お問い合わせ

時とともにセキュリティの脅威は巧妙化し、企業をはじめ、国や自治体といった公共組織を含め攻撃被害が拡大している状況だ。そうした中、今日のセキュリティ施策を考えるうえでは、Security by DesignやDevSecOps、データドリブン思考、ゼロトラストモデル、リスクベースアプローチなどさまざまな考え方やアプローチが提唱されている。

セキュリティでも絶大な効果を発揮するフレームワーク

マイクロソフトでは、Azureの活用によりもたらされる価値の最大化を念頭に、同インフラ上のワークロード品質の向上に向けた、システム設計のベストプラクティスを「Azure Well-Architected Framework」（以下、W-AF）として公開。

「お客さまのAzureに関する支援において、私自身W-AFを積極的に活用しています。エンジニアや品質管理担当者等のスキルの底上げにもつながるという副次的効果も得られています」と語るNECの釜山公徳は5つのピラー（柱）のうち、セキュリティの領域を中心に取り上げ、「Secure Design Principle（セキュアデザインの原則）」「リスクマネジメントとコンプライアンス」「セキュリティ実装」「SecOps（セキュリティ運用）」の各観点からW-AF活用のメリットを紹介した。

求められるのは、攻撃・侵入を前提とした包括的なデザイン

まずSecure Design Principleの視点では、ビジネス、開発、運用を踏まえた包括的なデザインが不可欠だという。とりわけ重要なのが、攻撃されること、さらには侵入されることを前提に施策を考えること。「これはゼロトラストの考え方にも通じますが、境界型のセキュリティを実装しているから、内部ネットワークは安全だというような考え方はもはや通用しない時代」と釜山は言う。

また、攻撃者の視点を持つことも施策のポイントで、例えばネットワーク設計について、複雑性が増せば増すほど、攻撃がしづらくなる。もちろんそこは保守性とのトレードオフになる部分でもあるため、適正なバランスをとっていく必要がある。

2つめのリスクマネジメントとコンプライアンスについては、リスクベースアプローチの導入が有効だという。この時リスクを分析するための施策としては、機能のセグメンテーション化を行うことが望ましい。「規模の大きなモノリシックなシステムだと、そこで何が起こっているかを可視化しづらいという問題が生じます。セグメンテーション化、あるいはマイクロサービス化を行うことで、リスクの可視化が容易になるわけです」と釜山は説明する。

また、ことコンプライアンス対応に関しAzureでは、グローバルや米国の政府機関、あるいは地域や国、業界に固有のコンプライアンス基準に準拠しており、ユーザーが個々のコンプライアンスの要件に応じて、監査人にシステム監査を依頼する必要がない点も大きなメリットである。

続く3つめのセキュリティ実装については、オールレイヤにまたがる対応が求められることになる。これについて釜山は「そこで重要な視点となるのが、守るべきものが何なのかということを明確にすることです。ID管理やMFA（多要素認証）の実装はある意味前提として、守るものに応じてWAF（Web Application Firewall）やIDS/IPS、DDoS防御など採用すべき施策の検討を円滑に進めていくことができるはずです」と語る。

そして最後のSecOpsに関しては、責任共有モデルをベースに自社とベンダーの対応範囲を明確化し、体制の精緻化を図っていくことが肝要だ。インシデントレスポンスやフォレンジックの実施など関わる内部要員、外部要員の役割を明らかにし、ツール環境の整備なども怠りなく進めておきたい。

「セキュリティ施策というと、コストというふうに捉えられがちですが、組織にとってきわめて重要な価値を生み出す投資であると捉え、適切な実装に取り組むことが不可欠でしょう」と釜山はあらためて強調した。

お問い合わせ