データコンサルタントおよびデータアナリストの視点から、DX推進におけるクラウドサービスのデータ活用とそれに伴うセキュリティリスク管理の課題、そしてデータに基づいた効率的なリスク管理アプローチについて解説します。
DX推進の基盤として不可欠となったクラウドサービスですが、マイナンバーや財務情報といった高機密情報を扱うサービスの増加に伴い、組織が管理するデータに機密性レベルの高いデータが増加しており、これらの機密データの適切な分類と、その機密性に基づいたセキュリティリスク管理(データ保護、アクセス制御、監視)という新たな課題も浮上しています。こうした状況の中、企業はビジネス成長の加速とリスク管理の両立という複雑なデータ管理課題に直面しているのです。
クラウドサービスの利用拡大により、セキュリティインシデントが発生した場合の影響範囲も、データ侵害や業務停止といった形で拡大しています。健康診断と同様に、自覚症状がなくともリスクをデータに基づいて定期的に把握することは重要ですが、情報システム部門の限られたデータ分析リソースでは、すべてのサービスを同じ深さ(収集・分析するセキュリティ関連データの種類と詳細度)で評価することが困難です。収集すべきセキュリティ関連データ(構成データ、脆弱性データ、利用状況データなど)の量と多様性が、分析・評価できるリソースの能力を超えているデータ分析上の課題が存在します。このままではリスク管理の形骸化(データ分析が不十分な形式的な評価)とセキュリティインシデントの見逃し(データ分析不足による脅威データの識別漏れ)という深刻なジレンマに陥る恐れがあります。
このような課題に対し、リスクベースアプローチは、クラウドサービスの「重要度」(業務影響度データ、情報機密性データに基づく)というデータ属性に基づいて、セキュリティ評価の「深さ」(収集・分析するセキュリティ関連データの種類と詳細度)にメリハリをつけ、限られたデータ分析リソースを最適に配分するデータ駆動型の手法です。専門資格を持つ有識者による120項目以上のセキュリティ評価(定義されたデータ収集・評価基準に基づくセキュリティ関連データ収集・分析)や、過去に評価された4,000以上のサービスに関するセキュリティ評価データの蓄積であるサービス評価データベースに加え、利用しているクラウドサービスに関する基本情報、構成情報、セキュリティ関連データなどを一元管理するクラウドサービス台帳機能や、組織のネットワークトラフィックデータやログデータを分析し、IT部門の管理外で利用されているクラウドサービス(シャドーIT)に関するデータポイントを検出するシャドーIT検知機能も備えた「Assured」のようなソリューションは、リスクベースアプローチによる効率的なクラウドリスク管理をデータ活用で支援します。業務影響度データと情報機密性データに基づく重要度判定基準の設定(リスク評価におけるデータ属性の定義とリスクスコアリングモデルの構築)から、リスク許容度(定義されたリスク基準データ)に合わせた評価プロセスの効率化(重要度判定基準というデータに基づいたデータ分析リソースの投入最適化)まで、DX推進とセキュリティ対策をデータに基づいて両立させる具体的な方法論を提供します。Assuredの導入実績(800社以上)は、そのデータ収集・分析・管理機能が多くの組織で評価されていることを示唆します。
近年、クラウドサービスの業務利用が急増し、企業の情報資産の保管場所がクラウド側に集約されるとともに、管理すべきデータの量と機密性が高いデータの割合が増加しているデータ管理上の課題が顕著になっています。近年では「CSPM(Cloud Security Posture Management)」を中心とした、クラウドセキュリティ対策を統合し、より広範囲でクラウドセキュリティをデータに基づいて維持・管理するCNAPP(Cloud Native Application Protection Platform)が重要視されています。例えば、「CNAPPサービス by Cyscale」のようなソリューションの実運用デモは、CSPM、CIEM(ID・権限データ)、DSPM(データセキュリティポスチャ管理)、KSPM(Kubernetesセキュリティポスチャ管理)といった異なるドメインのセキュリティ関連データを、CNAPPがどのように一元的に収集・統合・管理し、データに基づいた可視化とリスク評価を行う機能を持つかを示すものです。
しかし、CNAPPは多くのセキュリティイベントデータを検出するため、「誤検知(False Positive)」が多いと、検出モデルが生成するアラートデータにノイズが多く含まれているデータ品質上の課題が生じます。これにより、運用担当者が重要なアラート(真の脅威データ)を見落とすリスクが高まったり、リソースが頻繁に変更するクラウド環境では、動的に変化する構成データ、アクティビティログ、イベントデータなどを継続的に収集・統合し、リアルタイムで分析・可視化するデータパイプラインの構築・維持が困難であるデータ管理上の課題から、全体の可視性を確保するのが難しいなど、適切な運用にはデータ分析モデルのチューニング(誤検知削減)、データ収集設定の最適化(可視性向上)、データに基づいたアラート優先順位付けといったデータ分析の「コツ」が必要となるのが事実です。
こうした課題を解決するため、運用のしやすさと包括的なデータ管理能力を備えたCNAPPが重要視されており、CNAPPを上手に運用する方法の1つとして、CNAPPが収集するセキュリティ関連データの監視、分析、アラート対応といったデータ分析・運用業務を専門事業者にアウトソースすることで、組織内のデータ分析リソース不足を補い、データ駆動型セキュリティ運用の効率化と高度化を実現する、CNAPPのマネージドサービスでの活用というメリットが挙げられます。
データコンサルタントおよびデータアナリストの視点から、AWSクラウドセキュリティの様々な側面をデータ収集、分析、活用、自動化、データ管理責任といった観点から解説します。
AWS Well-Architected フレームワークは、適切なAWSのサービスを選択するうえで必要になる安全な実装とアプローチのガイダンスをデータに基づき提供し、これらのコアセキュリティプラクティスをワークロードに実装する場合に役立ちます。このフレームワークは、データに基づいたクラウドアーキテクチャ設計のベストプラクティスを提供します。
AWS Security Hubのようなサービスは、組織のセキュリティ体制をデータで維持するために重要な機能を提供します。デプロイされたアカウントとリソースに関する構成データ、アクティビティログ、脆弱性スキャン結果などのセキュリティ関連データを収集し、定義されたセキュリティベストプラクティス(AWS Foundational Security Best Practices標準)というデータ基準と比較して、データがセキュリティベストプラクティスから逸脱している場合(構成ミス、ポリシー違反など、データとして現れるリスク)を自動的に検出・評価します。これは、データに基づいた継続的なセキュリティ姿勢の評価(データドリブンなセキュリティポスチャ管理)を実現します。AWS Foundational Security Best Practices 標準では、クラウドセキュリティを継続的に改善するための実用的で規範的なデータガイダンスを提供しており、一連の統制を利用して、すべてのAWSアカウントとワークロードをデータに基づいて継続的に評価できます。
クラウドのセキュリティ基盤において、AWSが提供するすべてのサービスが実行されるインフラストラクチャの保護については、AWSが責任を担います。AWSのインフラストラクチャは、AWSのサービスが運用されているハードウェア、ソフトウェア、ネットワーキング、および施設で構成されていますが、AWSがホストオペレーティングシステムから施設の物理的なセキュリティまで責任を担うことは、これらの物理的および論理的なコンポーネントから生成されるデータ(ハードウェアログ、システムログ、ネットワークトラフィックデータ、物理アクセスログなど)の収集、保管、監視、分析、およびそれに基づく統制の適用責任をAWSが担うことを意味します。これにより、お客様側のデータ管理・運用負担は軽減されます。情報、ID、アプリケーション、デバイスが保護されている安心感は、AWSが提供するデータ保護と管理の基盤によって支えられています。
AWSのセキュリティアシュアランスは、データコンプライアンスの観点から重要です。AWSは業界を先導するクラウドプロバイダーとして、包括的なコンプライアンス統制を備え、広く認められたフレームワークおよびプログラム(ISO 27001, SOC 2など)を確立しています。これらの統制は、様々な規制フレームワークで要求されるセキュリティ関連データの収集、管理、報告に関する要件を満たしており、これらの統制を使用すると、世界中の規制当局のコンプライアンス要件を満たし、データ管理の観点から自動的に継承できます。このため、セキュリティアシュアランスの取り組みに要するデータ収集・報告にかかるコストを大幅に削減できるだけでなく、コンプライアンスおよび認定に関する独自のプログラムをデータに基づき強化できます。AWSのユビキタスなIT統制環境と世界中で運営する施設の有効性と効率的な運用については、サードパーティーの独立した評価によって、AWSの統制環境全体(データ管理、ポリシー適用、統制アクティビティなど)の様々な側面に関するデータ(監査報告書など)に基づき認められています。
プライバシーとは主に、誰がデータにアクセスできるかを制御することであり、これはデータアクセス制御ポリシーの定義・適用と、データへのアクセスに関するアクティビティモニタリング(アクセスログデータの収集・分析)を通じて実現されるデータ管理の側面です。AWSを使用すると、組織のコンテンツに誰がアクセスしていて、組織でどのリソースを消費しているかを、ユーザーID、アクセスログ、リソース利用データなどを収集・分析し、データに基づいたアクセス状況の可視化とリソース消費の追跡という形で必要なときにいつでも把握できます。このため、データに基づいた判断により、リソースへの適切なレベルのアクセスを常に提供できます。情報の保存先を問わず、アイデンティティとアクセスに対するきめ細かい制御と、リアルタイムに近いセキュリティ情報の継続的なモニタリング機能(データ収集・分析のリアルタイム性と継続性)を使用できます。
システム全体において構成変更やセキュリティイベントといったイベントデータを収集・検出するアクティビティモニタリングサービスを使用することで、リスク軽減(異常なイベントデータの特定・対応)と成長(システムの利用状況に関するデータ分析)を実現できます。これらのイベントデータには、誰が、いつ、どこで、何をしたかといった情報が含まれています。AWSのサービスを既存のソリューションと統合することは、AWSで生成されるセキュリティイベントデータを他のセキュリティツールやデータ分析基盤に連携し、データ統合と相関分析を可能にすることで、オペレーションとコンプライアンスレポート作成(収集・統合されたデータに基づくレポート生成)を簡素化することです。データプライバシーについて組織に適用される法律や規制は、国や地域によって異なりますが、これらの法令はデータ収集、処理、保存、利用、削除に関する要件を規定しており、AWSで実現する統制によって、これらのデータ管理要件への準拠が可能になります。
データコンサルタントおよびデータアナリストの視点から、クラウド戦略とセキュリティ戦略におけるデータ戦略の重要性、データ管理の課題、そしてデータプラットフォームが果たす役割について解説します。
セキュリティ戦略が欠如したクラウド戦略は、クラウド環境で生成・保存・処理されるデータに関するリスク(データ漏洩、不正アクセス、データ損失など)を適切に評価・管理できない計画となり、これはデータガバナンスとリスク管理のフレームワークが欠如している状態を意味します。
認証取得済みのクラウドベンダーは、データ保護、データアクセス制御、システム監視に関する特定のデータ管理・セキュリティ基準を満たしていることを第三者がデータ(監査報告書など)に基づいて証明しています。そのため、セキュリティ部門は安心して速やかに承認できます。クラウドベンダーは独自に厳格なコンプライアンス要件を満たしており、その規模を生かしたセキュリティ部門への投資力は、先進的な大企業を超えるほどです。クラウドベンダーは、データがどのように保存および処理されているかを可視化するツールも提供しており、ストレージ構成データ、アクセスログ、処理ログなどをユーザーがデータとして確認できる機能を有しています。インフラのセキュリティに費やすデータ管理・運用時間と費用を削減できるため、クラウドへ移行すれば、コスト削減と価値の迅速な実現にもつながります。
しかし、安全なプラットフォームでも適切に管理されていなければ意味がありません。Gartner社が述べるように、「問題はクラウド自体のセキュリティにあるのではなく、セキュリティのポリシーやテクノロジーと、そのテクノロジーの制御にあります。」これは、クラウドプロバイダーがインフラストラクチャレベルのデータセキュリティに責任を持つ一方で、プラットフォーム上で利用されるデータ(アプリケーションデータ、ユーザーデータ、構成データなど)やその管理に関する責任はユーザー側にあり、このユーザー側でのデータ管理(ポリシー適用、アクセス制御、監視、設定)の失敗がデータリスクの主な原因であることを示唆しています。組織のデータを保護するための管理に失敗しているのは、クラウドプロバイダーではなくユーザーであることが多いため、CIOは、クラウドが安全かどうかではなく、クラウドを安全に使用しているかどうか、すなわちクラウド環境で扱うデータを安全に管理できているかどうかを問題にしていかなければなりません。
クラウドは実際に強固なセキュリティ基盤を備えています。データの保存および処理に対して可視性もありますが、ある程度の不透明さも持ち合わせています。この不透明さは、従来のオンプレミス環境と比較して、基盤レベルでの詳細なデータに直接アクセス・分析することが難しい場合があることを意味します。この不透明さに加え、攻撃対象が広がることで、セキュリティ体制全体に関するデータ収集の範囲が拡大し、データ可視性の確保が難しくなる可能性があります。また、組織のデータが複数のクラウドと自社のデータセンターに分散されるようになり、セキュリティ関連データ(ログ、構成情報、脆弱性情報など)の発生源が分散し、データフォーマットが異なり、これらのセキュリティ関連データを統合的に収集・分析することがますます困難になります。そして、各部署がデジタル化を急ぎ、自分たちの要件を満たすのに注力するあまり、一般的なセキュリティ要件(データ分類、データアクセス制御、データ保持ポリシーなど)を見過ごすことは、全社的なデータガバナンスフレームワークが機能していない状態であり、部署ごとに異なるデータ管理手法が導入され、セキュリティポリシーのデータ適用に一貫性がなくなるリスクを高めます。これらすべてが全体的なリスクの増加につながります。特にネットワーク制御、アクセス管理システム、構成オプションに関するデータやその管理に精通していない場合は深刻です。では、誰がこのようなリスクを管理すべきでしょうか。これは、セキュリティ関連データの収集、分析、対応、そしてデータガバナンスプロセスにおける責任者を明確に定義する必要があることを示唆します。誰もリスクを管理していなければ、セキュリティ関連データが収集・分析されずに放置され、インシデント発生時のデータ調査や対応が遅れる事態に陥るデータ管理上のリスクがあります。
強力なクラウドセキュリティ戦略の基盤になるのは、強固なクラウドデータ戦略です。これらの戦略により、データガバナンスフレームワークに基づき、データの収集、保存、処理、利用、削除に関するポリシーをデータとして定義・適用・監視することで、データの統制を維持しながら、しかるべき職員がセキュリティ関連データの適切な管理者としてデータ分析に基づいたリスク評価や対応を実行できるようになります。この戦略の適用対象には、従来のセキュリティとの関連性が高い一般的な運用データ(システムログ、ネットワークログなど)だけでなく、顧客およびビジネスの機密データ(個人情報、財務情報など)も含まれます。
クラウド戦略とセキュリティ戦略は連携させて進めなければなりません。クラウド導入計画の初期段階からセキュリティに関するデータ要件(データ分類、保護レベル、アクセス制御など)を組み込み、協調的なデータ管理体制を構築することで、ビジネスニーズを満たしながら、別々のデジタル化プロジェクトに取り組むさまざまな部署間でのセキュリティ管理(データガバナンス、ポリシー適用、リスク管理)を一貫させることができます。また、各部署が一元化されたプラットフォームを使用し、アプリケーションの種類を問わず、さまざまな場所で発生した問題(セキュリティイベント、構成ミス、脆弱性など、データとして現れる問題)を特定して解決できるようにする必要がありますが、これはセキュリティ関連データを部署横断的に収集・統合し、単一のデータ分析基盤上で共有・活用できる体制の構築を意味します。
ベストプラクティスは、クラウド環境で生成される多様なセキュリティ関連データを収集、統合、分析、可視化するためのデータ基盤であるデータプラットフォームを調達して利用することです。そうすれば、統一されたクラウドセキュリティ対策(統合されたデータ分析結果に基づいたポリシーや手順)に基づく体制を敷くことができ、マルチクラウド環境全体のすべてのデータ管理において可視性(異なるクラウド環境に分散したセキュリティ関連データを統合的に収集・分析し、単一のダッシュボードなどで表示できる機能)が得られます。
データコンサルタントおよびデータアナリストの視点から、AWSのセキュリティサービスとJamfソリューションが、データ分析、データ管理、自動化といった観点から、セキュアなイノベーションといかに結びついているかを解説します。
AWSが提供するセキュリティサービスは、データに基づいた脅威検出と脆弱性特定を支援します。例えば、Amazon GuardDutyは、ユーザーの疑わしい行動をデータとして特定するために、機械学習(大量のユーザー行動データ、ネットワークトラフィックデータなどを分析し、異常パターンを学習)と予測モデル(学習したパターンに基づき将来の行動を予測)を活用し、より正確なデータに基づいた警告を生成します。Amazon Inspectorは、アプリケーションコードに関するデータ(コードの構文、構造、意味論)の詳細なセマンティック分析に機械学習モデルと自動推論(データに基づいた論理的な結論導出)を特徴として活用し、コードの脆弱性データ(セキュリティリスクデータ)を特定し、修復に必要なガイダンス(データ分析結果に基づいた推奨事項)を提供します。Amazon Detectiveは、複数のソースからのセキュリティイベントデータを自動的に関連付け、問題の説明を自動生成する(データ統合とサマリー生成)機能を持つことで、セキュリティチームがインシデントに関するデータから大局的な見解(データ間の関連性、攻撃経路など)やセキュリティ知識(データ分析に基づいたコンテキスト情報)を効率的に得ることを支援します。
セキュアなイノベーションを開始するには、有意義なイノベーションを信頼できるインフラストラクチャセキュリティと結び付けることが不可欠です。これは、新しい技術やサービス開発(イノベーション)において、データ収集、分析、保護、管理といったセキュリティに関するデータ要件を設計段階から考慮し、データに基づいたセキュリティを組み込む必要があることを示唆します。プロアクティブなセキュリティ戦略、すなわちリスクデータを事前に特定・評価し対策を講じるデータ駆動型のアプローチを実践し、セキュアでスケーラブルなインフラストラクチャを基盤としている組織は、ビジネスの成長に伴うデータ量の増加に対応しつつ、セキュリティ関連データの収集・分析基盤としてもスケーラブルであり、イノベーションカルチャーを実現し、今日の予測不能で常に変化する経済情勢に適応し、成功を収めています。Southwest Airlines、OutSystems、Panasonic Avionicsといった組織の成功事例は、データ駆動型セキュリティがイノベーションの基盤となり得ることを示唆しています。
AWSならセキュアにイノベーションを開始し、ビジネス全体でさらに大きなイノベーションをデータに基づいて創出することができます。AWSにはサーバーレスや機械学習機能をはじめとする200以上のフル機能のサービスがあり、これらは多様な種類のデータ(イベントデータ、ログデータ、アプリケーションデータ、機械学習モデルデータなど)を生成、処理、分析するための基盤を提供し、セキュリティに関するデータ活用を促進することで、お客様のセキュアなイノベーションを支援します。サーバーレスは、インフラ管理に関するデータ(サーバーログなど)の運用負担を軽減する一方で、アプリケーションの実行に関するデータやイベントデータの収集・分析は引き続き重要となります。機械学習機能は、セキュリティ関連データの高度な分析に活用できるツールを提供します。
Jamfソリューションもユーザーやデータを守るためにデータ活用を積極的に行っています。強固なクラウドベースの基盤に構築されたJamfソリューションのインフラストラクチャは、ハードウェア管理やサポート契約を必要とせず、複雑なソフトウェアインストールや構成も不要であり、デバイスに関するデータ(構成情報、健全性情報、利用状況データなど)を一元的に収集・管理するデータプラットフォームとしての利便性を提供します。すべてが一元化され拡張性にも優れたクラウドであることは、フリート規模やデバイス物理ロケーションに関わらず、デバイスに関するデータがサービス登録と同時に収集・保護されるデータ収集・管理の効率性とスケーラビリティを示しています。必要なのはネットワーク接続だけでデータ保護が始まることは、デバイスに関するデータの収集・保護プロセスがシンプルであることを示唆します。Jamfソリューションは、デバイスから継続的にセキュリティ関連データ(デバイス健全性データ、検出された問題に関するデータなど)を収集・分析し、データに基づいた自動修復ワークフローを実行することでエンドポイント(デバイス上のデータ)を保護し、デバイスのパフォーマンスを最適に保ってくれます。接続の暗号化は、通信されるデータの機密性を保護する措置であり、デバイスの健全性モニタリングは、デバイスの状態に関するデータを継続的に収集・分析し異常を検出する機能です。検出された問題を自動的に修復するワークフローは、データ分析によって特定された問題(リスクデータ)に対して、データに基づいた修復アクションを自動的に実行する機能です。デバイスのパフォーマンス最適化は、デバイスに関するデータ(リソース利用状況など)を分析し、データに基づいた調整を行うことによって実現されます。
データコンサルタントおよびデータアナリストの視点から、AWSのインフラストラクチャおよびアプリケーションレベルのセキュリティ機能が、データ保護、データ管理、データ分析といった観点から、セキュアなイノベーションをいかに支援するかを解説します。
セキュアなクラウドインフラストラクチャは、イノベーションを可能にする方程式の一部にすぎません。これは、ビジネスの成長に伴うデータ量の増加に対応しつつ、セキュリティ関連データを収集・分析するためのスケーラブルで信頼性の高いデータ基盤を提供することが、新しい技術やサービス開発(イノベーション)をデータ駆動型に進める上で不可欠であることを示唆します。このセクションでは、信頼性と創造性を高める多層的でプロアクティブなセキュリティ戦略の策定と実行に、AWSがどのように役立つのかを、データ活用機能の観点から探ります。策定と実行支援は、データ収集、統合、分析、リスク評価、対策立案といったデータ分析ワークフローを支援することを含みます。
極めてセキュアなインフラストラクチャで構築、実行、スケールすることは、データ保護の基盤となります。AWSでは、セキュリティを非常に重視する組織にも対応できるよう構築されたクラウドとネットワークアーキテクチャが利用できます。物理レイヤーでのデフォルトの暗号化といった組み込み機能(ストレージ上のデータに対する物理的なセキュリティをデータ暗号化によって強化)から、リージョンごとに完全に分離されたインフラストラクチャパーティション(異なるデータセットを扱う環境間でのデータの論理的な分離を保証)まで、AWSはクラウドでアプリケーションを構築、実行、スケールするための、保存データ、通信データ、処理中のデータといった多様な種類のデータを設計段階から安全に保護するためのデータ保護機能を提供する、極めてセキュアな環境を提供します。
先進的な組織は、AWSがデータを保護し、組織の評判を守り、リスクを軽減することに全幅の信頼を置いています。なぜならAWSは、データの保護能力だけでなく、常にイノベーションを行い、脅威進化に対応するために、収集された脅威データやインシデントデータ、脆弱性データなどを分析し、高い安全性を維持する強力なインフラストラクチャ(データ保護、データアクセス制御、監視・分析機能を含む)を開発しているデータ分析能力の高さに基づいているからです。
セキュリティを強化するAWSインフラストラクチャの機能には次のようなものがあり、これらはデータ保護に直接的に貢献します。
AWS Nitro System: Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの基盤全体で、ハードウェアデータ、ファームウェアデータ、稼働状況データなどを継続的にモニタリング、保護、検証(データ完全性チェックなど)することで、組み込みのセキュリティを提供する機能です。
AWS Nitro Enclaves: Amazon EC2 インスタンス内で、機密性の高いデータを保護して安全に処理するために、追加の分離環境を作成する機能です。これは、特定の機密データセットを分離された環境で処理することで、アタックサーフェスに関するデータポイントを大幅に縮小するデータ保護機能です。
AWS Graviton プロセッサ: Amazon EC2で最高のコストパフォーマンスを提供しながら、強化されたセキュリティ(サイドチャネル攻撃からのデータ保護など)、常時オンのメモリ暗号化(処理中のデータ保護)、各vCPUの専用キャッシュ(データ分離)、ポインタ認証のサポート(コード実行に関するデータ完全性検証)を備え、クラウドネイティブアプリケーションを実行するプロセッサです。これは、処理中のデータに対するセキュリティと、コード実行に関するデータ検証機能を提供することを意味します。
アプリケーションデータを保護することは、クラウド環境におけるデータ管理の中核です。AWSなら、お客様はデータの所有権を保持しながら(データに対する最終的な管理責任と制御権)、ゼロトラストの要件を満たし、データセキュリティポリシーを実装して、データの暗号化(保存中、転送中、使用中のデータに対するデータ形式変換による保護)、モニタリング(データアクセスログ、利用状況データ分析)、監査(データ利用履歴の記録とレビュー)を行うことができます。データセキュリティポリシーの実装は、データ分類、アクセス制御、保持、削除に関するポリシーをデータとして定義・適用・監視することを含みます。
AWSでは、お客様はデータの保存場所に関するメタデータ管理、保護方法に関するデータ保護設定の構成、アクセス権に関するデータアクセス制御ポリシーの定義といったデータ管理操作を通じて、データを管理できます。詳細に設定したセキュリティポリシー(データ属性やコンテキストに基づいた複雑なアクセス制御ポリシーの定義)や多層的な暗号化(データライフサイクルにおける各段階でのデータ暗号化)を使用して、転送中、使用中、保存中のデータを分離することは、データ保護戦略です。またAWSは、高度なアクセス、暗号化、ログ記録の機能(データアクセス制御、データ形式変換による保護、データ利用履歴の記録)など、お客様独自のプライバシーコントロールを実装できるサービスや機能で、プライバシーセーフガードの水準をデータ管理機能の強化を通じて継続的に引き上げています。AWSでは、サービス保守を含むいかなる目的であっても、担当者がお客様からの依頼を受けずにデータにリモートでアクセスすることを禁止しており、また当社のシステムはそのように設計されています。これは、お客様のデータに対する厳格なデータアクセス制御ポリシーが運用されており、データへのアクセスはデータに基づいた正当な理由と承認が必要であることを示します。唯一の例外は、特定のデータ利用目的(不正行為に関連するデータ分析、コンプライアンス関連データ収集など)に限りデータアクセスが許可される場合があることを示すもので、詐欺や不正行為の防止または法令遵守のために当社のアクセスが必要な場合のみです。
データの保護に役立つAWSインフラストラクチャの機能には、Nitro System、Nitro Enclaves、Gravitonプロセッサなどが含まれ、これらはハードウェアレベルでのデータ保護、データ分離、処理中のデータ保護といったデータ保護機能を提供し、データ保護の基盤を強化します。
データコンサルタントおよびデータアナリストの視点から、JamfソリューションとPanasonic Avionicsの事例を、データ管理、データ分析、データ活用、自動化、そしてそれらがもたらす具体的なビジネス成果の観点から解説します。
Jamfソリューションのデータ活用機能
Jamfソリューションは、一言で言えば、“頑張らずにスマートに働く”、つまり手動でのデータ収集、分析、管理、対応といった作業を減らし、データに基づいた自動化や効率化によって運用担当者の負荷を軽減するデータ駆動型ツールです。ZTNAアーキテクチャにとって不可欠な統合のひとつが、任意のクラウドIdP(Identity Provider)を介したシングルサインオン(SSO)によるユーザー認証を可能にしてくれる機能です。これにより、複数のアプリケーションやサービスに分散していた認証データやアクセスログデータを単一のIdPに集約・管理することを可能にし、データ管理の効率化と認証データ分析の集中化を実現します。ユーザーやデバイスの証明書管理(認証データ)やネットワーク手続き(ネットワーク構成データ管理)の手間が省けるため、これらのデータ管理タスクの運用負荷を軽減します。
これにより、各デバイスのネットワーク接続を効果的に活用し、「頑張らずにスマートにクラウドに接続」することが可能になります。これは、デバイスからのリアルタイムまたはニアリアルタイムの通信データやイベントデータを効率的に収集・分析し、セキュリティ状態や利用状況をデータに基づいて把握することを可能にします。オーバーヘッドが少ないということは、データ収集や処理にかかるリソース(CPU、メモリ、ネットワーク帯域)が少ないことを意味し、データ処理効率が高いことを示します。また、オーバーヘッドの点で言えば、Jamf Connectのエージェントはデバイスやユーザー、データに関するセキュリティ関連データ(構成、健全性、アクティビティなど)を収集する際に、最小限のリソースで実現できるように設計されており、データ収集プロセスにおけるリソース消費をデータに基づいて最適化しています。
JamfはOktaとAzureのネイティブサポートを提供していますが、これはこれらのIdPが管理する認証データやユーザー属性データといったID関連データをJamfソリューションが容易に連携・活用できるデータ連携能力の高さを意味します。Azureフェデレーション経由でGoogleやPingなどの主要なIdPもすべてサポートしていることは、さらに広範なIdPからのID関連データ連携を可能にします。
Jamfソリューションのセキュリティ機能におけるデータ分析
Jamfソリューションのセキュリティ機能は、データ分析に基づいています。アイデンティティ中心のセキュリティモデルは、ユーザーIDをセキュリティ境界として位置付け、認証されたユーザーIDに関連するデータ(認証ログ、アクセスログ、デバイス情報など)を分析し、データセンター、クラウド、SaaSアプリケーション間で一貫したポリシー(データアクセス制御ポリシー)が適用されるようにします。
アプリケーションベースのマイクロトンネルは、アクセスが許可されているアプリにのみユーザーを接続しますが、これはアプリケーションの利用に関するデータ(どのユーザーがどのアプリにアクセスしたか、いつ、どのデバイスからアクセスしたかなど)を収集・分析し、データに基づいたきめ細かいアクセス制御(データアクセス制御ポリシーの適用)を行っていることを意味します。マイクロトンネルは、最小権限のアクセスを適用し、ネットワークの横方向移動(攻撃者のシステム内部での横方向への移動としてデータパターンが観測される、セキュリティ侵害の一般的なベクトル)を防ぎますが、これはデータアクセス権限をアプリケーションレベルで制限し、システム内部での不正なデータ伝播やアクセスを防ぐデータ制御機能です。
Jamfの最新クラウドインフラストラクチャは、ハードウェアの管理やサポート契約の更新、複雑なソフトウェアの構成を必要とせず、セキュアなアクセスを可能にするためのデバイス管理さえ必要なくなるという点で、デバイスに関するデータ収集、構成管理、ポリシー適用といったデータ管理タスクを、クラウドベースのプラットフォームが自動化・簡素化し、手動でのデータ管理負荷を大幅に軽減しています。
Panasonic Avionicsのクラウド移行事例におけるデータ活用成果
航空会社向けの機内エンターテインメントおよびコミュニケーションソリューションの大手サプライヤーであるPanasonic Avionicsは、高まる顧客からの需要が既存のオンプレミスインフラストラクチャの限界を超えていたため、AWSパートナーと連携して、クラウドへの段階的なデジタルトランスフォーメーションに着手しました。同社がプロセスの中で一貫して追求した最重要目標は、トランスフォーメーションを経たクラウドデータシステムを完全にセキュアにすることであり、これはクラウドへのデータ移行、クラウド環境でのデータ生成・保存・処理、そしてデータアクセスに関するセキュリティをデータ分析に基づき確保することの重要性を強調しています。
同社はAWSの幅広いセキュリティサービスを使用して、脅威を継続的にモニタリングする(セキュリティイベントデータの継続的な収集・分析)ほか、レスポンスアクションの調整と優先順位付けを単一のハブで行う(データ分析結果に基づいたインシデント対応プロセスの調整と、リスクデータに基づいた対応の優先順位付けを、統合されたデータ可視化・管理ハブで行う)など、多くのことを実現しました。
今では、強力でセキュアなAWSアーキテクチャとAWSセキュリティサービスがあらゆる活動をデータ活用でサポートしているため、Panasonic Avionicsはリソースをはるかに効率よく利用できるようになりました。インフラストラクチャのコストは86%削減され、データストレージのコストも78%減少しました。これらの数値は、データ管理およびデータ保存にかかるコストがデータ活用効率向上によって大幅に削減されたことを示す具体的なデータ指標です。同社は、収集された運用データ、顧客データ、サービス利用データなどを高速でデータ分析してインサイトを引き出し、事実上無限にビジネス価値を創出しています。これは、データ分析能力を獲得し、データに基づいた意思決定や新しいビジネス機会の創出が可能になったことを意味します。また、かつては数週間または数か月を要していた業務も、今では数時間または数日で完了できるようになり、データ収集、処理、分析、レポート作成といったデータ関連業務の速度が大幅に向上し、データ活用効率が向上したことが、イノベーションや生産性向上に直接的に貢献しています。
データコンサルタントおよびデータアナリストの視点から、企業におけるクラウド利用とデータ活用、CNAPPの役割と運用課題、そしてソブリンクラウドが提供するデータ保護・管理機能について解説します。
企業成長を加速させるクラウドサービスの普及は、データに基づいたビジネス成果を広くもたらしています。現在、企業の約8割がクラウドサービスを導入しており、そのうち9割近くが業務効率化などの効果をデータとして実感しています。一方で、近年、クラウドサービスの業務利用が急増し、企業の情報資産の保管場所がクラウド側に集約されるとともに、管理すべきデータの量と機密性が高いデータの割合が増加しており、管理すべきデータがオンプレミスからクラウドへと物理的・論理的に移動・集中化しているデータ管理のトレンドが見られます。
こうした状況の中、近年では「CSPM(Cloud Security Posture Management)」を中心としたクラウドセキュリティ対策を統合し、構成データという主要なセキュリティ関連データを中心に、他のセキュリティ関連データ(脆弱性データ、ID・権限データ、アクティビティログなど)を統合・分析することで、より広範囲でクラウドセキュリティ posture をデータに基づいて維持・管理しようとするデータ駆動型のアプローチであるCNAPP(Cloud Native Application Protection Platform)が重要視されています。CNAPPは、この統合データ管理・分析プラットフォームです。例えば、「CNAPPサービス by Cyscale」のようなソリューションの実運用デモは、CSPM(構成データ)、CIEM(ID・権限データ)、DSPM(データセキュリティポスチャ管理、機密データ属性、データアクセスログなど)、KSPM(Kubernetesセキュリティポスチャ管理、Kubernetes構成データ、ワークロードデータなど)といった異なるドメインのセキュリティ関連データを、CNAPPがどのように一元的に収集・統合・管理し、データに基づいた可視化とリスク評価を行う機能を持つかを示すものです。
ただ、CNAPPは多くのセキュリティイベントデータを検出するため、「誤検知(False Positive)」が多いと、検出モデルが生成するアラートデータにノイズが多く含まれているデータ品質上の課題が生じます。これを削減するためには検出モデルのデータ分析的なチューニングが必要です。また、リソースが頻繁に変更するクラウド環境では、動的に変化する構成データ、アクティビティログ、イベントデータなどを継続的に収集・統合し、リアルタイムで分析・可視化するデータパイプラインの構築・維持が困難であるデータ管理上の課題から、全体の可視性を確保するのが難しいなど、適切な運用にはデータ分析モデルのチューニング、データ収集設定の最適化(可視性向上)、データに基づいたアラート優先順位付けといったデータ分析の「コツ」が必要となるのが事実です。
こうした課題を解決するため、運用のしやすさと包括的なデータ管理能力を備えたCNAPPが重要視されており、CNAPPを上手に運用する方法の1つとして、CNAPPが収集するセキュリティ関連データ(アラートデータ、構成データ、イベントデータなど)の監視、分析、アラート対応といったデータ分析・運用業務を専門事業者にアウトソースすることで、組織内のデータ分析リソース不足を補い、データ駆動型セキュリティ運用の効率化と高度化を実現できる、CNAPPのマネージドサービスでの活用というメリットが挙げられます。
重要情報を扱うシステムのクラウド化にあたって、一般的なクラウドサービスでは解決できないデータ保護やデータ制御に関する課題に対し、ソブリンクラウドがどのように対応できるかについても説明が必要です。ソブリンクラウドは重要情報システム向けであり、機密性レベルの高いデータに対するセキュリティ対策に特化しています。計算途上のデータも暗号化されている(処理中のデータに対するデータ暗号化による保護)ほか、システムの管理者が操作する管理インタフェースとの通信、およびベンダーの運用者が操作する管理インタフェースとの外部通信は暗号化保護されています(管理操作に関連するデータの通信経路におけるデータ暗号化)。さらに、管理者が利用したい外部のキー管理システムで発行された暗号キーを利用し、富士通のソブリンクラウド上のデータを暗号化できるため、外部からのセキュリティ攻撃や悪意のある運用者によるデータの持ち出しといったデータ侵害が発生した際にもデータを安全に守ることができます。外部キー管理システムとの連携は、データ暗号化に使用する暗号キー管理データに関する制御権をユーザー企業が持つこと、および暗号キー管理データと暗号化対象データとの分離を可能にするデータ管理機能です。
ソブリンクラウドは、ソブリンクラウドの要件を満たしながら、パブリックOCIの同等の最新機能をタイムリーに提供しますが、これは新しい技術要素に関するデータ(構成データ、イベントデータなど)への対応、およびそれらを収集・分析する機能が継続的に更新されることを意味します。このようにソブリンクラウドは、オンプレミスで稼働せざるを得なかった重要システムを運用している管理者や、移行後の運用におけるブラックボックス化(クラウド環境におけるデータ収集・分析の不透明性)を懸念しクラウドへの移行を躊躇している管理者に対して、より詳細なデータアクセスやデータ統制を提供することで有力な選択肢となり得ます。ソブリンクラウド環境におけるCNAPPの運用は、このような重要情報システムが生成するセキュリティ関連データを、ソブリンクラウドが提供する高いデータ保護・制御機能の下で収集・分析することを可能にします。
データコンサルタントおよびデータアナリストの視点から、Red Hatが提唱するソフトウェアサプライチェーンセキュリティとDevSecOpsが、データ収集、統合、分析、活用、そしてデータガバナンスといったデータ活用の観点からどのように実現されるかを解説します。
オンプレミス、ハイブリッド、マルチクラウドのいずれの環境においても、ソフトウェア・サプライチェーンのセキュリティ戦略をデータ駆動型でサポートするオープンソースソフトウェアを活用できます。ソフトウェア・サプライチェーンのセキュリティ戦略は、ソフトウェアの開発、ビルド、配布、デプロイといった各段階で発生するデータ(ソースコード、ビルドログ、依存関係データ、脆弱性スキャン結果、構成データ、デプロイログなど)を収集・分析し、潜在的なリスクデータ(脆弱性、悪意のあるコード混入、構成ミスなど)を特定・評価するデータ駆動型のアプローチです。Red HatのDevSecOps手法は、この戦略をデータ活用によって推進します。
Red Hat DevSecOps手法は、次のようなデータ活用のメリットをもたらします。統合されたセキュリティツールのエコシステムを活用して、ソフトウェア・サプライチェーンに関連する潜在的なリスクをデータとして特定し、評価できます。これは、コードスキャンツール、コンテナスキャンツール、構成管理ツールなど、ソフトウェアサプライチェーンに関連する多様なデータソースから生成されるセキュリティ関連データを統合的に収集・分析できる環境を構築し、潜在的なリスクデータを特定し、データに基づき評価する能力の向上を意味します。標準化され、統合されたセルフサービスポータルから利用できる厳選されたサービスを組み込むことは、データ収集プロセスやデータ分析ツールの標準化、および単一のポータルからのアクセスを提供することで、開発者や運用担当者がセキュリティ関連データや分析結果に容易にアクセス・活用できるようになり、データに基づいた意思決定やリスク対応を促進します。Red Hatは、30年にわたるエンタープライズ向けLinuxの経験と7年にわたるエンタープライズ向けKubernetesの経験に裏打ちされたセキュリティ、すなわち長年の運用データやセキュリティイベントデータ分析から得られた知見を提供します。また、DevSecOpsツールを通じてソフトウェア・サプライチェーンを保護するプロアクティブな手法を提供すること、つまり開発ライフサイクルの早い段階でセキュリティ関連データを収集・分析し、リスクデータ(脆弱性、設定ミスなど)を事前に発見・排除するデータ駆動型アプローチにより、運用上のセキュリティ要件(セキュリティ関連データの継続的な監視・管理)を維持しながら迅速なイノベーションをデータ活用で支援します。
セキュアなソフトウェア・サプライチェーンがあれば、顧客やユーザーは使用しているソフトウェアに関するデータ(ソフトウェアの出所、含まれるコンポーネント、既知の脆弱性の有無など)に対してより大きな信頼を寄せることができます。脆弱性データや脅威データがソフトウェアに入り込むリスクをデータ駆動型で低減することで、顧客ロイヤルティ(信頼性に関する顧客データ)とブランド評価(ブランドに関するデータ分析)が高まる可能性があります。また、顧客の好みの変化(顧客行動データ、フィードバックデータなど)に対応するため、ソフトウェアの新機能やアップデートをより迅速にリリースすることもできますが、これは開発ライフサイクルにおけるセキュリティ検証プロセスがデータに基づいて効率化・自動化されることで、開発からリリースまでのデータフローが高速化されることを意味します。
ソフトウェア・サプライチェーンのセキュリティソリューションの導入により、業界の規制や基準で要求されるセキュリティ関連データ(脆弱性情報、構成情報、アクセスログなど)の収集、管理、報告に関する要件をデータ駆動型で満たせるようになり、コンプライアンスを向上できます。Red Hatは、企業がコンプライアンス違反による高額な罰金や罰則を回避し、同時にソフトウェア全体の品質を向上させる支援をします。コンプライアンス違反というリスクデータ(監査データ、違反を示す構成データなど)を事前にデータ分析によって特定し、是正措置を講じることができるため、高額な罰金や罰則を回避できます。ソフトウェア全体の品質向上は、セキュリティ問題(脆弱性、バグなど)に関するデータ(テスト結果データ、脆弱性スキャンデータ、インシデントデータなど)を収集・分析し、製品の安定性や信頼性といったデータ属性を改善することを含みます。その結果、より安定した信頼性の高いソフトウェアをデータに基づいて作成し、ユーザーに影響を与えるセキュリティ問題をプロアクティブなデータ収集・分析手法により事前に発見することができます。
開発者は、クラウドベースのアプリケーションのあらゆる側面においてセキュリティスキャンとガイダンスを必要としています。これは、ソフトウェアパッケージ(パッケージデータ)、ツール(構成データ)、アプリケーション構成(構成データ)、インフラストラクチャ(構成データ)といったソリューションアーキテクチャ全体からセキュリティ関連データを収集し、分析(セキュリティスキャン)し、分析結果に基づいた推奨事項(ガイダンス)をデータとして受け取る必要があることを意味します。セキュリティ関連データ(脆弱性スキャン結果、設定情報、イベントログなど)の正確性に対する高い信頼が重要である点は、収集されるデータの品質がデータ分析結果の信頼性に直結することを意味します。全体的なセキュリティ戦略のために、複数のセキュリティデータソースと相互参照されるべきであるという点は、異なるソースから収集されたセキュリティ関連データを統合し、データ間の関連性を分析することで、より包括的で正確なリスク評価や脅威特定が可能になるデータ統合とデータ分析の重要性を強調します。
データコンサルタントおよびデータアナリストの視点から、AWSの様々なセキュリティ関連サービスが提供するデータ収集、分析、活用、自動化といった機能を通じて、組織がどのようにセキュリティを強化し、ビジネスのスピードと俊敏性を維持・向上させられるかを解説します。
AWSは、特定のサービスにおいて、データ分析に基づいた管理と最適化を支援する機能を提供しています。例えば、Amazon S3 Storage Lensは、オブジェクトストレージの使用状況データ(データ量、アクセス頻度、ストレージクラスなど)やアクティビティデータ(アップロード、ダウンロード、削除といった操作ログ)を組織全体で収集・分析し、傾向をデータとして可視化します。これにより、データ保護のベストプラクティス(収集された使用状況データや構成データ(バケットポリシー、暗号化設定など)を分析し、データ保護に関するリスクや改善点をデータに基づき提示)や、コスト最適化(使用状況データを分析し、データに基づいたコスト削減策を提案)に関する実践的なレコメンデーションが提供されます。Amazon CloudWatchは、AWS、オンプレミス、または他のクラウドで実行されているリソースとアプリケーションからメトリクスデータ、ログデータ、イベントデータといったモニタリングデータを収集・観測します。これらのモニタリングデータを分析し、異常(データパターンの逸脱)を検知すること、異常の真因を分析すること(収集された複数のデータソース間の相関分析)、データに基づいたアラームを設定すること、そしてアラーム発生時にデータに基づいた自動化されたアクションを実行することといったデータ分析・活用機能を提供します。
AWSでは、追加の保護レイヤーをデータ駆動型で迅速に、効率よく、大規模に適用できるため、セキュリティを一層強化し、新たな脅威や進化する脅威にデータ分析によって先手を打つことができます。セキュリティを「あらゆるレベル」で向上させることは、異なる種類のデータ(ネットワークトラフィックデータ、構成データ、イベントデータ、脆弱性スキャン結果など)に対応するセキュリティ対策を、データ収集、分析、対応の各段階で迅速かつ効率的に実施することです。AWSの広範なサービスと機能を使用すれば、不正なトラフィックフィルタリング(トラフィックデータ分析)、脅威や設定ミス検知(脅威データ、構成データ分析)、問題の自動修復(データ分析結果に基づいた自動対応)といった、データ収集・分析・活用に基づいた対策が可能です。
セキュリティを強化するAWSのサービスには次のようなものがあり、それぞれが特定のセキュリティ関連データの分析に特化しています。
AWSのネットワークとアプリケーションの保護:ネットワークトラフィックデータやアプリケーションログを収集・分析し、データに基づいた詳細なセキュリティポリシー(トラフィックパターンやアプリケーションの振る舞いに関するルール)を適用し、不正なリソースアクセスを防ぎます。
AWS Shield:DDoS攻撃に関するトラフィックパターンデータやネットワーク活動データをモニタリング・分析し、異常なデータ量を検出・緩和することでアプリケーションの可用性(サービス稼働状況データ)を高めるマネージド型のデータ保護機能です。
AWS WAF:ウェブアプリケーションへのリクエストデータ(HTTPヘッダー、ボディ、IPアドレスなど)を収集・検査し、悪意のある攻撃パターン(一般的なエクスプロイトやボットのデータパターン)をデータとして識別・ブロックすることで、可用性の低下、セキュリティの侵害、リソースの過剰消費を防ぐデータ分析・保護機能です。
AWS Network Firewall:仮想プライベートクラウド(VPC)間のネットワークトラフィックデータ(パケットヘッダー、ペイロード、フロー情報など)を収集・検査し、データに基づいたファイアウォールのルール(トラフィック属性に関するデータフィルター)を適用することで、ネットワークトラフィックを詳細に管理するデータフィルタリング機能です。
Amazon GuardDuty:AWSアカウントとワークロードからのイベントデータ(CloudTrailログ、VPC Flow Logs、DNSログなど)を継続的にモニタリング・分析し、機械学習や脅威インテリジェンスデータとの照合により悪意のあるアクティビティをデータとして検出する機能です。
AIと自動化がもたらすスピードと俊敏性は、セキュリティ関連データの収集、処理、分析、対応といったデータライフサイクル全体が、AIによる高度なデータ分析と、データ分析結果に基づいた自動化によって高速化・効率化されることで実現されます。AWSでは、セキュリティとコンプライアンスの統制が継続的に適用されるように、インフラストラクチャとアプリケーションのセキュリティチェックを自動化する制御を、組織全体で有効化できます。これは、構成データ、アクティビティログ、コンplianceチェック結果データなどを継続的に収集し、定義されたセキュリティ基準や規制要件に関するデータ(ルール)と自動的にデータ照合を行い、逸脱をデータとして検出・報告する機能です。これにより、セキュリティが最高レベルであることを、収集・分析されたデータに基づき定量的に示すことが可能になります。
俊敏性の促進に役立つAWSのサービスは、セキュリティ関連データの収集、分析、活用、自動化といった機能を提供することで、セキュリティ検証プロセスを効率化し、ビジネスの俊敏性(データ駆動型開発・運用)を促進する役割を果たします。