近年、ファイル保管やメール、財務会計などの業務にクラウドサービスを利用する事業者が増加傾向にあります。それに伴い、複数のサービスを組み合わせるマルチクラウドの利用も増えましたが、セキュリティ面で不安を感じている企業は少なくありません。そこで本記事では、マルチクラウドのセキュリティ対策について詳しく解説します。

注目を集めるマルチクラウドとは

「マルチクラウド」とは、システムの運用形態を指す言葉です。企業がそれぞれの用途に合わせてパブリッククラウド（以下クラウドサービス）を併用し、自社にとって最適な環境を実現する運用のことを意味します。

現在は「クラウドファースト」と呼ばれるように、新規にシステムを構築する際は、オンプレミスで開発するのではなく、SaaSやIaaSなどクラウドサービスの利用を前提に設計することが推奨されています。これらはシステムを柔軟に運用できるメリットがあるため、ファイルサーバーにはAWS、CRMにはSales Cloudといった具合に、自社が求めるニーズと使い勝手に合わせてマルチクラウド環境を選択するのが、今や当たり前と化しています。

マルチクラウドとハイブリッドクラウドとの違い

マルチクラウドと混同しやすい概念に「ハイブリッドクラウド」があります。これは、クラウドサービスとオンプレミス（または自社専用で利用できるプライベートクラウド）を組み合わせて運用するシステム形態を指します。あくまで「組み合わせる」運用をするものであり、「併用する」マルチクラウドとはこの点で異なります。

クラウドの利便性を残しつつも、すべてをクラウドサービスで管理するよりも高いセキュリティが保てるうえ、カスタマイズが容易などのメリットもあります。ただし、その分オンプレミス・プライベートクラウド部分は自社で運用する必要があるため、維持管理コストや管理用の人員が多く求められるでしょう。

マルチクラウドのメリット

企業がマルチクラウドを利用すると、どのようなメリットがあるのでしょうか。以下では、オンプレミスと比較した主なメリットを3つ紹介します。

各クラウドのいいとこ取りができる

クラウドサービスでは、利用料を支払っている期間だけ必要な機能を利用できます。そのため自社が必要とする機能を、必要な期間だけ柔軟に組み合わせることが可能です。いわば各社サービスの「いいとこ取り」ができ、利便性の高いシステムを構築しやすいというメリットがあります。

ベンダーロックインの回避

システムを自社のニーズに合わせてカスタマイズすると、どうしてもベンダーに依存してしまいます。その結果、システムの追加・入れ替え時にそのベンダーに頼らざるを得なくなり、柔軟な対応が難しくなります。また、競合がいなくなるため価格を下げることもままなりません。

その点クラウドサービスであれば、システムを個別開発しなくても必要なサービスを利用できます。そのため、特定のベンダーが扱う製品に囲い込まれる、いわゆる「ベンダーロックイン」が起きにくくなるのです。

リスクの分散

複数の企業が提供するクラウドサービスを利用するため、どこか1つのシステムで障害が発生したとしても、ほかのサービスは問題なく利用できます。そのため、「用途ごとに異なるクラウドサービス上にデータを保管してリスク分散する」「ファイルサーバーとバックアップを分けることで、予期せぬ災害やサービス停止などのトラブルに備える」といった使い方が可能です。

セキュリティ面の課題も

このようにさまざまなメリットがある一方で、マルチクラウドには「システム移行が難しい」「運用コストを下げにくい」といったデメリットもあります。そのうえ、複数サービスでセキュリティ対策を行う必要が生じるため、運用管理が複雑化し、セキュリティリスクも増大する恐れがあります。

例えば、ID・パスワード管理を行う場合でも、利用するサービスそれぞれで設定・管理する必要があります。このとき利用者側は、覚えやすくするためにパスワードを短くしたり、単純な文字列にしたりすることが多く、それゆえに安全性が低くなりがちです。また管理者側も、それぞれのサービスでIDやログを監視する手間が生じます。別途セキュリティ製品を入れる場合には、管理する担当者に専門知識が求められます。

さらに、新型コロナウイルスの影響によりリモートワークが増加したことで、従来のようにセキュリティ管理がしっかりした職場からではなく、十分なセキュリティ対策ができていない自宅PCで仕事をする機会も増加しました。そのため、企業はそれらを踏まえたセキュリティ対策を講じる必要があります。

マルチクラウドは非常に利便性の高い運用形態である反面、このようなセキュリティ面の課題も抱えています。これらを解決していくことが、スムーズな運用を行ううえでは欠かせません。

クラウド統合運用管理基盤「ECSP」で強固なセキュリティ対策を

セキュリティ面を配慮したうえで、マルチクラウド環境を利用する際に役立つのが、「統合運用管理基盤」の導入です。これは、複数のシステムや機器の運用管理を一元化するツールをいい、ログ管理や監視、脆弱性診断など複数機能を組み合わせて1つのサービスとして提供するものです。統合運用管理基盤上からクラウドサービスを集中管理することで、作業負担を軽減し、運用を効率化できるメリットがあります。

クラウドサービス運用に特化した統合運用管理基盤は、複数のベンダーから販売されています。その1つが、総合ITサービス企業「TIS」がセキュリティ企業「ラック」と共同開発した「ECSP（Enterprise Cloud & Security Platform）」です。

これは、クラウドサービスの長所であるシステムの柔軟性を活かしつつ、マルチクラウドの運用と安全に運用するためのセキュリティ対策を、1つの管理基盤で行えるように設計されたプラットフォームです。企画・設計段階からセキュリティ対策を組み込むことを求めた「セキュリティ・バイ・デザイン」に基づき開発されており、コストを抑えながら保守性の高いプラットフォーム開発・運用を実現しています。

ECSPの特徴

ECSPの基本機能は、ID 管理や脆弱性診断を行う「セキュリティ管理」、ログ管理・監視を行う「運用管理」、それにシステム全体を自動管理する「構成管理」の3つです。サービスごとに仕様やユーザーインターフェースが違っていても、ECSP上で集約し一元管理できるようになっています。

ECSPの特徴は、大きく分けて2つあります。その1つが、「脅威インテリジェンスセンター」の設置です。従来のSOC（Security Operation Center）がネットワーク監視・アラート解析を主に行うのに対して、脅威インテリジェンスセンターでは、事前調査から事後の対応まで含めて行います。システムが検知したアラート内容を解析するだけでなく、日常的に脅威の情報を収集し、専門の脆弱性診断士がリスク評価を行うのです。加えて万が一トラブルが発生した場合でも、マネージャーが対応したうえ、分析まで行ってくれるため、万全のセキュリティ体制を敷くことが可能です。

もう1つが、「業界別運用テンプレート」の提供です。これは、業界ごとに異なるセキュリティのルールや基準に沿って用意された運用テンプレートで、経済産業省が公表する「サイバーセキュリティ経営ガイドライン」をベースとして作成されています。

またECSPでは、必要なセキュリティ対策や設定は事前に済まされているため、専門知識を持つスタッフがいない企業でも、必要な対策を漏らさずに安心して運用できることも大きな特徴です。

まとめ

企業のクラウドシフトが進む中、増加するサイバー攻撃を防ぎながら、安全かつ効率的にマルチクラウド環境を導入するには、統合運用管理基盤の活用が不可欠です。各社から価格や機能が異なるさまざまなサービスが提供されています。しかしセキュリティサービスの豊富さやきめ細やかさを重視するのであれば、ECSPを選ぶのがおすすめです。