世界のパブリッククラウドサービス市場は、2020年に17％拡大すると予測されています。
多くの企業や組織は自身の立場を、クラウドを第一に検討する「クラウドファースト」としていますが、しかしながら、すべてをクラウド化する「クラウドオンリー」ではないとしているようです。

■クラウドインフラのセキュリティを考える

クラウドサービスを新しく導入することは、機動性の向上や他社との差別化など、組織の改善に大いに役立ちます。しかし、技術が進歩すればリスクも同時に発生するのと同様に、クラウドサービスの採用にもサイバーセキュリティ上のリスクが伴います。つまり、IT責任者にとって、包括的で簡素化された方法でセキュリティを管理する必要性がこれまで以上に高まっていると言えます。

多くの組織がクラウドを利用する理由に、従業員の生産性向上や、顧客中心としたサービスを機敏に提供できるようDevOpsを強化する目的があります。しかし、クラウド移行に伴う課題はさまざまな場面で発生することが多く、一貫した方法で組織全体を見渡しセキュリティを管理することを困難にしています。

■クラウドの課題をクリアにする

他の部門との情報共有や連携などをしない、つまり「サイロ化」されたクラウド管理による意思決定に加え、現在では85％の組織が複数のクラウドサービスを組み合わせた「マルチクラウド」を利用し、76％が2〜15の異なるクラウド環境やサービスを混合させた「ハイブリッドクラウド」を利用していると推定されており、さらに複雑さが増しています。

そのため、DevOpsチームは、新しいアプリケーションをより効率的に開発するためにコンテナとサーバレスアーキテクチャを導入しました。しかし、DevOpsチームの関心は主に市場投入までの時間短縮であることが多く、セキュリティが犠牲になることも少なくありません。

■責任を共有して、成功も共有する

このようなセキュリティリスクを軽減するために、クラウドセキュリティの責任共有モデルを理解する必要があります。
提供されるアプリケーションが安全であることを保証するために、チームの生産性に影響を与えない方法で、DevOpsプロセスにセキュリティを組み込む必要があります。

幸いなことに、組織はクラウドセキュリティの取り組みにおいて進歩してきており、組織全体に分散する複数のツールの使用から、洗練され、運用に適したツールへと移行してきています。とはいえ実現するためには、セキュリティチームが適切なツールを実装する必要があります。断片化した、部分的にのみ対応するツールに頼ることにより不要なコストが追加されるばかりか、複雑化し、セキュリティギャップを拡大することにもなるのです。

システムに重大な影響を及ぼす可能性があるクラウドの設定ミスを見つけることができるツールも登場しています。業界のコンプライアンス標準とクラウドセキュリティのベストプラクティスのルールに照らした何百もの自動化されたチェックによって、クラウドインフラストラクチャのためのセキュリティおよびコンプライアンスをツールにより継続的に支援してもらうことで、マルチクラウドやハイブリッドクラウドなどの環境でもミスを未然に防止することが可能になります。

新しい生活様式を求められる今、クラウドファーストとなることは避けられません、それを前提として何が必要なのか、情シスは考え直さなければいけない時かもしれません。

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。