日本企業は、デジタルトランスフォーメーションを積極的に推進しています。インフラストラクチャとプロセスをモダナイズし、サービスデリバリ、サプライチェーンコラボレーション、顧客対応、アプリケーション開発などを向上しています。これらの多くのプロジェクトは全社的に展開されていますが、企業はこれらの取り組みを支えながら、生産性を高め、収益機会を増やし、コストを削減するため、マルチクラウドを初めとして、DevOps やRPAなどの新しいイニシアチブをすべて取り入れようとしています。
しかし、これらの新しいテクノロジーやプロセスによって、無視することができない新たなリスクと、運用面での課題も生まれています。ハイブリッド環境とマルチクラウド環境の普及が進む中で、これらの動的な環境で発生するセキュリティの問題に対応することが必要となっています。
日本企業におけるクラウドの導入は、多くの場合、異なる部署や地域で同時に進められています。たとえば、複数のビジネス部門や地域をサポートするなど、特定の要件を満たすために、別々の事業部門が異なるパブリッククラウドを選択している場合もあります。結果として、いくつものパブリッククラウド、プライベートクラウド、オンプレミスを利用するハイブリッド環境で、サービスがホスティングされる状況となっています。2019 年に RightScale 社がアジア太平洋および日本企業などを対象に実施した調査では、企業や組織は、平均して 5つの異なるクラウドサービスを利用していることが明らかになりました。
これらのマルチクラウド環境でのセキュリティ保護の責任は、一般にはよく理解されていません。経験豊富なセキュリティチームであっても、パブリッククラウドプロバイダーが保護すべきものと、クライアントとして保護すべきものを明確に把握できていない場合もあります。多くの組織が、パブリッククラウドベンダーが保護する対象を過剰に想定しています。実際は、アプリケーションのオーナーは、アプリケーション、データ、OS、その他のエンタープライズインフラストラクチャ、およびクラウドで実行されているその他の資産を保護する責任があります。
これらのクラウドのワークロードが増大するにつれて、特権アカウントの数が増加し、攻撃対象となる潜在的な領域も拡大し続けています。新しい取り組みを進めるたびに、確実に保護しなければならない新しい「扉」が生まれています。サードパーティベンダー(外部委託業者)を利用する機会が増加することも、デジタルトランスフォーメーションの特徴の 1 つです。これも、特権のある攻撃対象領域が増大し、その管理がより困難になる要因です。
現在の環境では、攻撃者が特権アカウントを乗っ取ることで、このアカウントのアクセス権限を使用して、クラウド管理コンソールのセキュリティを侵害して、いくつもの攻撃段階を省略できます。このような特権認証情報を乗っ取ることにより、攻撃者はクラウド環境を停止させることも可能になります。
クラウドやハイブリッド環境で最重要のデータと資産を保護するための原則は、オンプレミス環境と変わりはありません。データや資産へのアクセスにつながる特権を提供する経路を保護し、これらの資産を保護することが極めて重要となります。機密データを盗んだり、企業の IT 環境を破壊したり、顧客情報にアクセスしたりする最も簡単な方法は、特権認証情報を悪用したり、そのセキュリティを侵害したりすることです。
CyberArk は、クラウドおよびハイブリッド環境で一貫したセキュリティポリシーを企業横断的に実施するソリューションを提供しています。組織がデジタルトランスフォーメーションを推進できるように、適切なユーザーだけが、必要なアプリケーション、クラウドインフラストラクチャ、クラウドプラットフォームに、必要なときにのみアクセスできるようにします。
CyberArk は、伊藤忠テクノソリューションズ株式会社(CTC)とパートナーシップを締結し、日本企業がこれらの課題を克服できるように支援して参ります。
