新しい用語や概念が次々現れるのがサイバーセキュリティの業界だが、いざそれらの言葉をネットで調べると、調べれば調べるほどよくわからなくなることがままある。
たとえば「クラウドセキュリティ」で検索すると「注意すべきクラウドのリスクと 3 つの対策方法」といった、徳丸さんが眉をひそめそうな、主に人よりも SEO のために作られた記事ばかりがぞろぞろと出てきて、それぞれよく書かれているし新たな情報もあるのだが、腑に落ちるという感覚がついぞ得られたためしがない。
こういう時代、逆に人に直接会って話を聞くということの価値が上昇していると思う。
キヤノンITソリューションズ株式会社 サイバーセキュリティラボ・セキュリティリサーチャー 市原 創(いちはら はじめ)氏は、3 月に東京駅南口から(信号が青なら)徒歩 30 秒の KITTE で開催される Security Days Spring 2025 で「他人事ではない、あらゆる組織で必須となったクラウドセキュリティ対策~多種多様なソリューションをどう選ぶか」と題した講演を行う。
クラウドセキュリティの「5 つの対策」だの「8 つのポイント」だの「4 つの柱」だのを目にして「いったいいくつなんだよ!」と叫ぶのを必死でこらえている情報システム部門やセキュリティ担当に向けて、現在のクラウドセキュリティの対策について整理して俯瞰するような内容だ。
本誌の市原氏の取材は今回で 2 回目。見た目は学者か進学校の物理の先生といった風貌で、きちんと自分の頭を通して理解したうえで話をする人物で、その語りぶりは冷静・平熱・低血圧で非常にわかりやすい。メリットや魅力を語るのではなく「事実を伝える」系の人だ。講演準備中の市原氏に話を聞いた。
── 今回の講演テーマは、クラウドセキュリティの課題ですね。
クラウドセキュリティに限らず、キヤノンITソリューションズ株式会社のサイバーセキュリティラボでは、定期的にさまざまなインシデント情報を収集し分析を行っています。
そこから見えてくる傾向としては、やはり設定ミスや権限管理の緩さといった、適切な設定ができていないことが原因でインシデントが発生するケースが非常に多いということです。これが第一の課題です。
クラウドとはいえ、基本的にはオンプレミスの IT 資産と受ける脅威に大きな違いはありません。ただし、管理方法やアクセス権限の管理手法が変化し、より手軽になった点が特徴です。手軽さはメリットである一方、すべてオンラインで設定ができるため、セキュリティ上のリスクにもなり得ます。
たとえば昔は、情報システム部門を通さなければサーバをホスティングできませんでしたが、今では各部門が独自に AWS などのクラウドサービスを契約してその日のうちにサーバを立てることが可能になっています。
一方ですべてを厳格に管理しようとすると利便性が損なわれるため、情報システム部門としては大きなジレンマを抱えているのではないでしょうか。利便性を確保しつつ、IT 資産を効率的に管理し、なおかつセキュリティを確保することが、現在直面している大きな課題です。
── クラウドセキュリティについて整理する講演のテーマは CNAPP 製品だそうですが、ここ 1 ~ 2 年でよく耳にするようになりましたがそもそも CNAPP とは何でしょうか?
CNAPP(Cloud-Native Application Protection Platform)という言葉は比較的新しく、クラウドセキュリティの重要性が高まる中で、近年登場した概念です。そのため、各社が「CNAPP」と称しているものの、実際の内容には違いがあることが多いです。
たとえば、CSPM(Cloud Security Posture Management)はクラウド環境の設定を可視化し管理するソリューションですが、CNAPP はそれを包括する概念です。
クラウドネイティブなアプリケーションを構築し提供する企業にとっては、CSPM のような設定管理に加えて、権限管理、ワークロードの監視、コンテナのセキュリティ管理など多くの要素が必要になります。それらを統合的に可視化して脆弱性を発見・管理できるのが CNAPP です。
CNAPP には、CSPM、KSPM(Kubernetes Security Posture Management)、データセキュリティ管理、ワークロード保護プラットフォームなど、複数のソリューションが統合されていることが一般的です。ただし、各社の CNAPP にはそれぞれ強みと重点が異なるため、導入時にはその違いを理解することが重要です。
── ということは「この CNAPP はコンテナには弱い」といったこともあるのでしょうか?
はい。そういったことはあると思います。コンテナのセキュリティを提供しているとしてもレベル感には違いがあります。たとえば「コンテナの中身を実際に動作させ結果を検証する」ところまで対応する製品もあれば「設定の確認のみを行う」といったレベルにとどまる製品もあります。一言で「コンテナのセキュリティ」といっても、そのアプローチには違いがあるのです。
── キヤノンITソリューションズが Cyscale という CNAPP 製品を選択した理由を教えてください。
「Cyscale(サイスケール)」は、イギリスを拠点にサービスを展開しており、特にヨーロッパの中堅中小企業向けに強みを持つ企業です。
提供するソリューション自体は大手の製品と大きな違いはありませんが、ユーザーインターフェースの使いやすさ、分かりやすさ、導入のしやすさに優れています。さらに、コストパフォーマンスが良く、安価で手軽に導入できる点が特徴です。
たとえば、クラウドサービスを提供する中小企業やスタートアップが、自社のクラウド環境のセキュリティを確保するために容易に導入することができます。また、現状のセキュリティ状態を診断したい、といったニーズにも柔軟に対応できる点が強みです。
弊社では「SOLTAGE(ソルテージ)」という IT インフラソリューションを統合ブランドとして展開しており、その中のクラウドセキュリティのピースとして Cyscale を採用しました。
Cyscale を活用して、マネージドサービスとして定期的にクラウドセキュリティの管理や報告を行ったり、スポットサービスとして現時点でのクラウドセキュリティ状況を把握したいお客様向けの診断サービス等を提供しています。
── CNAPP についての説明がとても分かりやすかったです。半分冗談で半分本気ですが、市原さんが YouTube チャンネルを開設すると、人気が出ると思います。新しいセキュリティの話題を解説するシリーズをやってほしいと思います。難しいことを平易に説明されること自体が非常に楽しい経験だと思いました。
クラウドセキュリティの分野では新しい用語が次々に生まれ、混乱を招きやすい状況にあります。これは私自身も課題として認識しており、講演のテーマの一つとして、「多様なソリューションが存在する中で、どれを選べばよいのか」という指針の不足についてもお話ししたいと考えています。
── 講演だけでなくブース出展もありますね。
ブースでは Cyscale の画面イメージを実際にご覧いただけるよう準備しています。また「SOLTAGE」のラインナップもご案内可能です。具体的には、ID管理の「ID Entrance」、ランサムウェア対策の「AppCheck」、「CATO SASE」などを展示しています。中堅中小企業から大手企業まで、幅広いユーザー層に対応できる内容となっております。
また、今回はグループでの出展となっており、すぐ隣のブースにはキヤノンマーケティングジャパン株式会社も出展していますので、あわせてご案内できればと思います。
── ありがとうございました
Security Days Spring 2025
3.13(木) 09:40-10:20 | RoomA
他人事ではない、あらゆる組織で必須となったクラウドセキュリティ対策~多種多様なソリューションをどう選ぶか
キヤノンITソリューションズ株式会社
サイバーセキュリティラボ・セキュリティリサーチャー
市原 創 氏
