パブリック クラウドは危険?
セキュリティのプロ、ラックの CTO に聞いてみた

株式会社ラック

この記事は、「ITmedia エンタープライズ 新しいウィンドウが開きます」に 2016 年 4 月に掲載されたコンテンツ 新しいウィンドウが開きますを再構成したものです。

パブリック クラウドは危険? セキュリティのプロ、ラックの CTO に聞いてみた

クラウドを導入したい、でもセキュリティ面で不安を感じ、なかなか決断できない――。こうしたパブリック クラウド サービスにまつわる不安は本当に悩むべきポイントなのか。セキュリティのプロ集団、ラックで CTO を務める西本逸郎氏に聞いた。

 グローバル化が進み、予想を超えるスピードで大きく変化するなか、意志決定のスピードを上げ、仕事の効率を高めるために、クラウドの導入を検討する企業が増えている。しかし、“大事な社内の業務データをインターネットを通じてやりとり”したり“自分の手の届かないところにデータを保存する”ことに不安を覚え、導入に踏み切れない企業もいまだ多いのが現状だ。

 こうしたクラウドにまつわる不安は本当に悩むべきポイントなのか――。本企画では、Office 365 を導入したセキュリティ大手、ラックの取締役専務執行役員 CTO 西本逸郎氏と、日本マイクロソフト 業務執行役員 アプリケーション&サービス マーケティング 本部長 越川慎司氏の対談を通じて、クラウドセキュリティの最新事情をひもとく。

ラックの取締役専務執行役員 CTO 西本逸郎氏 (左) と、日本マイクロソフト 業務執行役員 アプリケーション & サービス マーケティング 本部長 越川慎司氏 (右)

「業務端末をインターネットから分離せよ」――これで安心できるのか?

 2015 年、ある公的機関が標的型攻撃を受け、多くの個人情報が流出する事件が起きました。この事件が企業に与えたインパクトは大きく、情報システム部門だけでなく、経営者にもセキュリティ対策の重要性をあらためて実感させることになりました。

 その一方で、昨今では「企業がITを使っていかに生産性を高めるか」に、注目が集まっています。ワークスタイル改革やスピード経営など、時間や場所を選ばず働ける環境作りと、意志決定を早めるための IT 活用が企業の取り組むべき課題となっています。「セキュリティの確保」と「生産性の向上」という 2 つの軸は、企業が継続的に成長するためには、どちらか一方ではなく、両立させる必要があります。  そんな中で、総務省や独立行政法人 情報処理推進機構 (IPA) が「業務端末をインターネットから分離しましょう」というガイドラインを発表しました。西本さんは、この「業務端末を分離する」という手法について、セキュリティの観点からどのように考えていますか。(越川氏)

一時的には仕方がないでしょう。これを自動車の発展に例えると、昔はどこでも自由に運転できて改造も好き勝手に楽しめたのが、それでは危ないということでさまざまな規制が入り、今の状況になっているわけです。業務端末の分離も、その過程の一つだと思っています。(西本氏)

「インターネットから分断したら、全てが安全になる」ということではない、と。(越川氏)

それは全く違いますね。「インターネットにつながっているからこそ、安全になる」というケースも増えています。例えば、(発見された脆弱性に素早く対処する) Windows Update も、インターネットにつながっていないとやりづらいです。もはや、つながることは「常識」なんです。

 例えば、ネットを使うというのは業務上、“呼吸をするようなもの”なので、いずれにせよ分断は「長くは続かない」と考えた方がいいでしょう。一時的に接続をストップしたとしても、少なくとも3カ月以内には対策を講じないとダメだと思います。(西本氏)

セキュリティを確保するためにも、インターネットは必要、というわけですね。(越川氏)

そうです。われわれは「お仕事」をして生きているわけですから、「お仕事」ができないと話にならないわけです。仕事を通じて価値を提供していくことが重要であって、セキュリティにばかり気を取られて価値を提供できなきゃ話にならないので、いち早く対策を考える必要があります。

 クラウドを利用する上では、よく「セキュリティが課題」と言われますが、私はそうは思っていません。そこを問題視する人たちは、ITを業務の効率化以上のところに使っていくことにおびえて、セキュリティを言い訳にしているのではないでしょうか。(西本氏)

水道やガス、電気同様にクラウドも“サービス”として使うのが当たり前の時代に

 世の中がクラウドを活用する方向に向かっていることは間違いありません。今、水道やガス、電気を自分自身で引く人がいないのと同じように、IT も“サービス”にシフトしていくのが極めて当たり前の流れだと思います。(西本氏)

 クラウドの場合、データセンターへのアクセス経路として「インターネット」を使うことについて、多くのお客さまが漠然とした不安を感じていますが、この点についてはどのようにお考えですか。(越川氏)

 今やインターネットを利用して接続することに対するセキュリティ面での懸念はあまり意識する必要はないと思いますが、業務においては「可用性」が課題になると思います。インターネットは止まることがあり得るので、それを想定しておくことが重要です。

 2011 年 3 月の東日本大震災では、1 週間ほど計画停電がありました。ラックも即座にその1週間、在宅勤務に切り替え継続可能な業務を行いました。万一の時に備えて、在宅でも作業ができるようにとあらかじめ用意していた仕組みです。

 実際に運用してみて分かったのは、“社内もインターネットである”ことを前提として守るべきものをしっかりと守り、必要があれば「インターネット」のどこからでも安全にアクセスできるようにしたほうが良い、ということでした。(西本氏)

 基本は“インターネットで”ということですか。(越川氏)

 どこからでも仕事ができることが重要なのですが、ラックには「JSOC」という、セキュリティ監視を行う部隊があります。監視の仕事と、通常のオフィスの仕事は別ものです。通常のオフィスの仕事は、いつでもどこでもできるようにしなくてはならないと考えています。こちらはできる分野から少しずつ、パブリッククラウドの利用を始めているところです。(西本氏)

セキュリティのプロが選んだ「Office 365」、導入の決め手は

 ラックさんには弊社のパブリッククラウド「Office 365」を導入いただき、大変有り難く光栄に思っています。Office 365 は、企業のお客さまに信頼してご利用いただけるよう、さまざまな対策を施しています。

 例えば、Office 365 を支えるデータセンターは、全世界で 100 拠点を超え、日本にも複数のデータセンターを設置しており、通信、ハードウェア、そしてオペレーション スタッフといったサービス運営にかかわる全てが「何かが起きる前提」で万全の体制で構築されています。

 “ハードウェアは壊れてしまうもの“という前提で、アクティブ/スタンバイという方式を採用するクラウドベンダーもありますが、われわれのデータセンターではアクティブでノードをつなぐ「アクティブリング」を採用しています。もし、何か問題が発生したとしても事前に検知して、15 秒以内にはデータセンターごと切り替えられる仕組みを実装しています。

 加えて、私たちは Azure の機械学習やAIを使うことで、問題が起きた後ではなく、“問題が起きそう”な段階でシステムを切り替えることができます。

 こうした仕組みを自社で構築すると、相当なコストが掛かるはずです。それを「月額数百円」で利用できるのはお客さまにとって非常に大きなメリットだと考えています。(越川氏)

 フェイルオーバーが、“肝心なときに切り替わらない”という話はよく聞きます。冗長構成にすると複雑さが飛躍的に増し、“管理のための管理”が増大します。フェイルオーバーの本質は、「予兆段階で切り替える」ということで、これをやろうとすると、本来は“腕利きの技術者”が必要です。こうした人材を継続して確保できればいいのですが、なかなか難しいです。(西本氏)

 クラウド化すると、利用できるデバイスが増えるという利点もありますが、企業の管理者にしてみれば、社外でこれらのデバイスからインターネットを使って仕事をしても大丈夫なのか――という懸念もあります。モバイル活用のセキュリティリスクについては、どのようにお考えですか。(越川氏)

 デバイスが増えることで課題になるのは「認証」と「認可」です。認証と認可が、単純に ID とパスワードが一致したから OK にするのではなく、いろいろな組み合わせで行える方がいいですね。(西本氏)

 そうですね。多要素認証は非常に多くのお客さまからも注目されています。Office 365 は時代の変化とともに必要とされる機能を確実に実装しており、これもパブリッククラウドのメリットだと思います。(越川氏)

クマに襲われたら逃げるか、戦うか、それとも――

 パブリックインターネット網を使う上では、さまざまなレイヤーでの対策が必要です。万全を期することも必要ですが、効率面で実績があり、長期的な対策が見込めるところに「預ける」という選択肢もあるということでしょうか。(越川氏)

 その通りです。セキュリティ対策で必要なこととして、私はよく「クマに襲われたらどうしますか?」という話をします。実は、クマを倒したり、クマより速く逃げる必要はなくて、「荷物を置いて逃げる」のが意外と有効なのです。荷物を置いて逃げると、熊はそれをガサガサと探るらしいんですね。標的型攻撃に対してはあらかじめクマが興味を持つ荷物を置いておく、そういう発想もできるはずです。

 さらに重要なのは、「クマの標的にならない」ということです。パブリッククラウドの利用も、人より早くやり過ぎて事故を起こしてしまうと、周りから「何をやっているんだ」と責められます。また、人と足並みをそろえていると自分がやられる可能性はかなり残ります。いくら人並みにやっていても、事故を起こした自分だけが責められることになります。そこで、世の中の流れをよく見て、ほんの少しだけ対策を進ませておくことが、最善の手だと思います。(西本氏)

 セキュリティにも、世の中の変化への対応力が必要――ということですね。他のクラウドサービスと Office 365 との比較という点ではいかがでしょうか。(越川氏)

 “Microsoft Officeを使える”というのは、やはり大きいです。

 私たちは OS を使いたいわけでも、メールを使いたいわけでもなく、「コミュニケーション」をしたいわけです。そう考えると、今はやはり「Office」なんです。ドキュメント環境も今後、パブリッククラウドへ移行したいと考えていますが、まずは、もともと人からみられる可能性があった「メール」からやっていこうとしています。(西本氏)

 その他のセキュリティ技術や、法や制度への対応、コンプライアンス面についてはどのように評価していますか。(越川氏)

 日本にデータセンターがあるのは大きいです。米国を代表するような企業がしっかり管理しているので、「国家関係でのリスク」は除外しました。その点でマイクロソフトを信頼したとすると、日本にデータセンターがあり、管理の実績があるマイクロソフトを選ぶのは必然でした。(西本氏)

 クラウドのセキュリティについては「見えない不安」を感じる方も多いと思います。その不安を緩和する材料として、Office 365 は ISO/IEC27001、ISO/IEC27018、クラウドセキュリティ ゴールドマークなどの規格に準拠しています。こういった取り組みが、クラウドサービスを選定するうえでポイントになると良いのですが。(越川氏)

 「稟議を通すため」には必須です。ただ、“国内にデータセンターがあるから”“国際基準に準拠したサービスだから”安心、というわけではありません。本来、データは自分で管理すべきです。どこにデータセンターがあろうが、ベンダー任せにするのではなく、例えば自分で暗号化し、コントロールすることが基本です。

 国内にデータセンターがあることや、国際基準に準拠していることで、社内外に話を通しやすくはなるでしょうが、「最終的には自分でデータを守る」という点に関しては、どのユーザーも放棄してはいけないと私は考えます。(西本氏)

もはや「全てを自社で手掛け、全ての責任を追う」時代ではない――パブリッククラウドは積極的に活用するステージに

 2015 年末に経済産業省が、「サイバーセキュリティ経営ガイドライン」を公開しました。ここでは、セキュリティに関する経営側の責任や CISO (Chief Information Security Officer) の責任が明確になっており、IT の世界がようやく「世間並み」になったといえるでしょう。(西本氏)

 こうしたガイドラインを元に人材を設置することで、ガバナンスを効かせられますし、責任分岐点も明確になります。これまで、「何となくグレーで危険」と感じられていたクラウドについても、より白黒がはっきりするのではないでしょうか。(越川氏)

 例えば、マイクロソフトのクラウドサービスが事故を起こしたとしたら、世界中のさまざまな企業も事故に巻き込まれるはずで、自社だけの話ではなくなります。これが自社で構築したシステムなら自社だけの事故になるわけです。どちらのリスクが高いかというと、むしろ後者なんです。「なぜ自分で作っておいて事故を起こすんだ」という話になるから。だからこそ、先ほどのクマの話じゃないですが、周りがどうしているかを気にしながら、柔軟に対応を考えることが重要です。(西本氏)

 本日のお話の中で個人的に印象的だったのは、やはりクラウドはしっかり使いこなすということが前提で、効率を考えながらセキュリティ対策をしなくてはいけない、この効率の部分です。それでも、やはり効率よりもセキュリティの懸念、いわゆる見えない不安を、どんどんどんどん大きくして、もう意思決定をしないというお客さまも残念ながらいるのも事実ですよね。(越川氏)

 そうですね。でも、全てを自分で抱えこむことは無いと思うんですよ。だから人に託せる部分が何かを判断する。もはや、「全てを自社で手掛け、全ての責任を追う」時代ではないと思っています。これからは、人に託すことのメリットとリスクを理解し、“自社が最大の価値を発揮できるビジネス”の領域に資源を集中すべきです。ラックとしても、皆さまのお役に立てるようセキュリティ面の支援をしていきたいと思います。(西本氏)

 パブリック クラウドに対する見えない不安を取り除き、クラウドの活用によって日本企業のさらなる生産性の向上の実現をぜひラックさんと一緒に進めていきたいと思います。今後も長いお付き合いができればと思っております。(越川氏)

 そうですね。やっぱり人のお役に立ってなんぼですから。今後も人のお役に立てるように頑張っていきたいと思います。(西本氏)

 本日はお忙しい中、お時間をいただき誠にありがとうございました。(越川氏)

 ありがとうございます。(西本氏)

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。