クラウドの導入が拡大したことで、企業の情報システムには構造的な変化が発生し、セキュリティに関しても考え方を大きく変える必要に迫られている。「安全な社内」と「危険な社外」を切り分け、それらの境界線で攻撃を食い止めるという従来のモデルは、もはや通用しない。クラウド時代に、どこを何で守るべきかを再考する。（取材・文／日高 彰）

「内部／外部」の境界は
もはや幻想

　2015年に日本年金機構で発生した、標的型攻撃による情報漏えい事件以来、「情報システムは、入り口・内部・出口の三つの観点でセキュリティを担保すべき」という考え方が広く訴えられてきた。企業ネットワークの入り口で攻撃を食い止める「入り口対策」だけに投資を集中するのではなく、侵入をブロックできなかったときのことをあらかじめ想定し、社内での感染拡大を防ぐ「内部対策」、マルウェアに感染したPCやサーバーから社外への通信を遮断する「出口対策」を多層的に行うことで、標的型攻撃のような高度で継続的な脅威への対応力を高めていくという考え方だ。

　攻撃者の侵入を100％防ぐのは難しく、マルウェアへの感染が起きることを前提に対策を講じるべき、という指針自体は、もちろん現在も有効だ。しかし、「入り口／出口」「内部／外部」といった境界線に注目するセキュリティモデルは、今や限界を迎えている。最大の理由は、クラウドの普及だ。従来の考え方では、オフィスや自社のデータセンターに設置されたシステムは、企業の管理下にある安全なIT資産であり、その外側にあるインターネットから脅威がやってくるという考え方にあった。しかし、クラウドを業務に活用するようになったことで、すでにアプリケーションやデータは社内と社外にまたがって存在している。

　同時に起こっているのが、ワークスタイルやデバイスの多様化だ。モバイル端末を社外に持ち出し、モバイル回線や公衆無線LANを利用して業務を行うのも今や当たり前になっている。従業員が所有する私物のスマートフォンから社用のメールアカウントへアクセスすることも珍しくない。現実として、生産性を上げられる便利なツールが存在する以上、その使用を禁止するのは難しく、統制を厳しくしすぎれば、いわゆる“シャドーIT”の拡大を後押しすることにもなりかねない。「業務に利用する全てのIT資産が自社の管理下にある」と胸を張って言える企業は、ほとんどないだろう。

本社に一本化する構成が
限界に

　ITの利用形態がこのように複雑化する間、企業は本社や自社データセンターにトラフィックを集約することで、セキュリティポリシーの統一を図ろうとしてきた（図参照）。インターネットへの通信経路を全社で一本化し、出入り口部分となる自社データセンターにファイアフォールや侵入検知機器といったセキュリティ製品を設置。各地の支社や、工場・店舗といったリモート拠点は、専用線やIP-VPNなどの閉域ネットワークを通じてデータセンターと結ばれており、インターネット上のクラウドサービスへアクセスする際もいったんデータセンターのセキュリティ機器を経由するかたちになっている。モバイル端末を業務に利用する場合は、通信キャリアの閉域接続サービスやVPNを介して社内に接続する。この構成であれば、1カ所のデータセンターを監視するだけで、全社のトラフィックを掌握することができ、どのウェブサイトとの通信を許可するかといったポリシーも統一できる。

　しかし前述の通り、現在では守るべきIT資産が「社外」であるクラウド上にも存在している。また、私用端末が業務に使用された場合、ポリシーを適用することはできない。企業は、社外と社内の境界線が明確であることを前提に、データセンターのセキュリティ製品に多大な投資を行っており、大企業での投資規模は億単位に上っていることも珍しくないが、それだけのコストを費やしているにもかかわらず、統制下におけない資産が増大していることになる。
 
　クラウドの利用が拡大したことで、データセンターからインターネットへ出入りするトラフィックも増加している。業務システムのほとんどが「社内」にあった時代に設計されたネットワークでは、トラフィックをさばききれなくなる恐れがある。例えば始業時間帯など、多くの従業員のクラウド利用が集中するタイミングで、グループウェアやクラウドストレージのレスポンスが悪化し、生産性の低下を招くといった事態も発生している。セッションを長時間維持し続けるクラウドサービスの場合、実際には通信が行われていないにもかかわらず、ネットワーク機器のキャパシティを食いつぶしてしまうといったケースもあるという。

　世界的にみて、日本では普及価格帯で提供される閉域ネットワークサービスの品質が高かったことから、拠点とデータセンターを結ぶWANの選択では、コストよりも“閉域”という安全性を好む企業が多かったが、業務のクラウド化で帯域不足が表面化すると、企業はWANの見直しにも迫られることになる。

　また、境界線型のセキュリティモデルでは、社内で使用する端末と社外でも使用する端末をあらかじめ分別し、それぞれに異なるセキュリティ設定やソフトウェアの導入を行う必要がある。IoTデバイスのように、細かな制御が行えない機器も業務に導入されるようになっている。端末の種類は今後も多様化していくことが予想され、管理業務の煩雑さも増すと考えられる。

　全てのIT資産をクラウドからオンプレミスに呼び戻すことはもはやできない以上、社内と社外の間に線を引く従来のセキュリティ対策も、見直す必要がある。

[次のページ]クラウド型セキュリティで「ゼロトラスト」を実現