クラウドセキュリティの課題は依然としてほとんど解決されていない

トピック: Shared Security Model

2021年2月9日、Mike Vizard

IT企業は、程度の差こそあれ、10年以上にわたってクラウドリソースを採用してきましたが、セキュリティの問題に依然として苦慮しています。ITサービスプロバイダであるAptumが400人のシニアITプロフェッショナルを対象に実施した調査によると、回答者の85%は、すべてのクラウド環境にわたる攻撃を検出し、攻撃に対応するための明確な機能を導入していません。

あまり意外ではありませんが、回答者の82%は複数のクラウド環境へのアクセス管理をセキュリティ、ガバナンス、およびコンプライアンスの障壁として挙げています。また、81%は、すべてのクラウド環境を1つのポータルで可視化できないことを障壁として挙げています。

この調査で明らかになった逆説は回答者の半数以上（51%）がセキュリティもクラウドへの移行の主な要因であると考えていることです。この考えは、直感的には理解できないと思われるかもしれませんが、ほとんどのオンプレミスIT環境が、あまりセキュアではないという事実に変わりはありません。実際は、クラウドサービスプロバイダが管理するインフラストラクチャの方が、はるかにセキュアです。

事態を複雑にしている問題は、クラウドサービスプロバイダが企業に加入を求めるShared Security Modelです。基本的な概念は、企業が、アプリケーションを保護し、採用しているすべてのクラウドサービスを正しく設定していることを確認する責任を負うことです。問題は、ほとんどの企業が、この概念を依然として理解していないことです。オラクルとKPMGが750人のITプロフェッショナルを対象に実施した最近の調査によると、Shared Security Modelを完全に理解している回答者は、わずか8%です。

残念ながら、事態は、好転する前に、悪化する可能性があります。コロナウィルス（COVID-19）パンデミックのかなり前から、アプリケーションワークロードはクラウドに着実に移行していました。ほとんどのIT部門が可能なかぎり在宅勤務する必要がある現在、企業はクラウドアプリケーションを以前より簡単に構築、導入、および管理できるという単純な事実をますます評価しています。このため、導入率は大幅に増加しています。導入率が増加するにつれて、採用されているクラウドプラットフォームも増加しています。保護する必要がある攻撃サーフェスは引き続き拡大しています。

さらに厄介なことに、クラウドコンピューティングプラットフォームは日に日に複雑化しています。開発者は、コンテナ、Kubernetes、サーバレスコンピューティングフレームワークなど、さまざまなクラウドネイティブテクノロジを使用して、マイクロサービスアプリケーションに基づくアプリケーションを構築しています。理論上は、脆弱性を含んでいる可能性があるマイクロサービスをリッピングして置き換える方が簡単であるため、このようなアプリケーションの方がセキュアです。実際は、マイクロサービス間に存在する可能性がある依存関係のレベルが高いため、1つのマイクロサービスが侵害された場合、IT部門はマルウェアが移動できないようにする必要があります。実際は、マイクロサービスベースのアプリケーションの方がセキュアであるわけではありません。このようなアプリケーションは従来のモノリシックアプリケーションとは異なる意味でセキュアではないというだけです。

もちろん、クラウドへの移行を止めることはできません。セキュリティ部門が現在直面している課題は、このような環境を保護するために必要なスキルと専門知識を習得することです。願わくは、企業がDevSecOps（開発、セキュリティ、運用）のベストプラクティスを活用するにつれて、セキュリティ部門が開発者からの支援にさらに依存できることです。しかし、現在、まさに同じ開発者が、ほとんどのクラウドセキュリティの問題の根本原因であるクラウドサービスの誤設定を生み出しています。

結果がどうであれ、クラウドセキュリティの現状を維持できないことは明らかです。いずれにせよ、近い将来、願わくは、事態が好転することです。

原文はこちら：

Cloud security challenges remain largely unresolved

February 9, 2021 Mike Vizard

https://blog.barracuda.com/2021/02/09/cloud-security-challenges-remain-largely-unresolved/