サーバセキュリティの課題とクラウド活用のポイント

オンプレミス運用の課題

オンプレミス環境でサーバを運用する企業は、セキュリティ確保のために多くの課題に直面しています。以下のような課題は、IT部門の業務効率を低下させ、ビジネスの成長を阻害する要因ともなり得ます。

セキュリティ対策の負担増大

オンプレミス環境では、「カスタマイズ性の高い独自のセキュリティ要件」を満たすよう設計することが可能です。自社のビジネス特性に合わせた、きめ細やかなセキュリティ対策を講じられるのは大きな利点といえるでしょう。ただし、その分、運用負荷が高くなる傾向にあります。

サイバー攻撃は日々進化を遂げ、企業はその対策に追われ新たな脅威に対応することが求められています。脆弱性対策やログ分析など、セキュリティ業務に多大な工数を割かれ、本来のビジネス課題に取り組む時間が削がれてしまいます。

クラウド環境、オンプレミス環境を問わずOSやソフトウェアの定期的な更新は必要不可欠ですが、オンプレミス環境ではこれらに加えて、自社で機器を保有しているがゆえの負担が発生します。サーバやネットワーク機器などのハードウェアの保守、運用管理、障害対応、性能チューニングなどの専門的な作業が必要になります。

セキュリティ人材の不足

高度なセキュリティを確保するには、専門人材の確保と育成が必要となります。特にカスタマイズ性の高いオンプレミス環境で高度なセキュリティ対策を実現するには、専門的な知識を持つセキュリティ人材の確保が欠かせません。しかし、こうした人材は業界全体で不足しており、育成にもコストがかかります。

インフラ投資とメンテナンスコストの増加

オンプレミス環境では、高度なセキュリティを実現するために、専用のセキュリティ機器の導入が必要となります。これらの機器の調達には多額の初期投資が必要であり、企業の財務的負担となります。

また、ネットワークとセキュリティを別々に管理する必要があるため、運用の複雑さが増し、管理コストの増加につながります。それぞれの機器やソフトウェアのバージョンアップ、パッチ適用、設定変更など、多岐にわたる管理作業が発生するため、専門スキルを持つ人材の確保も必要です。

クラウド活用のメリットと特徴

クラウドサービスは、インターネット経由でサーバ、ストレージ、ネットワークなどを利用できるサービスです。セキュリティ面でのメリットが数多くありますが、一方でオンプレミスとは異なる特徴も理解しておく必要があります。

高度なセキュリティ機能の活用

クラウドサービスでは、個別企業では導入が難しい高度なセキュリティ機能を手軽に利用できるようになります。例えば、不正アクセスの検知と防御、マルウェア対策、DDoS攻撃対策など、高度な脅威に対抗するための機能が提供されています。こうした機能を社内で一から開発するには、膨大な時間とコストがかかります。クラウドを活用することで、最新のセキュリティ技術を速やかに導入できるのです。

運用負荷の軽減

クラウドサービスのメリットのひとつが、セキュリティ対策にかかる運用負荷の軽減です。クラウド事業者が提供するマネージドサービスを活用することで、セキュリティ運用の多くを委託可能です。

これにより、社内のIT担当者は、より戦略的なセキュリティ施策の立案や、ビジネス課題の解決に注力できるようになります。

クラウド活用時の留意点

クラウドサービスは、セキュリティ強化の有力な選択肢である一方で、従来とは異なるリスクも存在します。クラウド活用に踏み切る際には、以下のようなリスクを正しく理解し、適切な対策を講じる必要があります。

カスタマイズ性の制約

クラウドサービスは、事業者が提供するサービス仕様の範囲内で利用することが基本となります。そのため、自社固有の要件にきめ細かく対応することが難しい場合があります。特に、レガシーシステムとの連携や、特殊なデータ処理が必要なケースでは、クラウドサービスの利用に制約が生じる可能性があります。そのため、クラウドサービスの選定にあたっては、自社の要件を満たす柔軟性やカスタマイズ性を備えているかを、入念に確認する必要があります。

データの取り扱い

クラウドサービスの利用において、ユーザーの「データの取り扱いに関する懸念」は根強く存在します。機密情報をクラウド上に預けることへの抵抗感から、クラウド移行に二の足を踏む企業も少なくありません。クラウドサービス事業者の本拠地やデータの保管先となるデータセンターの所在国によって、「データ保護の法制度」が大きく異なる点が、ユーザーが感じる不安のひとつです。

例えばアメリカに本拠地を置く企業の場合、「クラウド法（クラウドアクト）」により、アメリカ政府から合法的にデータの閲覧や差し押さえを要求される場合があります。日本国内の利用者であっても、データがアメリカ企業のサーバに保管されている場合、アメリカ政府による要求の対象となる可能性があります。この点は、多くのユーザーにとって大きな懸念事項といえるでしょう。

こうした法制度の違いを理解し、自社のデータ保護方針に合ったクラウドサービスを選ぶことが重要となります。

適切なサーバセキュリティ運用を実現するには

オンプレミスやクラウドに関わらず、サーバセキュリティの適切な運用を実現するためには、以下のような取り組みが重要です。

自社に適したサーバ環境の選択

適切なサーバセキュリティを実現するためには、自社のビジネス要件とセキュリティ要件に合ったサーバ環境を選択することが重要です。オンプレミスとクラウドは、それぞれ固有の特徴を持っています。例えば、機密性の高いデータを自社で厳重に管理したい場合や、レガシーシステムとの連携が必要な場合は、オンプレミス運用が適している場合があります。一方、スケーラビリティや柔軟性が求められるケースでは、クラウドサービスの活用が有効です。

自社の状況を踏まえ、オンプレミスとクラウドの適切な使い分けをおこなうことが重要となります。運用方法として、機密情報はデータセンターで管理し、他のデータやアプリケーションはクラウドで運用するといった、「ハイブリッド環境の構築」も有力な選択肢のひとつです。セキュリティと利便性のバランスを取りつつ、最適な形でクラウドを活用することが求められます。

信頼できる委託先の選定と管理

サーバ運用を外部委託する場合、委託先の選定と管理が重要です。委託先選定にあたっては、セキュリティ対策の内容やSLA（サービス品質の保証）、データ取り扱いに関する契約条項などを入念に確認することが大切です。加えて、委託先の技術力や運用体制も重要な判断材料となります。自社のセキュリティポリシーに合致し、長期的に安定したサービスを提供できる事業者を選びましょう。

また、委託開始後も定期的にサービス状況をレビューし、監査を実施することが重要です。SLAの遵守状況や、セキュリティインシデントの発生状況などを継続的にモニタリングし、必要に応じて改善を求めていく必要があります。

継続的なセキュリティ対策の強化

セキュリティ対策は、一度構築すれば完了というものではありません。新たな脅威の出現やビジネス環境の変化に合わせ、継続的なセキュリティ対策の強化が必須です。クラウドサービスの利用では、クラウド事業者が提供するセキュリティ機能のアップデートに随時対応し、自社に必要な設定変更を速やかにおこなうことが重要です。また、クラウドサービス固有の脆弱性などの情報にもアンテナを張り、適切な対処を講じる必要があります。

オンプレミス環境においても、OSやミドルウェアの脆弱性対策、ログ分析による不審な兆候の検知など、継続的なセキュリティ対策が必要です。加えて、セキュリティ対策の自動化や効率化を進めて、運用負荷を最適化していきましょう。

まとめ

オンプレミス環境でのサーバ運用は、セキュリティ対策の負荷増大や人材不足、コスト増加など、さまざまな課題に直面しています。クラウドサービスはこれらの課題を解決し、高度なセキュリティ対策を実現する有望な選択肢です。ただし、クラウドならではの課題もあることから、慎重な検討と適切な対策が必要です。

自社のビジネス要件とセキュリティ要件を見極め、最適なサーバ環境を構築することが重要です。しかし、セキュリティ対策に終わりはありません。脅威は日々変化しており、対策も常に進化させる必要があります。信頼できるパートナーとともに、継続的に改善を積み重ねることが求められます。

オプテージの「ユーティリティ クラウド」「オプテージ コネクティビティ クラウド・ストレージ（OCCS）」は、国内データセンターの利用でデータ所在を明確にしつつ高いセキュリティを確保し、使いやすさと柔軟性を兼ね備えたクラウドサービスです。業務推進に不可欠な複数のアプリケーションをクラウドサービスで利用可能なため、お客さまでサーバなどの設備を所有する必要がなく、運用管理の負担を低減し、コスト削減を実現します。

オンプレミスからクラウドへの移行、ハイブリッド環境の構築など、お客さまの状況に合わせて最適なソリューションをご提案いたします。また、ユーティリティ クラウドが提供するサービスログの収集や監視、分析を24時間365日体制でおこなう「マネージドセキュリティサービス ゲートウェイ監視」もご用意しております。

サーバセキュリティで課題を抱えているお客さまは、ぜひ一度、オプテージにご相談ください。長年のクラウド運用で培ったセキュリティ対策のナレッジをもとに、お客さまの課題解決を強力にサポートいたします。

◎製品名、会社名等は、各社の商標または登録商標です。