©2024 Akamai Technologies
クラウドインフラのセキュリティ確保と顧客からの信頼の獲得
多くのエンタープライズ・ソフトウェア・プロバイダーと同様、Openlink もオンプレミスでの製品提供やサポートからパブリッククラウド展開へと IT 変革を進めています。この種のプラットフォームとしては業界初となる同社の Openlink Cloud は、Microsoft Azure を通じてサービスを開始しました。
Openlink のバイスプレジデント兼最高情報セキュリティ責任者である Michael Lamberg 氏は次のように述べています。「当社がパブリッククラウドに移行する主な動機は 2 つありました。当社のソフトウェアは大量の処理を必要とするため、お客様はたいていピーク処理容量に合わせてコンピューティング環境を構築します。そのため、設備投資額が非常に大きくなるのです。パブリッククラウドに移行すれば、ピーク需要時にアプリケーションを自動拡張できるため、お客様は使用していない容量にコストをかけずに済みます」。
「第 2 に、当社のお客様は通常、当社のソフトウェアとクライアントアドオンの新バージョンをテストするために、いくつかの Dev Test(開発)環境を維持しています。パブリッククラウドを使用すれば、テストに必要となった時に環境をスピンアップし、テストが終了したら削除するといったことが簡単にできるので、コストを最小限に抑えることができます」。
もちろん、クラウドに移行すれば、セキュリティに関する新たな心配も生じます。機密性が高く戦略的な顧客データは攻撃者の標的となる可能性があり、Openlink にはこのようなデータを保護する責任があります。パブリッククラウドのサイバーセキュリティは、責任共有モデル(クラウドプロバイダーが限定的なセキュリティ対策を提供し、それらは厳格な監査と認定の対象となる)で運用されるため、クラウドの顧客(このケースでは Openlink)は、最終的に自社のデータとプロセスを保護する責任を有します。
Lamberg 氏は次のように述べています。「大手クラウドプロバイダーは、大規模インフラのセキュリティを確保する能力に関して、この 5 年間に大きく進歩しました。多くの企業が自社のデータセンターを管理していますが、大手クラウドプロバイダーの方がはるかに優れています。しかし、それらはみな、信頼共有モデルで運用されています。Azure のセキュリティ認定は現在、世界最高レベルと考えられますが、当社の実装から私たちを守ってくれるわけではありません」。
Openlink は、同社とそのお客様の必要性に合わせてカスタマイズされたリスク緩和レベルを提供するためにはサードパーティのソリューションを使用して Azure のセキュリティインフラを強化する必要があると認識しました。「当社はお客様に対して、Azure は実行すると言っていることを確実に実施すること、および当社がその上にセキュリティレイヤーを追加することで、クラウドにホストされている当社のお客様のデータと環境全体を多重防御で強化していることを証明しなければなりません」。
Akamai Guardicore Segmentation
Openlink Cloud 立ち上げの約 1 年前に Akamai Guardicore Segmentation を導入した Lamberg 氏は、その後すぐに、このソリューションが同社のクラウド・セキュリティ・インフラの強化に役立つことが分かりました。Akamai Guardicore Segmentation は、複数のインフラの重大な盲点、つまりファイアウォールや侵入防止システムを通り抜けた侵入者のラテラルムーブメント(横方向の移動)に対処できるように設計されています。このソリューションは、横方向の疑わしい異常の検知に重点が置かれており、重大な損害を及ぼす前に不正行為を確認し、封じ込めます。
Lamberg 氏は次のように述べています。「辛いことですが、パブリッククラウドに移行すると、ネットワーキングやインフラに関するこれまでの知識はすべて捨て去った方がよいとわかります。こうした知識が適用できなくなる理由は 2 つあります。まず、Azure で仮想化されたインフラスタックの下位層は制御できなくなり、これらにアクセスすることもできません。第 2 に、インフラの運用状況の分析に使用していたツールが変わります。そのことを頭に入れておかねばなりません。これまでとは違い、従来のネットワーキングに関するスキルや経験はまったく役立ちません。すべてが初めてなのです」。
Lamberg 氏によると、結果的に Akamai Guardicore Segmentation は Openlink の主要なセキュリティテクノロジーの 1 つになりました。「おかげで、私たちは Azure が効率的かつ効果的に役割を果たしているかどうかを検証しながら、環境が適切に隔離されていることを保証できます」。
優れた可視性と診断
仮想化されたクラウドベースのインフラへの移行により、Openlink のセキュリティチームは、アプリケーションアクティビティをきめ細かく把握する必要性に迫られました。このプラットフォームは主な機能として、コンピューティング環境内のすべてのワークロード、フロー、プロセスを可視化できます。
これについて Lamberg 氏は次のように説明します。「私たちはパブリッククラウド内にいますが、マルチテナントではありません。当社の顧客それぞれに単一のテナント環境を構築しています。そのため、各顧客のインフラ内で水平方向に移動しているものを完全に把握する必要があります」。
Lamberg 氏は、Akamai Guardicore Segmentation を活用する主なユースケースを 2 つ挙げています。その 1 つは DevTest です。これにより、お客様は仮想マシンをすばやく簡単にスピンアップし、Openlink のアプリケーションを本番環境に移行する前にさまざまな設定でテストできます。異常が発生した場合、Lamberg 氏のチームは Akamai Guardicore Segmentation を使用してすべてのフロープロセスを把握し、ホストの観点から状況をすばやく明確に分析できます。
「これが役立つのはセキュリティ問題だけではありません」と Lamberg 氏は言います。「設計や設定の不具合がある場合や、顧客が誤ってマルウェアをロードし、突然コマンド & コントロールの接続試行を把握した場合などにも役立ちます。このソリューションは、こうした異常を即座に隔離し、これまでには考えられなかったような明確さで表示します」。
Akamai Guardicore Segmentation に関するもう 1 つのユースケースは、サポート対象である顧客の本番環境を Openlink が管理する場合です。Lamberg 氏は次のように述べています。「当社のアプリケーションは複雑ですが、非常に確定的です。つまり、私たちは、顧客をサポートしている当社のサーバーそれぞれが実行すべきフローとプロセスをすべて把握しています。これにより、顧客環境のベースラインを生成できます。Akamai Guardicore Segmentation は、ベースラインから外れたプロセスやフローを検知するとすぐに警告してくれます」。
このように問題をすばやく「トリアージして診断する」能力は、Akamai Guardicore Segmentation の重要な利点であると Lamberg 氏は指摘します。未知のプロセスやフローが出現した場合、Akamai Guardicore Segmentation のようなツールがなければ、隔離は不可能ではないとしても非常に困難です。未知のプロセスやフローは単にソフトウェアの問題を示す場合もありますが、それよりはるかに悪いことが生じている可能性もあります。「当社の環境に誰かが侵入できる可能性はほとんどありませんが、このような状況に対処できる事前対応型のメカニズムが確立されているという保証が必要なのです。Akamai Guardicore Segmentation は、まさにそのような機能を提供してくれています」。
Lamberg 氏は Akamai Guardicore Segmentation のマイクロセグメンテーション機能にも魅力を感じました。この機能があれば、セキュリティオペレーターは、個々のアプリケーションやプロセスまたはそれらのグループにセキュリティポリシーを設定できます。Lamberg 氏は次のように指摘します。「最近の攻撃は、たいてい横方向に移動します。あるマシンで足がかりを得ると、他のマシンへと横方向にジャンプするのです。この問題に先手を打つためには、すべてのマシンを適切に制御し、マシン間の相互作用を監視できなければなりません」。Lamberg 氏は、Openlink が今後マイクロセグメンテーションを導入することになった場合、このプラットフォームの機能により、効果的に作業を進めることができると考えています。
保護を担うパートナー
現在、Openlink は Akamai Guardicore Segmentation のテクノロジーからさまざまなメリットを得ていますが、Lamberg 氏は、ソリューションを背後から支えている人々との継続的な関係についても高く評価しています。「私は、パートナーになってくれる企業としか取引しません。私たちは商品として製品を買うだけではないのです。彼らは素晴らしいパートナーであり、私たちのフィードバックやニーズに耳を傾け、それに基づいて継続的にソリューションを改良してくれました」と Lamberg 氏は述べています。
パブリッククラウドは本質的に動的であるため、Openlink は Akamai Guardicore Segmentation を活用することでクラウドインフラの進化に合わせて自社の環境を確実に最適化できると期待しています。「彼らは、問題を解決するためにはクラウドプロバイダーとの緊密な連携が必要であることを理解しています。彼らのチームは Azure との着実なコミュニケーションを通じて、製品の動作に影響を与える可能性のあるあらゆる変化を把握しています」。
結果として、Guardicore とそのソリューションは、Openlink がパブリッククラウド上にある顧客の重要な資産を保護するという使命を果たすために不可欠なものとなっています。「問題についてベンダーに問い合わせて、『もう 1 つのベンダーの問題ですからそちらに問い合わせてください』と言われる状況に陥りたくはありません。このチームではそういう話は聞いたことがありません。彼らは、当社の顧客の最重要資産を守るためには責任共有の取り組みが必要であるとわかっているのです」。
Openlink について
ION Investment Group 傘下の企業である Openlink は、ビッグデータと情報が常に進化し成長していくハイパーコネクテッドワールドがもたらす課題に挑戦しています。今、企業では、国境、部門、セクター、プロセスを越えた仕事が増えていますが、Openlink のソリューションはあらゆる場所から数テラバイトものデータを取得し、それらすべてを関連付けることができます。さらに重要なのは、リアルタイムでその意味を知ることです。
ION は、金融機関、中央銀行、政府、企業にミッションクリティカルな取引およびワークフロー自動化ソフトウェアソリューションを提供しています。詳細については、 www.iongroup.comをご覧ください。
Akamai について
Akamai はオンラインライフの力となり、守っています。世界中の先進企業が Akamai を選び、安全なデジタル体験を構築して提供することで、毎日、世界中の人々の生活、仕事、娯楽をサポートしています。クラウドからエッジまで、世界で最も分散されたコンピューティングプラットフォームにより、Akamai は、アプリケーションの開発や実行を容易にし、同時に、体験をユーザーに近づけ、脅威を遠ざけます。Akamai のセキュリティ、コンピューティング、配信の各ソリューションの詳細については、 akamai.com および akamai.com/blogをご覧いただくか、 Twitter と LinkedInで Akamai Technologies をフォローしてください。