メガトレンドによってクラウドの導入が促進され、すべての関係者にとってのセキュリティが向上
Google Cloud Japan Team
※この投稿は米国時間 2022 年 1 月 12 日に、Google Cloud blog に投稿されたものの抄訳です。
クラウドがオンプレミス インフラストラクチャより安全かどうかという質問がよく寄せられます。一言で答えるなら、一般にクラウドのほうが安全性が高いと言えます。ただし、この質問に正確に回答するためには、微妙なニュアンスを説明するとともに、クラウド セキュリティにおける一連の「メガトレンド」を考慮する必要があります。これらのメガトレンドは、技術的なイノベーションを促進し、クラウド プロバイダとお客様のセキュリティ対策全般の向上をもたらしています。
オンプレミス環境であっても、多くの労力を費やせば、評判の良いクラウド プロバイダのインフラストラクチャと同程度のデフォルト セキュリティ レベルを実現できます。逆に、クラウドが脆弱な形で構成されれば、多くのセキュリティ上の問題をもたらす可能性があります。しかし一般には、クラウドのベース セキュリティに加えてお客様の構成を適切に保護することで、ほとんどのオンプレミス環境より強固なセキュリティを確保できます。
Google Cloud のベースライン セキュリティ アーキテクチャは、ゼロトラストの原則(あらゆるネットワーク、デバイス、ユーザー、サービスは、自身の身元を証明するまで信頼されないという考え方)を遵守しています。また、セキュリティに関する制御と機能を何層にも重ねて構成エラーや攻撃から保護する多層防御も利用しています。
Google Cloud では、安全性を重視した設計を最優先するとともに、セキュリティ エンジニアのチームが、安全なプロダクトとお客様によるコントロール機能を提供できるよう継続的に取り組んでいます。さらに、クラウドのセキュリティのさらなる向上をもたらしている業界のメガトレンドも活用しながら、オンプレミス インフラストラクチャを上回るセキュリティの実現に努めています。
次の 8 つのメガトレンドは、オンプレミス環境(または、少なくとも分散型クラウドもしくは信頼できるパートナーのクラウド以外の環境)と比較した場合の、クラウドのセキュリティ上の利点を実際に示しています。これらのメガトレンドは、2023 年の到来とともに重要性が薄れるような一時的な問題ではなく、当面はクラウドのセキュリティとテクノロジーの発展を左右するものと考えられます。そのため、IT 部門の意思決定者は、こうしたメガトレンドに細心の注意を払う必要があります。
8 つのメガトレンドの概要は次のとおりです。
規模の経済性: セキュリティの限界費用の低減により、セキュリティのベースライン レベルが向上します。
運命の共有: 信頼性向上のフライホイール効果で、クラウドへの移行が促進されます。これにより、クラウド プロバイダはセキュリティをさらに向上させ、より多くの投資を行います。
健全な競争: 潤沢な資金を持つクラウド プロバイダが、業界をリードするセキュリティ技術の開発と実装を目指して競争することで、イノベーションが促進されます。
デジタル免疫系としてのクラウド: クラウドからお客様に提供されるセキュリティ アップデートは、すべてなんらかの脅威、脆弱性、または新たな攻撃手法についての知見に基づいたものですが、こうした知見は多くの場合、他のユーザーや第三者の経験によって特定されたものです。企業の IT リーダーはこの効果的なフィードバック ループを使用して、より適切な保護を適用できます。
ソフトウェア定義型インフラストラクチャ: クラウドはソフトウェアで定義されているため、お客様はハードウェアの配置を管理したり、管理上の手間をかけることなく、動的に構成を行うことができます。セキュリティの観点から見た場合、これはセキュリティ ポリシーをコードとして指定し、その有効性を継続的にモニタリングすることを意味します。
デプロイ速度の向上: クラウドは規模が大きいため、プロバイダは通常、自動化された継続的インテグレーション / 継続的デプロイ(CI / CD)システムを使用して、ソフトウェアのデプロイとアップデートを自動化する必要があります。この自動化の仕組みをセキュリティ強化にも応用することで、より頻繁にセキュリティ アップデートを提供することが可能になります。
シンプルさ: クラウドが抽象化機構として働くことにより、よりシンプルなデフォルト モードの特定、作成、デプロイを行い、自動化された安全な運用を実現します。
主権とサステナビリティの合流: クラウドは、世界的な規模を備えていると同時に、地域限定型の運用と分散型の運用を両立できることから、主権についての 3 本の柱を生み出します。クラウドのグローバルな規模を利用することで、エネルギー効率も改善できます。
これらのメガトレンドを詳しく見ていきましょう。
規模の経済性: セキュリティの限界費用の低減
パブリック クラウドは、従来ごく少数の組織でしか構築されたことがない水準のセキュリティと復元力を実装するのに十分な規模を備えています。Google では、グローバル ネットワークを運用するとともに、独自のシステム、ネットワーク、ストレージ、ソフトウェア スタックを構築しています。その中で、安全な起動を保証する Titan セキュリティ チップや、広く普及している転送中のデータおよび保存データの暗号化を通じて、これまでになかった水準のデフォルト セキュリティを提供しています。同時に、使用中のデータも暗号化対象となる Confidential Computing ノードを利用できるようにしています。
セキュリティの優先は当然のことですが、クラウドの規模の大きさによって個別の制御についてのデプロイメント単位あたり費用は低減されます。セキュリティ優先の方針を、より簡単かつ安価に実現できるのです。規模が大きくなるほど制御単価が下がり、単価が下がるほど、向上したベースライン制御をあらゆる場所に配置する費用も低減します。
最後に、特定の構成や強化されたセキュリティ機能、お客様のセキュリティ運用をサポートするサービスに対応するために追加費用が必要な場合でも、単位当たりの費用は低減します。これらについて追加費用が発生する場合もありますが、それでも経済性に劣るオンプレミス サービスより安価になります。そのため、クラウドは、制御にかかる費用を削減してセキュリティ ベースラインを向上させるための戦略の基本となっています。クラウドを導入することで、測定可能なセキュリティ レベルは確実に向上するのです。
運命の共有: クラウドの拡大を加速するフライホイール効果
以前から採用されている責任共有モデルは、概念として正しいものです。クラウド プロバイダは安全なベース インフラストラクチャ(クラウドのセキュリティ)を提供し、その基盤の上でお客様はサービスの安全な構成を行います(クラウド内のセキュリティ)。しかし、双方の連帯責任を理解するためではなく、インシデント発生時に責任の所在を明らかにする手段として責任共有モデルが多用されている限り、私たちはお互いに対する期待に応えることも、共通の責任を果たすこともできません。
私たちは、「責任共有」モデルをより広い視野でとらえ、相互にメリットをもたらす運命共有モデルをともに採用すべきだと考えます。お客様が安全な状態でなければ、クラウド プロバイダは総じて成功しているとは言えません。運命の共有は Google Cloud とそのお客様の間だけにとどまりません。1 つのクラウドで信頼性が問われると、すべてのクラウドの信頼性に波及するため、クラウド全体に影響を与えます。そうした信頼性の問題によってクラウド全体の「イメージが低下」すれば、既存のお客様も導入を検討されているお客様もクラウドを敬遠しかねず、それはこうしたお客様を安全性の低い状況に追いやってしまうことになります。
Google Cloud のセキュリティ上の使命が、クラウドの保護(Google Cloud に限らず)、お客様の保護(運命の共有)、地球環境の保護(地球とその先の持続可能性)の 3 つの柱であるのはこのためです。
また、「運命の共有」とは、実際に結果を分かち合うことだけではありません。私たちはこれを「お客様のセキュリティを重視する理念」であるととらえています。そしてその理念から時を経て形作られたのが、次のセキュリティ構成要素です。
デフォルトで安全性の高い構成。Google Cloud のデフォルト構成は、基本的なセキュリティが確立されていること、すべてのお客様が高水準のセキュリティ ベースラインから開始することを確約するものです(後からベースライン設定を変更されてもこの点は変わりません)。
セキュア ブループリント。デフォルトで安全性の高い方法でさまざまなプロダクトやサービスを妥協なく構成し、実際の構成コードとともに提供しています。そのため、お客様は安全なクラウド環境の初期設定をより簡単に行えます。
階層構造のセキュア ポリシー。アプリケーション環境のあるレベルにポリシー インテントを設定すると、スタックの下層まで自動的に構成されるため、下位レベルのセキュリティ設定に関して想定外で驚くようなことはなく、厄介な作業も必要ありません。
高度なセキュリティ機能を常に利用可能。高度なセキュリティ機能をプロダクト スイートのすべてのお客様に提供し、新しいプロダクトでもリリース時点で利用可能にすることで、新規リリースの迅速化を図りつつ、プラットフォーム全体で一貫したセキュリティを提供するニーズに応じるというバランスの実現に取り組んでいます。高度なセキュリティ機能を常に提供することで、お客様が直面するリスクを軽減します。
高度な保証を提供する、リスク管理の証明。これを実現するため、コンプライアンス証明書、監査コンテンツ、法令遵守のサポートを提供します。また、Google の Risk Protection Program のように、セキュリティ評価の構成内容と、パートナーの保険の保障内容を明らかにします。
運命共有モデルがクラウドの導入に弾みをつけます。デフォルトで安全性の高い制御を可視化し、運用を透明化することで、お客様の信頼感が高まり、クラウドへのワークロードの移行が促進されます。機密性の高いワークロードを扱う可能性を考えると、便利でさらに強化したデフォルト保護を開発する意欲が湧いてきます。
健全な競争: トップを目指す戦い
プロダクトのセキュリティ強化のペースと範囲は、業界全体で加速しつづけています。これは、アジリティや生産性と並行してセキュリティを強化し続けるという大規模でグローバルな競争であり、すべての人に利益をもたらします。
多数のプレーヤーが膨大なリソースを投じて、お客様により高いセキュリティを提供し、より厳密かつ一貫した方法でセキュリティの管理を支援しようとしのぎを削り合う状況は、かつてなかったことです。現在は数社が群を抜いており、その状況が続くと思われますが、今後も共通して言えるのは、オンプレミス環境はセキュリティの継続強化を推進する力が競争面で乏しいため、クラウドがこれからもオンプレミスをリードし続けるということです。
オンプレミスが完全に姿を消すことはないかもしれません。しかし、クラウドでは市場での競争によって、オンプレミスでは今後も実現されないようなセキュリティ イノベーションが推進されていくでしょう。
デジタル免疫系としてのクラウド: 少数のニーズによってもたらされる多数の利点
クラウドでセキュリティの改善が積極的に進められるのには理由があります。
クラウド プロバイダのセキュリティ研究者やエンジニアの多くが、攻撃に関する高度に理論的で実用的な知識に基づいて改善を行う必要があると考えている。
グローバルな脅威の状況を深く理解しているクラウド プロバイダが、脅威アクターと、その進化する攻撃の手口に関する知識を適用して、特定の新しい対策のみならず、あらゆる種類の攻撃を阻止するための手段を講じている。
クラウド プロバイダが、レッドチームと世界トップクラスの脆弱性研究者を投入して、常に脆弱性がないか探っており、脆弱性が見つかった場合はプラットフォーム全体で対策を講じている。
クラウド プロバイダのソフトウェア エンジニアが、オープンソース ソフトウェアの取り込みやキュレート、コミュニティのサポートを頻繁に行い、すべての関係者が恩恵を受けられるよう改善を推進している。
クラウド プロバイダが、世界トップクラスの独立したセキュリティ研究者を引き付けるために、脆弱性の発見を奨励し、バグ報奨金制度を導入している。
クラウド プロバイダが、セキュリティに関するニーズを深く理解している多くのお客様のセキュリティ チームと協力して、プラットフォーム全体でセキュリティを強化し、新機能を提供してる(これが最も重要な理由であると考えられます)。
上に挙げた理由が大きな原動力となり、世界中でセキュリティが強化される動きが高まっています。他のメガトレンドと相まって、セキュリティの強化は比較的速やかに、費用対効果の高い方法で適用されています。
お客様がこのレベルのリソースを自社でまかなえない場合(事実、最大規模の組織でさえ難しいことです)、クラウド プロバイダが提供するすべてのセキュリティ機能のアップデートを利用して、ネットワーク、システム、データを保護することが最善のセキュリティ戦略となります。これはいわば、グローバルなデジタル免疫系を活用するようなものです。
ソフトウェア定義型インフラストラクチャ: 統制の継続的モニタリングとポリシー インテント
クラウドがオンプレミスに対して持つ比較優位の源泉のひとつは、ソフトウェア定義型インフラストラクチャであるという点です。このことがセキュリティ面で特に有利なのは、クラウドでの構成が本質的に宣言型であり、プログラムで構成されているからです。しかも、組み込みのポリシー インテントで構成コードをオーバーレイすることもできます(コードとしてのポリシー、コードとしての統制)。
お客様は分析によって構成を検証し、構成が現実に即していることを継続的に確認できます。変更をモデル化して運用リスクを抑えて適用し、変更とテストを段階的に実施できるため、信頼性のリスクを抑えながらより厳密な統制を積極的に行うことができます。つまり、環境への統制の追加や継続的な更新を簡単に行えるということです。これは、ビジネスとテクノロジーのアジリティと、クラウド セキュリティの双方の足並みを完全に揃えられるもうひとつの例です。
BeyondProd モデルとSLSA フレームワークは、Google Cloud のソフトウェア定義型インフラストラクチャが、どのようにクラウド セキュリティの改善に役立つかを示す典型的な例です。BeyondProd と BeyondCorp フレームワークでは、ゼロトラストの原則をクラウド サービスの保護に適用しています。ユーザーがみな物理的に同じ場所やデバイスを使用しないのと同様、すべてのデベロッパーがコードを同じ環境にデプロイしているわけではありません。BeyondProd を使用すると、パブリック クラウド、プライベート クラウド、サードパーティのホストサービスでマイクロサービスを安全に、きめ細かく制御しながら実行できます。
SLSA フレームワークでは、このアプローチを、最新のソフトウェア開発およびデプロイの複雑な特性に適用しています。Open Source Security Foundation と協業により策定された SLSA フレームワークでは、ソフトウェア サプライ チェーンの整合性を確保するための基準が形式化されています。現代のソフトウェアが、コード、バイナリ、ネットワーク API、各種構成ファイルで構成されていることを考えると、この整合性の確保は簡単なことではありません。
ソフトウェア定義型インフラストラクチャでセキュリティを管理することは、継続的な統制モニタリング、定期的なインベントリ保証を行えるとともに、大きな運用リスクを冒すことなく、安全性の高い環境の「効率的なフロンティア」で運用できることを意味します。
デプロイ速度の向上
クラウド プロバイダは、継続的インテグレーション / 継続的デプロイモデルを使用しています。あらゆる場所で、整合性のあるプロダクト バージョンによってサポートされているセキュリティ アップデートを実行するなど、改善を頻繁に重ねてイノベーションを実現し、広範に信頼を得るには、このモデルが不可欠です。
クラウド セキュリティやその他のメカニズムは API ベースとなっており、あらゆるプロダクトで統一されているため、構成をプログラムで管理することが可能です(コードとしての構成とも呼ばれます)。コードとしての構成を、ソフトウェア定義型インフラストラクチャであるというクラウドの全体的な性質と組み合わせることで、ソフトウェアのデプロイおよび構成に CI / CD のアプローチを実装して、クラウドの使用時に整合性を保つことができます。
この自動化と速度の向上により、修正や機能の適用を待つ時間が短縮されます。セキュリティ機能やアップデートのデプロイ速度も向上し、あらゆるロールバックを高速に行うこともできます。つまり、リスクを最小限に抑え、より速く行動できるという一挙両得につながります。全体的に見た場合、デプロイ速度は強力なセキュリティを実現するうえで不可欠な要素であると言えます。
シンプルさ: 抽象化機構としてのクラウド
クラウドへの移行に関してよく聞かれる心配事として、「クラウドは複雑すぎる」というものがあります。確かに、クラウドで利用できる全機能をゼロから学ぶとなると圧倒されるかもしれません。しかし現在のクラウドでは豊富な機能を利用できる一方で、従来のオンプレミス環境に比べてずっとシンプルであり、しかもはるかに堅牢です。
クラウド プラットフォーム全体がカバーする領域は非常に広く、それを見た人は「クラウドは複雑だ」と考えてしまいがちですが、プラットフォームの基盤構成はより抽象化されています。オンプレミス環境の場合、ネットワーク エンジニア、システム管理者、システム プログラマー、ソフトウェア デベロッパー、セキュリティ エンジニアリング チーム、ストレージ管理者に加え、他にも多くの役割やチームからなる大規模なチームが複数存在します。それぞれの役割やチームが、それぞれ独自の領域やサイロを運用しています。
各所で利用されている技術の統制が取れておらず、無数の構成オプションがあるうえに互換性も乏しいとなると、職人技ともいえるレベルのエンジニアリングが必要になります。そのようなケースでは、クラウドを利用する場合よりも複雑さは増し、セキュリティや復元力も低下します。
クラウドのシンプル化は進む一方であり、戻ることはありません。なぜなら、クラウド プロバイダ市場では抽象化と自律運用が成功の鍵となっているからです。これによりスケーラビリティと使いやすさの向上が推進され、抽象化へのあくなき追求が生まれます。先ほどクラウドを「デジタル免疫系」にたとえましたが、クラウドは「抽象化パターン生成機構」とも捉えることができます。クラウドは何万ものお客様から得られた運用の優れたイノベーションを取り入れ、誰もがその成果を共有できるようにします。
シンプル化と抽象化の度合いが高まることで、セキュリティ ポリシーをより明示的に表明し、より正確かつわかりやすい方法でしかるべき場面に適用できるようになります。わかりやすく言えば、シンプルにすることで、想定外の事態が起こる可能性を減らせます。セキュリティの問題はたいてい、想定していないところから始まるものです。
主権とサステナビリティの合流: グローバルからローカルへ
クラウドは世界的な規模を備えていると同時に、地域限定型の運用と分散型の運用を両立できることから、主権について想定される 3 本の柱が生まれています。その重要性は、あらゆる地域、あらゆるセクターで増大しています。クラウドはその性質上、特定のオペレーションの委任やサービス間の優れたポータビリティを実現する手段になるだけでなく、国や地域における統制への対応や、データへのアクセスの制限にも役立ちます。
全世界に多数のクラウド プロバイダが展開しているということは、クラウドが国や地域レベルでのデプロイのニーズに対応しやすいということです。ワークロードのデプロイ先に、エネルギー効率の高いインフラストラクチャを選ぶことも簡単にできます。このことは、リソースの利用率を高く保てるクラウド固有の効率性と相まって、クラウドを総体的により持続可能なソリューションとしています。
これらの柱からなる枠組みによってお客様や規制当局と関わることで、機能性、コスト、インフラの一貫性、デベロッパー エクスペリエンスなどの付加的な考慮事項について最適化しつつ、お客様の要件に応じたソリューションを提供することができます。
データ主権により、プロバイダは通常お客様のデータにアクセスすることができません。お客様が必要と考える特定のプロバイダの行動に対してのみアクセスを承認する仕組みがお客様に提供されます。Google Cloud が提供する、お客様によるコントロール機能の例には、クラウドの外部で暗号鍵を保管、管理する、詳細なアクセス理由に基づいてこれらの鍵へのアクセス権を付与する権限をお客様に提供する、使用中のデータを保護するなどがあります。こうした機能を通じて、お客様は自身のデータへのアクセスを完全に管理できます。
運用主権により、クラウド プロバイダの従業員がお客様のワークロードを危険にさらすことがないということを保証します。お客様は従来のオンプレミス環境と同様のコントロール機能を維持しながら、マルチテナント環境のスケール メリットを享受できるようになります。このようなコントロール機能の例としては、特定のプロバイダ リージョンに対する新たなリソースのデプロイの制限や、市民権や特定の地理的位置などの事前に定義された属性に基づくサポート要員のアクセスの制限が挙げられます。
ソフトウェア主権により、お客様は特定のクラウド プロバイダに依存したりロックインされたりすることなく、ワークロードの可用性を確実にコントロールし、必要なときにいつでもワークロードを実行できます。これには、ワークロードのデプロイ先や外部接続の許可レベルを即座に変更する必要が生じるイベントに対処できる能力も含まれています。
これを可能にするには、次の 2 つの要件を満たす必要があります。どちらもワークロードの管理を簡素化し、集中リスクを軽減することにつながります。1 つ目は、お客様がオープンな API とサービスを採用したプラットフォームにアクセスできること、2 つ目は、オーケストレーション ツールを使用するマルチクラウド、ハイブリッド、オンプレミスを含む多様な構成で、多くのプラットフォームにまたがるアプリケーションのデプロイをサポートするテクノロジーにお客様がアクセスできることです。
これらのコントロール機能には、お客様が複数プロバイダ間でワークロードを管理できるようにするプラットフォームや、お客様が独自のクラウドベース、そしてそれらの代替となるオープンソースを含むさまざまなプロバイダ上で動作する複数のアプリケーションを基盤とする、単一の API が作成できるオーケストレーション ツールなどがあります。
この全体としてのアプローチは、組織(および、セクターや国の重要なインフラストラクチャを構成する組織のグループ)が集中リスクを管理するための手段としても機能します。これは、リージョンやゾーンを隔離するクラウドの強力なメカニズム、あるいは復元力の高いマルチクラウド サービスの優れた構成方法のどちらを利用しても実現できます。このことは、オープンソースやオープン標準へのコミットメントが大切な理由でもあります。
結論としては、クラウド コンピューティングのメガトレンドがセキュリティの進化を加速させ、他のセキュリティ対策よりも低いコストと少ない労力で利用できるようになるでしょう。こうしたメガトレンドの追い風もあり、クラウド セキュリティはオンプレミス型のセキュリティに対して必然的に優位であると考えられます。