2022年のクラウド・セキュリティ:Gartner が提唱する3つのトレンドとは?

3 Cloud Security Trends to Watch in 2022

2022/01/18 SecurityIntelligence — 数多くの企業が、2022年に向けて、クラウド・セキュリティを意識している。2021年4月に Gartner は、クラウド・マネージメント/セキュリティ・サービスに対して、世界のエンドユーザーが費やす費用は、2022年には $18 million に達すると予測していた。その規模は、過去2年間に比べて 30% の成長となる。上述の予測は、重要な問題を提起している。

2022年に、これらの企業や組織は、クラウド・セキュリティへの支出を、どこへ振り向けるのだろうか? 今後の1年間において、注目すべき3つのトレンドがある。それらは、サイバーセキュリティ・メッシュ/ハイブリッド・マルチクラウド環境/クラウド・ネイティブなツールとプラットフォームである。

Trend #1:サイバーセキュリティ・メッシュ

Gartner は、2022年における戦略的技術トレンドのトップ・リストの中で、サイバーセキュリティ・メッシュを「広く分散した異種のセキュリティ・サービスを統合する、柔軟でコンポーザブルなアーキテクチャ」と定義している。サイバーセキュリティ・メッシュは、クラウドを含む全ての関連する環境において、アイデンティティ/コンテキスト/ポリシーの遵守を確認する手段を提供する。つまり、サイバーセキュリティ・メッシュ・アーキテクチャは、より広範な防御的アプローチの一部として使用するのが賢明となる。

CISO である Niel Harper は、「その目標は、データセンターをカプセル化するための境界を、オンプレミスや内部ネットワーク上には存在しない ID とオブジェクトに移動することだ。具体的には、ユーザーは、いつでも、どこからでも、さまざまなデバイス・フォームファクターを使用してオブジェクトにアクセスする。その一方で、組織はクラウド・サービスをゼロトラスト・アーキテクチャに組み込み、サブジェクトとオブジェクトの両方を、より詳細に分析する適応型アクセス制御を採用できる」と述べている。

それを実現するためには、一連のコントロールに投資する必要がある。これらは、ゼロトラストやクラウド・セキュリティなどの計画をまとめるのに役立つ。Harper は、クラウド関連の対策として、クラウド・アクセス・セキュリティ・ブローカーとクラウド・インフラストラクチャ・エンタイトルメント管理という、2つの重要なポイントを指摘している。また、エンドポイントの検出と対応や、多要素認証なども、ここに当てはまるという。

Trend #2:ハイブリッドおよびマルチ・クラウド環境

サイバーセキュリティ・メッシュをはじめとする防御ソリューションは、単にゼロトラストを推進するだけではない。つまり、ハイブリッド環境やマルチクラウド環境のセキュリティにも貢献する。企業や政府機関は、このような戦略をさらに重視するようになっている。Cofense のレポートによると、2022年までに 90% の組織が、ニーズに合わせたハイブリッド・クラウドの利用を進めるとのことだ。その使い方は多様であり、パブリック・クラウドとプライベート・クラウドを併用する企業もあれば、両方のサービスを利用する企業もあるだろう。また、インクラウドとオンプレミスの双方を用いて、資産を構成していくケースもあるだろう。

また、複数のクラウドサービスを利用する、マルチ・クラウドについても同じことが言える。IT リーダーを対象とした調査では、回答者の95%が、2022年にはマルチ・クラウドを戦略的優先事項にすると答えている。また、回答者の 96% が、セキュリティを最重要視すると回答している。しかし、その防御プログラムを実行するために必要な、ツールやスキルに高い自信があると答えたのは、わずか 54% だった。また、それ以上の 76% の回答者が、自身のグループがマルチ・クラウド・プロジェクトに十分な投資をしたとは思えないと答えており、デジタル脅威からの防御の準備ができていない状態になっている。

このような資金不足は、別の問題を悪化させる。つまり、ハイブリッド・クラウドやマルチ・クラウドの環境には、セキュリティ上の課題があるということだ。複雑さが増し、可視性が低下する。このような障害に対しては、AWS Marketplace のようなサードパーティのクラウド・マーケットプレイスが検討される。これらのリソースは、セキュリティ・チームがクラウドで使用できるソフトウェアやサービスの提供に役立つ。

Trend #3:クラウド・ネイティブなツールとプラットフォーム

2022年へ向けて Gartner は、クラウドネイティブ・プラットフォームの重要性を強調している。それは、クラウドを最大限に活用したアプリケーション・アーキテクチャを、企業や組織が構築するためのものだ。結局のところ、クラウドの資産をオンプレミスのリソースと同じように保護することはできない。後者は社内のチームが守るが、前者では不可能なことになる。共有責任モデルでは、情報セキュリティ担当者がクラウド内でのみセキュリティを提供することになっている。クラウド・サービス・プロバイダーは、クラウドの「中」のセキュリティ、つまりクラウド・サービスを実行する物理的なホスト/ネットワーク/インフラを保護する責任がある。このような区分けにより、社内のチームがセキュリティ対策をコントロールできる範囲は限られてしまう。

クラウド・ネイティブなツールやプラットフォームを最大限に活用するためには、防御境界線における自社の責任範囲を理解する必要がある。そして、それに適したツールを入手すべきである。そうしなければ、クラウドの脆弱性やミスコンフィグレーションを悪用する脅威に、企業や組織はさらされることになる。また、クラウド・セキュリティ・インシデントが発生した場合には、その復旧に大きなコストが掛かることになる。だからこそ、セキュリティと可視性を両立させる、戦略的なベンダーとのパートナーシップが必要になる。

なぜ、2022年にクラウド・セキュリティが重要になるのか?

2022年において企業や政府機関は、より多くのサービスをクラウドに移行する可能性がある。ITProPortal によると、2022年には主要な IT 分野における支出の 28% が、クラウドに移行するという。このようなクラウド・ベースのサービスの増加は、総額で $1.3 trillion と言われる IT 支出の内訳に影響する。また、ビジネス・リーダーたちは、クラウドベースのサービスのセキュリティに注意を払う必要がある。そのためには、ここで述べてきた、サイバーセキュリティ・メッシュ/マルチクラウド・ハイブリッドクラウドのセキュリティ戦略/クラウド・ネイティブ・ツールが役立つ。

物事には必ず、理想と現実があって、その2つは必ず乖離しています。そして、今年こそはギャップを埋めていこうと思っても、ちょっと考えて諦めるというパターンが繰り返されます。でも、まぁ、概ね正しいことを言ってくれているのですから、逆行しなければ良いくらいには受け止めたいです。同じような範疇の記事としては、1月3日の「データ・プロテクション:データの発見/分類/保護とコンテキストを考える」や、1月14日の「クラウドの暗号化を改善するためのベスト・プラクティスとは?」などがあります。よろしければ、ご参照ください。

%d bloggers like this: