従来型のデータセンタからクラウドへの移行を企業が進める場合、俊敏性や速さを優先するあまりに、セキュリティを犠牲にしてしまうことが少なくありません。ただし、このことは、クラウドが本質的に安全ではないことを意味するわけではありません。事実、ガートナーによれば、2023年までにクラウドセキュリティインシデントの99%は企業自らの過失によって発生するものになると予測されています。このような問題は、セキュアクラウドの構成に関する知識に欠ける従業員、さらには、古くからのレガシーな静的セキュリティアーキテクチャを、急速に変化する動的なクラウド環境に移行する複雑性によって発生します。
過去数十年間の情報セキュリティから我々が得た教訓は、複雑性はセキュリティの敵であり、アプライアンスや複雑なポリシーの積み重ねは、見落としやヒューマンエラーを引き起こし、さらに悪いことに、それらの複雑さを回避しようとしてセキュリティに妥協が強いられるということでした。これらの課題は、今日のDevOps主導のクラウド導入における、非常に動的な特性によって悪化を招いており、セキュリティチームと開発チームの対立を生み出しています。
クラウドワークロードの保護を難しく考える必要はありません。
クラウド保護の最良の方法は、クラウドを安全な方法で構成して導入し、外部に公開される攻撃対象領域を最小化し、不正ソフトウェアやサイバー犯罪者によるラテラルムーブメントを排除するという、比較的シンプルな戦略で対応できるのです(詳細は英語サイトでご紹介しています)。自動化とわかりやすいビジネスレベルのポリシーを活用したクラウドセキュリティ戦略であれば、人的エラーのリスクを最小限にしつつ、常に変化するというクラウド環境の特性に自動的かつ迅速に適応できます。
クラウドセキュリティポスチャの監視と修復
クラウド環境の保護の最初のステップは、すべてのインフラストラクチャとサービスを安全に構成することです。開発者やDevOpsチームは、セキュリティのエキスパートではない場合が多く、また厳しい納期に追われるあまり、新サービスの立ち上げにあたって、重要な構成ステップの見落としがよく発生します。導入時はもちろん、それ以降も継続的に、これらのサービスが社内のコントロールと法規制の両方の要件を充足する必要があります。
攻撃対象領域のない安全なアプリアクセス
インフラストラクチャとサービスを安全に構成できたら、次のステップで、従業員のB2Bにクラウドアプリケーションへの安全なアクセスを提供します。ゼロトラストアプローチによって、プライベートアプリがインターネットに公開されないようにしつつ、許可されたユーザによるそれらのアプリへのアクセスを可能にします。VPNを利用しないため、VPNに起因する複雑さやユーザエクスペリエンスの悪さを完全に排除できます。
クラウドにおける安全なアプリ間通信
クラウドインフラストラクチャにおいて脅威であるラテラルムーブメントを排除できたら、次のステップで、インターネット、他のクラウド、DC(データセンタ)へのワークロード通信を保護します。
よく見落としがちですが、今日のワークロードは、API接続、サードパーティのサービス、ソフトウェアアップデートなどからの正当な理由で、インターネットにアクセスする必要がある場合もあります。これらのワークロードも、従業員にインターネットアクセスを許可したのと同じレベルのセキュリティとコントロールで保護しなければなりません。このステップを正しく実装することで、攻撃対象領域が外部に公開されたり、不要な接続が発生したりすることなく、必要とするインターネットベースサービスへの安全でコントロールされたアクセスをワークロードが利用できるようになります。
クラウド対クラウドやクラウド対DCの通信も、クラウド環境のセキュリティのもう一つの重要な要素です。あらゆるクラウドやDCに迅速に展開し、更新できる安全な接続によって、クラウドセキュリティインフラストラクチャをビジネスの変化するニーズに適応させることができます。
脅威のラテラルムーブメントを排除
セキュリティのベストプラクティスを考慮して環境が構成されたとしても、悪意のある内部関係者やハッカーなどの犯罪者が流出した認証情報やマルウェアやランサムウェアを使ってフラットなネットワークでラテラルムーブメントを行い、甚大な被害をもたらす恐れがあります。ネットワークベースのファイアウォールポリシーは、静的であるだけでなく、複雑で管理が困難なため、人的エラーによってワークロードが外部に公開されたり、更新されていないポリシーを意図的に回避されてしまったりする可能性があります。パススルーとストリームベースというファイアウォールアーキテクチャがさらに問題を悪化させます。
アイデンティティベースのセグメンテーションは、クラウド内やクラウド間の攻撃対象領域を排除することで、ネットワークセグメンテーションの複雑さに振り回されずにラテラルムーブメントを阻止するパスを提供します。VPNを使用することなく、ネットワークがクラウドにまで拡張されれば、トランジットゲートウェイやトランジットハブ、仮想ファイアウォール、VPN、ルータ、ネットワークポリシー、ピアリングの管理に伴う複雑さ、オーバーヘッド、コスト、遅延を排除できます。
Zscaler Cloud Protectionの紹介(英語サイトへ)
クラウドへの移行は、デジタルトランスフォーメーションだけでなく、セキュリティトランスフォーメーションの機会でもあります。自社のデータセンタで使用してきたのと同じセキュリティ戦略を「リフト&シフト」でそのままクラウドに移行するのではなく、情報セキュリティチームが自らのアプローチを、急速に変化し、成長するビジネスのニーズに合わせて書き換える機会になります。
Zscaler Cloud Protectionをクラウドセキュリティポスチャ管理、ワークロードセグメンテーション、クラウドコネクタ、さらには、実績あるZscaler Internet AccessやZscaler Private Accessと組み合わせることで、新たな現実への道が開けます。
詳細やカスタムデモについては、こちらまでお問い合わせください。