監視していることを示せば、抑止にはなるのではないかと考えた」とフュージョン・コミュニケーションズ 事業推進部 プラットフォーム＆サービスグループ サブマネージャー クラウド事業担当の奥井琢磨氏は語る。

　楽天の要望に応えるべく、フュージョンでは操作ログを取得し、分析するためのシステムを開発する。こだわったのは、ログの分析が簡単にできること。「エンジニアが画面で見た内容をログとして保管する。例えば、実行したコマンドに加えて、それによって得られた結果も対象となる」と、事業推進部 エンジニアリンググループ クラウド事業担当 アーキテクトの山梨智哉氏は語る。操作ログはプロトコルベースで取得し、SSHやSCP、Telnetなどのプロトコルに対応。また、Windows Serverのリモートデスクトップ接続に対応しており、操作内容を動画で保管する。

　取得したログは監査目的のほか、作業管理としても活用されている。開発のアウトソーシングなどで、工数通りの作業が行われているかどうかを監視する場合に有効だ。

　FUSION Forensicsは、ゲートウェイ型のクラウドサービスである。いったん、フュージョンの中継サーバーにアクセスして、操作対象サーバーにログインすることになる。したがって、フュージョン以外のクラウドサービスやオンプレミス環境でも活用できる。

　「クラウドサービスでは競合になるニフティクラウドのアライアンスパートナーとして、FUSION Forensicsが採用されている。ほかにも、検証中のクラウドベンダーがある」と奥井氏。開発現場の内部をセキュリティの対象としたことによって、同社が提供するクラウドサービスの新たな柱となった。

●「脱箱売り」でクラウドに最適化

　チェック・ポイント・ソフトウェア・テクノロジーズ（チェック・ポイント）は、ゲートウェイ型のアプライアンス製品で知られていることもあって、ハードウェアのイメージが強い。アプライアンス製品には今後も注力していくが、クラウドに対応していくにはそのビジネスモデルを変えなければならない。それはつまり、サービスとしてのセキュリティソリューションへの舵切りを意味する。ところが、もともとチェック・ポイントが提供していたのは、セキュリティ関連のソフトウェアである。クラウドに対しては積極的に攻めていく考えだ。

　「IaaSがコモディティ化して普及していくなかで、セキュリティもクラウドサービスの一つとして必要とされつつある。そこではSaaSのように1年間でいくらというような価格設定で提供していくことになる。チェック・ポイントはモノを提供してきたが、今後はセキュリティをサービスとして課金できるようにしていく」とチェック・ポイントの副社長執行役員 本富顕弘氏は同社のクラウド戦略を語る。同社はクラウドのセキュリティサービスを「Security as a Cloud Service」と呼んでいる。

　チェック・ポイントはAWSの黎明期からAWS Marketplace上でソフトウェアを提供してきた。ただし、それはソフトウェアとして提供してきただけで、Security as a Cloud Serviceではない。「クラウドサービスとしての提供は、米国ではすでにスタートしていて、日本では年内をめどに進めている」と本富氏。大手企業のクラウド採用事例が増えてきたことから、商機はあるとみている。

記者の眼

　防犯対策がバッチリのマンションでも、泥棒は出入り口を利用して侵入するケースが多いという。さまざまな侵入経路が想定できるが、泥棒からすると最も強固な防犯対策が施されているはずの出入り口が一番入りやすいというわけだ。泥棒がマンションに侵入すると、次は各戸の玄関を攻めることになる。マンションの防犯対策に頼り切った住民は、油断しがち。泥棒は盗み放題となる。

　クラウドのセキュリティをマンションの防犯に似ているとするのは、言い過ぎだろうか。仮想化環境の上で多くのシステムが稼働するクラウドでは、隣人が油断したばかりに自分にも被害が及ぶ可能性は否定できない。いたずらにあおる必要はないが、クラウドにおいてはユーザー企業ではコントロールできない部分が必ず存在する。そのため、CIerを始めとするインテグレータには、オンプレミスとは違うセキュリティ対策のノウハウが求められる。それはインテグレータにとってのビジネスチャンスでもある。