サイバー攻撃の巧妙化やIT環境の複雑化を背景に、組織におけるセキュリティ対策は困難を極めている。このような状況を踏まえ、セキュリティ機能をクラウドサービスとして利用するSECaaS(Security as a Service)と呼ばれるサービスの利用も広がっている。この記事では、SECaaSが求められる背景や、含まれる機能について解説する。
SECaaSとは
SECaaS(Security as a Service)は、これまで企業のデータセンターや拠点で運用していたセキュリティ技術をクラウドサービスとして提供する仕組みを指す。メールセキュリティやアクセス管理、インシデント対応といった機能を必要に応じて契約できるのがメリットだ。
あらゆるものがサービスとして提供されるXaaS(Everything as a Service)のトレンドに従い、セキュリティ、およびインフラ技術も「所有から利用」という時代の潮流に合わせるかのように、サブスクリプション方式でも利用できるようになってきたのだ。
SECaaSを導入するメリットとして、そのほかXaaSと同様に、以下のようなものが挙げられる。
1)コスト最適化
自社でオンプレミス環境を構築する場合、利用開始時には多額の初期投資が必要になる。しかし、クラウドサービスを利用すれば、必要な機能のみを契約して利用できるため、費用対効果を踏まえたコストの最適化が可能だ。
2)スケーラビリティ
オンプレミス環境では物理的なスペースに限りがあるため、スケールアップの場合スペースの広さも考慮することが求められる。一方で、クラウドサービスはそうした制約を受けることなく拡張することが可能だ。サーバー、ストレージ、ネットワーク機器などをいつでも追加で割り当てられる。
3)変化への柔軟な対応
トラフィックが一時的に急増した場合などでも、随時かつ即座にコンピューティングリソースを追加・削減できる。サービス提供事業者との個別のやり取りも不要で、ダッシュボード経由で容易かつ迅速に構成変更が可能だ。
4)冗長性
サービス提供事業者によっては、自動フェイルオーバー機能が提供されるものもある。サーバーが仮想化されていることで、仮に物理サーバーで障害が起きた場合でも、その仮想環境を別の正常な物理サーバーへ移すことで容易な復旧が可能となる。
5)高い可用性
サービス提供事業者のインフラ側において、サーバーやストレージ、ネットワークなどは冗長構成を実現している。そのため、ユーザーは意識することなく、高い可用性が確保された環境でサービスを利用できる。
6)障害耐性
サービス提供事業者は先述のようなフェイルオーバー機能に加え、バックアップ、復旧オプションを提供する。中にはデータセンターレベルでの障害に備え、リージョン(地区)単位で冗長化している事業者もあり、大規模な障害に対する備えになる。
また、セキュリティ機能をクラウドサービスとして利用することで、セキュリティポリシーの徹底や可視性の向上、脆弱性解消に対する効果も期待されている。加えて、情報セキュリティに長けた人材の育成や確保など、人材面で課題を抱える企業にとって、SECaaS事業者の専門知識や、それに基づいたサービス提供を受けられることは、大きな付加価値になり得る。
このようにSECaaSはサービスが広範囲に及び、その定義を明確にしづらいのが実情だ。ここでは、以下の基準に準拠するものをSECaaSと呼ぶ。
- クラウドサービスとして提供されるセキュリティソリューションであること
- NIST(米国国立標準技術研究所)によるクラウドコンピューティングの定義を満たすこと
なお、NISTの文書で、クラウドコンピューティングの基本特性は以下のように定義されている。
※引用:IPA翻訳「NISTによるクラウドコンピューティングの定義(P2)」
勤務形態の多様化を背景に、高まるSECaaSへの期待
SECaaSが求められるようになった背景として、IT環境の多様化が挙げられる。コロナ禍による勤務形態の変化に伴い、従業員は事業所から社内のシステムに接続するだけではなく、社外のSaaSを利用して業務を遂行する場面や、リモートワークでVPNを介して社外から社内システムを利用する機会も増加している。
事業所とテレワークを併用するハイブリッド型勤務が広まるとともに、モバイル機器をはじめ、従業員が使用するデバイスが多様化している。つまり、組織が管理しなければならないデバイスの数も増大傾向にある。そのような状況に伴い、機密情報が社内外を問わず散在するようになり、セキュリティ対策は困難を極めている。
また、オンプレミスとクラウドを併用するハイブリッドクラウドを採用する企業もある。どちらか片方だけ対策すればよいわけではなく、社内のネットワークセキュリティも環境の変化に合わせて対応しなければならない。
従来の境界防御型のセキュリティモデルでは、調達・導入・運用のライフサイクルにわたって一貫して管理するのが難しく、情報漏えいや不正侵入のリスクも高まってしまう。そこで、クラウドサービスによるSECaaSで一元的な対策を講じるニーズが増えてきたのだ。
SECaaSに含まれる機能
SECaaSの定義として厳密に定められたものは存在しないため、今のところ、提供される機能は事業者によって異なる。ソリューションは日々進化し、新たな展開を見せている分野でもあり、今後、新たな機能が加わる可能性もあり得る。
以下では2018年に更新された、CSA(Cloud Security Alliance)が発行する「クラウドコンピューティングのためのセキュリティガイダンス v4.0」を参考に解説する。
1)ID・ユーザー管理、アクセス権限管理サービス
社内システムやクラウドサービスに紐づくアカウントを統合して管理するクラウドサービスとして「IDaaS(Identify as a Service)」がある。クラウド経由によるユーザー認証やアカウント管理、シングルサインオン(SSO)などの機能を提供する。
2)CASB(Cloud Access Security Broker)
クラウドサービスの利用を監視し、ポリシーの適用やセキュリティ問題の検知・予防を行うのがCASBの役割だ。特定のデータが送信されるのを検知・ブロックし、機密情報の漏えいを防ぐDLP(Data Loss Prevention)機能も含まれる。CASBはAPI接続を介したクラウド型のもの以外に、オンプレミス形態で提供されるソリューションも提供されている。
3)Webセキュリティ・ゲートウェイ
ユーザーがWebサイトを閲覧した際に、マルウェアがデバイスにダウンロードされるといった脅威をクラウド経由でリアルタイムに検知し、防御を施す。また、事前に策定したWebサイトへのアクセスに関するポリシーの適用も可能だ。
4)メールセキュリティ
メールの送受信に関わる防御機能をクラウド経由で提供する。フィッシングメールや悪意のある添付ファイルからのデバイスの保護、さらには、発信者確認やデジタル署名といった高度な機能を有するサービスもある。
5)セキュリティアセスメント
組織が管理するクラウドサービスやオンプレミス環境に対して、第三者による脆弱性評価などのセキュリティアセスメントを実施する。NISTに代表される標準化団体によって定義された基準や、ツールを用いてのアセスメントも含まれる。
6)WAF(Web Application Firewall)
WAFはWebアプリケーションに対する不正な通信を遮断する機能を持つ。Webアプリケーションへ向かう通信を監視対象とするため、DDoS対策にも効果を発揮する。
7)IDS/IPS(Intrusion Detection System/Intrusion Prevention System)
IDSは事前に定められたルール、あるいは、挙動解析モデルによって通信内容を監視する。また、IPSは組織にリスクをもたらす恐れがある挙動と判断された不正な通信を遮断する。それぞれクラウド型、オンプレミス型のものが提供されている。
8)SIEM(Security Information and Event Management)
監視対象のアプリケーションやネットワークから、ログやイベントデータを収集する。攻撃とみなしたイベント、あるいは何かしら対応が必要な兆候を検出すると、リアルタイムに通知が送られる。
9)暗号化と鍵管理
データの暗号化、ならびに、暗号化に用いた暗号鍵を管理するサービスを提供する。複数のクラウド事業者にまたがって暗号化の管理が行えるSECaaS事業者もある。
10)事業継続と災害復旧 (BC/DR: Business Continuity / Disaster Recovery)
データセンターや外部のクラウドサービスにあるデータのバックアップをクラウド上のプラットフォームで管理する。リカバリー作業の高速化のため、ゲートウェイへバックアップを保存した上で、最終的なアーカイブをクラウドサービスに残す方法もある。
11)セキュリティ管理
以前からあるセキュリティ管理機能をクラウドサービスへ一括して、管理作業を省力化する。具体的には、エンドポイントの防御やネットワークセキュリティ、モバイルデバイス管理などが含まれる。
12)DDoS対策(Distributed Denial of Service Protection)
多数のデバイスから膨大なパケットが送り込まれてサービス停止を招くDDoS攻撃を検知。クラウド上でそれらのトラフィックを経路変更することで、組織のインフラへ影響が出る前段階で攻撃を回避する。
ハイブリッドクラウドにおけるSECaaS
SECaaSは基本的にクラウドから提供されるサービスであるが、機能によってはオンプレミス環境へインストールされるものもある。実際、クラウドとオンプレミスを併用するハイブリッドクラウドを採用する企業にとっては、双方を保護できるサービスの利用が合理的な判断となる場合もある。
セキュリティ管理でメリットの大きいSECaaSであるが、導入にあたっては注意すべき点もある。まず、SECaaSは提供する事業者によってそのサービス内容も異なるため、保護対象がどこまで該当するかを確認するべきだ。
例えば、テレワークを想定したモバイルデバイスやVPN接続への対応可否、特定のクラウドベンダーに限定されないか、といった事項が挙げられる。蓄積したデータをエクスポートできないサービスの場合、リプレース時にベンダーロックインに陥ることも想定しておく必要がある。
また、セキュリティを強化したからといって、ユーザー体験を損なってしまっては本末転倒となりかねない。SECaaSの導入がパフォーマンスや使い勝手の低下につながらないよう、予め検証しておかねばならない。
そして、クラウドサービス全般の課題でもあるが、インシデント発生時の責任の所在について明確にする必要がある。多くのクラウド事業者が採用する共有責任モデルでは、クラウド事業者とユーザー企業で管理する対象とその管理責任を分担する。
つまり、ユーザー企業がサービスの設定を誤った結果、情報漏えいにつながれば、ユーザー企業の責任となる可能性が高いということだ。その場合、仮に漏えいしたデータが規制対象となる機密情報であれば、その影響範囲も自ずと大きくなってしまうだろう。
あらゆるものがサービスとして提供される「XaaS」のトレンドは、着実にセキュリティ分野にも浸透している。多くの組織でIT環境が複雑化する今、SECaaSを利用するメリットは多い。導入に関する注意点などを適切に把握した上で、導入ありきで終わらず、継続的に改善を図ることで、SECaaSの効果はより高まっていくはずだ。
