🔰 はじめに
かつてのIT環境では「ファイアウォールの内側は安全」という前提の**「境界防御モデル」**が主流でした。
しかし、クラウドやコンテナ、ゼロトラストの時代にはこの前提は通用しません。
本記事では、クラウド環境におけるセキュリティ戦略として注目される
**「シフトレフト」「シフトライト」**の考え方を軸に、境界防御から継続的防御への進化を解説します。
🔒 1. 境界防御の限界
境界防御は「社内ネットワーク=安全」「外部=危険」というモデルに基づいています。
境界防御の特徴
- FWやIDS/IPSを用いてネットワーク境界を保護
- 社内LANや閉域網の中は信頼されている前提
- 境界を超えた通信だけを厳密に制御
しかし、現代のクラウド環境では…
| 状況 | 課題 |
|---|---|
| クラウド上にシステムが分散 | 境界が曖昧/外部と常時接続 |
| SaaSやゼロトラストの普及 | 社内・社外の区別が困難 |
| DevOpsで構成が頻繁に変化 | 静的なルールでは追いつかない |
➡ 「中に入らせない」から「入られても気づく・止める」へ。
🔄 2. 継続的防御の考え方
クラウドセキュリティは、常に変化するリソースや攻撃手法に対応する必要があります。
そのため、**構築時だけでなく、運用中も含めて「継続的に守る」**姿勢が重要です。
継続的防御に必要な要素
- セキュリティをCI/CDやIaCに統合
- ランタイムの異常検知や行動監視を実施
- 本番・開発を問わず、全リソースを可視化
🧭 3. シフトレフトとシフトライトの役割
🛠 シフトレフト:作る段階で防ぐ
開発やビルドの段階でリスクを排除し、「リリース前に潰す」考え方。
具体例
- IaCで「0.0.0.0/0」許可を禁止
- CIで依存ライブラリの脆弱性を検知
- PR単位でセキュリティレビューを自動化
🔧 ツール例:Snyk、Checkov、Trivy
🔍 シフトライト:動いてから守る
本番環境で実際の挙動を監視し、リアルタイムで脅威を検知・対応する考え方。
具体例
- 実行中のPodから不審なプロセスを検知
- eBPFでファイル操作やネットワークを観察
- 攻撃イベントをリアルタイムでSlack通知
🔐 ツール例:Sysdig、Falco、Datadog、Defender for Cloud
🧩 4. クラウドにおける両者の重要性
| 観点 | シフトレフト | シフトライト |
|---|---|---|
| タイミング | コード・CI/CD段階 | 実行時・運用中 |
| 対象 | コード、IaC、依存ライブラリ | コンテナ、Kubernetes、クラウド構成 |
| 目的 | 脆弱性・ミスの未然防止 | 攻撃・異常の検知と対応 |
| 特徴 | 開発者主導、予防的 | セキュリティチーム主導、対応的 |
➡ どちらか一方では不十分。両輪でセキュリティを強化することが鍵。
✅ 5. まとめ
クラウドネイティブな環境では、「一度守れば安全」な境界型の守りでは不十分です。
作るときも、動かすときも、常に守る「継続的防御」の発想が求められています。
- 💡 開発者向け:シフトレフトで“安全なコード”をデフォルトに
- 💡 運用者向け:シフトライトで“挙動の可視化と検知”を強化
- 💡 組織全体で:セキュリティを“文化として”組み込む
📚 参考リンク
ご意見・ご質問などあればコメントお待ちしています!