はじめに
2025年は「再仮想化/脱仮想化」の年に
Gartner社によれば、日本企業が2025年に向けて押さえておくべき「インフラストラクチャとオペレーション (I&O、インフラ運用)」のトップ・トレンドは、「再仮想化/脱仮想化」です。
https://ascii.jp/elem/000/004/239/4239514/
Broadcom社によるVMwareの買収と、それにとpもなうVMWareのライセンス体系の変更に端を発して、VMwareの利用者は、クラウドへの移行を検討するようになっています。
https://www.jbcc.co.jp/blog/column/vmware-cloud-migration.html
VMWareのライセンス体系の変更では、Broadcom社が顧客企業を「Strategic」、「Corporate」、「Commercial」の3つのセグメントに分類し、それぞれに対して異なるライセンス料金を設定することが発表されました。
これにより、JBCC社の試算によれば5年間のトータルコストが、クラウド環境とオンプレミス環境で大きな差がなくなるとしています。
従来は「クラウドの方が割高」という印象がありましたが、試算するとその差は大きく縮まっています。
具体的にはクラウド環境とオンプレミス環境の5年間のトータルコストがかなり近い数字になりました。
オンプレミス環境では、ライセンスのエディションによってコストが変動しますが、上位エディションになるほどクラウドの方が割安になります。ref. https://www.jbcc.co.jp/blog/column/vmware-cloud-migration.html
IaaS/PaaSが増加すると予想
オンプレ上のVMWare環境からクラウドへの移行が進むと、IaaS/PaaSの利用が増加すると予想されます。
仮想サーバーをただちにSaaS, FaaSのようなクラウドネイティブなアーキテクチャに移行することは難しいため、直近はおそらくIaaS/PaaSの利用が増加するでしょう。
IaaS/PaaSのクラウドセキュリティとは
IaaS/PaaSのクラウドセキュリティ対策を強化するために以下のようなセキュリティソリューションを多層防御的に複数の導入が進むと予想します。
1. ネットワークセキュリティソリューション
ネットワークセキュリティソリューションは、クラウド環境におけるネットワークトラフィックの監視、制御、保護を行うためのソリューションです。
WAF(Web Application Firewall)
- 用途の例: アプリケーションレベルの攻撃(SQLインジェクション、クロスサイトスクリプティングなど)を防止。
- ツール例: AWS WAF、Azure Application Gateway、Cloudflare WAF。
DDoS対策
- 用途の例: 大量のトラフィックを利用したサービス妨害攻撃を防御。
- ツール例: AWS Shield、Google Cloud Armor、Akamai Kona Site Defender。
2. アイデンティティ&アクセス管理(IAM)
アイデンティティ&アクセス管理(IAM)は、クラウド環境におけるユーザーやリソースへのアクセス権限を管理するためのソリューションです。
ゼロトラストセキュリティ
- 用途の例: すべてのアクセスを検証し、許可したものだけを許すモデル。
- ツール例: Okta、Azure Active Directory(AAD)、Google Cloud IAM。
特権アクセス管理(PAM)
- 用途の例: 特権アカウントの使用を制限し、監査ログを記録。
- ツール例: CyberArk、Delinea、BeyondTrust。
3. データ保護ソリューション
データ保護ソリューションは、クラウド環境におけるデータの暗号化、バックアップ、災害復旧を行うためのソリューションです。
暗号化
- 用途の例: データ保護の基盤。静止データや転送中データを暗号化。
- ツール例: AWS Key Management Service(KMS)、Azure Key Vault、HashiCorp Vault。
バックアップと災害復旧(DR)
- 用途の例: データ損失からの復旧能力を確保。
- ツール例: AWS Backup、Google Cloud Backup and DR、Veeam。
4. 脆弱性管理・監視ソリューション
脆弱性管理・監視ソリューションは、クラウド環境における脆弱性の検出、分析、修正を行うためのソリューションです。
脆弱性スキャン
- 用途の例: クラウドリソースの構成ミスや脆弱性を特定。
- ツール例: Qualys、Tenable.io、Rapid7 InsightVM。
セキュリティ情報およびイベント管理(SIEM)
- 用途の例: リアルタイムで脅威を検知し、分析。
- ツール例: Splunk、Microsoft Sentinel、Elastic Security。
クラウドセキュリティ態勢管理(CSPM)
- 用途の例: クラウド環境の設定エラーやベストプラクティス違反を監視。
- ツール例: Prisma Cloud、AWS Config、Lacework。
5. コンテナーセキュリティソリューション
コンテナーセキュリティソリューションは、クラウド環境におけるコンテナーのセキュリティを強化するためのソリューションです。
コンテナーイメージスキャン
- 用途の例: マルウェアや脆弱性を持つコンテナーイメージをデプロイ前に検出。
- ツール例: Docker Security、Trivy、Aqua Security。
ランタイムセキュリティ
- 用途の例: 実行中のコンテナーを保護し、異常な挙動を検知。
- ツール例: Falco、Sysdig Secure。
6. 自動化とデベロップメントのセキュリティ
セキュリティシフトレフト
- 用途の例: 開発プロセスの早い段階でセキュリティを組み込む。
- ツール例: Snyk、GitHub Advanced Security、Checkmarx。
IaC(Infrastructure as Code)セキュリティ
- 用途の例: TerraformやCloudFormationのスクリプトを自動スキャンしてリスクを発見。
- ツール例: Checkov、Bridgecrew、Terraform Validator。
7. マルチクラウドおよびハイブリッド環境の統合
クラウド統合セキュリティプラットフォーム
- 用途の例: 異なるクラウドプロバイダー間のセキュリティを統一的に管理。
- ツール例: Palo Alto Prisma Cloud、Fortinet Cloud Security、Trend Micro Cloud One。
統合ログ管理と可視化
- 用途の例: 全てのクラウドリソースから収集したデータを一元化。
- ツール例: Datadog、Sumo Logic、AWS CloudWatch。
まとめ
例としてあげたIaaS/PaaS向けのクラウドセキュリティソリューションの導入にあたっては、自社のクラウド環境や利用するIaaS/PaaSプロバイダーの特性に応じて適切な組み合わせを選定することが重要です。
また、運用チームと開発チームが協力してセキュリティを継続的に見直し、改善していく体制も不可欠です。