国も推奨する情報セキュリティ対策で、「ガバメントクラウド」に備えよ

※下記は自治体通信 Vol.62(2024年12月号)から抜粋し、記事は取材時のものです。

令和7年度末までに、税関連など20業務についてガバメントクラウドへの移行が求められている自治体では、AWSやAzureといった対象となるクラウドサービスの利用準備を進めている。そうした状況のなか、「クラウドサービスはアップデートサイクルが早いぶん、情報セキュリティ対策の難易度が非常に高い」と指摘するのは、IT事業を手がける伊藤忠テクノソリューションズの鈴木氏だ。同社の平賀氏を交え、指摘の詳細とその解決策について聞いた。

セキュリティ対策の専門家が「設定ミス」を犯すことも

―クラウド運用にあたり自治体が留意すべき点を教えてください。

鈴木　「セキュリティ対策の重要性」はみなさん意識していると思いますが、そのなかで、「クラウドセキュリティ対策の難易度は非常に高い」という認識を持っておくべきでしょう。というのも、クラウドのセキュリティ事故は「設定ミス」を起因とするケースが多いのです。クラウドは、オンプレミスと比べて機能のアップデートサイクルが早いため、ITベンダーのセキュリティ対策の専門家でさえ、仕様を正しく把握できずに設定を誤ってしまうことがあるほどです。さらに、クラウドネイティブのリソースに対する知識・対策が不十分なケースも多く、その結果、ストレージの公開範囲を誤って設定するなどしてしまい、機密情報の漏洩事故などが起きるのです。

平賀　クラウドのセキュリティ設定は複雑多岐にわたるだけでなく、クラウドサービスごとに最適な設定方法などが異なることも、「難しさ」に拍車をかけています。

―どうすればいいのでしょうか。

鈴木　人手に頼った方法では限界があるため、セキュリティ監視ツールの導入は有効です。そのなかで、当社は『Prisma Cloud』というツールを提供しています。

―どのようなツールでしょう。

鈴木　世界的なサイバーセキュリティ企業のPalo Alto Networks社が開発した、クラウドセキュリティをトータルにサポートするCNAPP*の一種で、クラウドの設定ミスを防ぐCSPM*の機能が搭載されています。国が発行したガイドライン*でも、クラウドの設定不備対策でCSPMの導入が推奨されています。CSPMは、各クラウドのAPIを定期的に実行することで、クラウド側の設定を自動的に可視化し、セキュリティの設定ミスや脆弱性などを24時間・365日体制で監視します。なかでも『Prisma Cloud』は、マルチクラウド対応が特徴のCSPMにおいて、Palo Alto Networks社が機能強化に向けた投資を積極化しており、対応可能なクラウドサービスの多さに特徴があります。さらに、クラウド側のアップデートサイクルにより迅速に対応できる強みもあります。

平賀　設定ミスなどが発見された場合、『Prisma Cloud』から即座にアラートが発せられるわけですが、私たちは、クラウドセキュリティ確保のためには、ツールの導入だけでなく、もう1つ重要なことがあると考えています。

*CNAPP: Cloud Native Application Protection Platformの略。クラウドセキュリティ対策のオールインワンプラットフォームのこと
*CSPM: Cloud Security Posture Managementの略。クラウド環境全体のセキュリティ設定を監視するソリューション
*総務省「クラウドサービス利用・提供における適切な設定のためのガイドライン」(令和4年10月公表)

対応の遅れが事故につながる

―重要なこととはなんですか。

平賀　クラウドセキュリティに精通した専門家の活用です。先述の通り、クラウドセキュリティ対策は難易度が高いため、『Prisma Cloud』からのアラート内容や具体的な対処方法の理解がとても難しいのです。そのままでは、セキュリティ担保に向けての具体的な行動を取れないといった問題が生じます。そこで当社では、クラウドセキュリティの専門家を通じて、自治体担当者に『Prisma Cloud』からのアラート内容を理解しやすく報告し、推奨対策も具体的に通知する体制を用意しています。じつは、CSPMからのアラートへの対応の遅れにより、セキュリティ事故につながるケースもあるのですが、当社では専門家も活用して万全の体制構築を目指しています。

鈴木　いわばハード面とソフト面の両輪で、自治体のみなさんが安心してガバメントクラウドの対象クラウドサービスを利用できるよう支援します。ぜひご連絡ください。