全3707文字
PR

 クラウドサービスの利用で課題になるのがセキュリティー管理のあり方だ。そこで今回は、オンプレミスとSaaSなどのクラウドサービスで構成される複雑なネットワーク全体のセキュリティーを一元管理する方法について考えてみよう。

ハブでポリシーを適用

 これまでオンプレミスの社内ネットワークの多くは、閉域網で接続したデータセンターにセキュリティー対策のための製品やサービス(セキュリティー管理ソリューション)を導入して保護してきた。そこにクラウドサービスが追加されると、クラウドサービス向けのセキュリティー管理ソリューションも導入しなくてはならなくなる。

 その場合、それぞれ個別に管理する必要があるのでネットワーク管理者の負荷は高くなる。また、セキュリティーポリシーを統一することも容易ではない。両者で一貫したセキュリティー管理を実現するのは難しい。

 そこでセキュリティー管理ソリューションをクラウド上に構築し、オンプレミスとクラウドの両方を一元的に管理する図1)。

図1●すべての通信を「セキュリティー管理ソリューション」経由にする
図1●すべての通信を「セキュリティー管理ソリューション」経由にする
クラウドサービスが提供するセキュリティー機能などを組み合わせて「セキュリティー管理ソリューション」を構築し、すべての通信を経由させるようにすればネットワーク全体のセキュリティーを一元管理できる。セキュリティー管理ソリューションが「ハブ」、オンプレミスやクラウド内のシステムが「スポーク」となるイメージだ。
[画像のクリックで拡大表示]

 具体的には「ハブアンドスポーク」と呼ばれる構成が望ましい。つまりオンプレミスのネットワーク環境や利用するクラウドサービスを「スポーク」とする。セキュリティー管理ソリューションを「ハブ」とし、外への通信やスポーク同士の通信をすべてハブ経由になるように構成する。他にもDNSサーバーなど、複数のスポークで共有するものはハブに集める。ハブによってセキュリティーが一元管理されるため、スポークとなる新しいシステムを追加した場合も対応しやすい。

 この構成は、複数のクラウドを利用するマルチクラウド環境にも適用できる。セキュリティー管理ソリューションを置いたクラウドと別のクラウドをVPNなどで接続する。接続したクラウドはスポークとして管理できる。

求められる4つの機能

 続いて、ハブとなるセキュリティー管理ソリューションに求められるセキュリティー機能を考えてみよう(図2)。まず暗号化通信への対応だ。今では多くのWebサイトがHTTPSで通信を暗号化している。一方でマルウエア(コンピューターウイルス)や攻撃者もHTTPSを使って感染を拡大したり情報をやりとりしたりする。このためセキュリティー管理ソリューションには、HTTPSの通信を終端して復号する機能が求められる。

図2●セキュリティー管理ソリューションに求められる機能
図2●セキュリティー管理ソリューションに求められる機能
ハブとなるセキュリティー管理ソリューションは、インターネットとの安全な通信とスポーク間の安全な通信を実現する必要がある。そのためには4つの機能が求められる。
[画像のクリックで拡大表示]

 マルウエア対策も不可欠だ。既知のマルウエアはもちろん、未知のマルウエアも対策できることが望ましい。未知のマルウエアの分析は専用のクラウドサービスと連携する。未知のマルウエアの可能性があるファイルは分析用クラウドに送信する。そこでマルウエアと判定されれば、防御策がセキュリティー管理ソリューションに反映されるようにする。

 3番目に挙げられるのが組織に不必要なアクセスの禁止だ。例えば仮想デスクトップからギャンブルなどのWebサイトへのアクセスは当然禁止したい。また企業で想定していないクラウドサービスの利用なども制限しておかないと情報漏洩を引き起こす懸念がある。具体的にはアクセス先のURLを検査し、アクセスを許可・拒否する機能が求められる。

 最後に挙げるのが使用テナントの制限だ。個人で利用しているクラウドサービスも企業にとっては不要なものだ。例えば「Microsoft 365」は企業向けと個人向けの両方がある。単純にアクセス先のURLだけではこれらは識別できない。

 そこでMicrosoft 365の機能である「テナント制限」を使う。組織内からのアクセスを許可するテナント情報をHTTPヘッダーに埋め込む。こうするとMicrosoft 365側でそれ以外のテナントへのアクセスを拒否してくれる。