Copyright © 2014 Macnica Networks Corp. All rights reserved.

CSA Japan Congress 2014

クラウド・SaaSに怯えない リスク管理・ポリシー設定・セキュリティ対策で積極活用にシフトチェンジ

２０１４年１１月２１日

マクニカネットワークス株式会社

ビジネスディベロップメント室

渋谷勝則

Copyright © 2014 Macnica Networks Corp. All rights reserved.

About Me （ちょっと自己紹介）

静岡県富士市出身１９５９年生まれ５５歳

マクニカネットワークス（株）ビジネスディベロップメント室所属 新規製品調査・契約を担当

海外出張多数。先週もRe:Inventに参加

“disruptive”, “game changing”, “paradigm shift” のような言葉に弱い

趣味 自転車

通勤のクロスバイクと休日のロード

2

Copyright © 2014 Macnica Networks Corp. All rights reserved.

次のITの10年間

ソーシャル、モバイル、アナリティクス（ビッグデータ）、クラウドが鍵を握る破壊的イノベーション

Copyright © 2014 Macnica Networks Corp. All rights reserved.

クラウドファーストの時代

定義：新規システムの構築の際に、クラウドを最初に（優先して）検討する

優れたサービスは既に多数存在する IaaSはもうあたりまえ

ウェブサービス系だけでなく、一般の企業が社内システムとしても普通に利用

もう物理サーバを購入しない

Salesforce, Office365, Box, NetSuite, Jive, kintone, Concur・・・・・・・・・などなど

SAPが83億ドルで経費精算SaaSのConcurを買収

4

Copyright © 2014 Macnica Networks Corp. All rights reserved.

Why software is eating the world

マークアンドリーセンのウォールストリートジャーナルへの2011年の寄稿

「ソフトウェアが世界を飲み込む」 Six decades into the computer revolution, four decades since the invention of the microprocessor, and two decades into the rise of the modern Internet, all of the technology required to transform industries through software finally works and can be widely delivered at global scale.

クラウド・モバイルが世界を飲み込む

そしてソフトウェアの実装はこれまでハードウェアだったものも仮想アプライアンス化を経てクラウドに

バックアップ、DR、インテリジェンス、VPN、LB、VPN・・・・

タブレットがPCの出荷量を超える

5

Copyright © 2014 Macnica Networks Corp. All rights reserved.

国内クラウド市場ユーザ動向

クラウドを利用する企業が年々増加している

SaaSを利用中と回答した企業割合は、29.6%、パブリッククラウドを利用中と回答する企業割合は、25.1％

6

パブリッククラウドの利用検討状況 Source：IDC Japanプレスリリース「国内クラウド市場 ユーザー動向調査を発表」(2014年7月24日)

Copyright © 2014 Macnica Networks Corp. All rights reserved.

クラウドサービスの利用を阻害する要因

TechTargetジャパンの２０１３年５月の調査によれば、約６割が「セキュリティ上の懸念」を挙げている

7

職場でのクラウドサービス利用阻害要因 Source: 2013年6月19日 TechTargetジャパン「クラウドセキュリティに関する読者調査結果リポート」

Copyright © 2014 Macnica Networks Corp. All rights reserved.

Amazon Re:invent2014 keynoteにて

“Security and Compliance is blocker?”

“Security and Compliance Becoming Reasons to Move to the Cloud”

もはや阻害要因ではなく、セキュリティとコンプライアンスがクラウドへの移行を促進している

8

Copyright © 2014 Macnica Networks Corp. All rights reserved.

Amazon Re:invent2014 keynoteにて 2

クラウドは今や新しいデータセンター 本番のワークロードが移行している

9

常用の企業ワークロード

本番

個別アプリケーション

Dev/Test スタートアップ

Copyright © 2014 Macnica Networks Corp. All rights reserved.

経済産業省クラウド利用ガイドライン序文

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」２０１３年度版

クラウドコンピューティングは，「IT の所有」から「IT の利用」への

転換を促すと予想され，その利用によって，組織が情報システムの構築・運用作業から解放されることが期待される

そのような期待があるにもかかわらず，現時点で我が国でのクラウドコンピューティング利用は限定的である。その原因の一つとして，情報セキュリティに対する懸念がある。

10

出典：経済産業省「クラウドサービス利用のための 情報セキュリティマネジメントガイドライン 2013年度版」より抜粋 （ http://www.meti.go.jp/press/2013/03/20140314004/20140314004-2.pdf ）

Copyright © 2014 Macnica Networks Corp. All rights reserved.

セキュリティガバナンスフレームワーク

11

コミットメントに基づく情報セキュリティガバナンスのフレームワーク 出典：経済産業省「クラウドサービス利用のための 情報セキュリティマネジメントガイドライン 2013年度版」より抜粋

（ http://www.meti.go.jp/press/2013/03/20140314004/20140314004-2.pdf ）

Copyright © 2014 Macnica Networks Corp. All rights reserved.

企業

クラウドのリスク

12

境界における課題

• 可視性の欠如

• 一貫性のないポリシーとポリシーの施行

アウトバウンドのリスク

• ファイルやコードの共有、コラボレーションサービスによる知的所有権の喪失

• 秘密情報、規制情報、機密情報の漏えい

インバウンドのリスク

• セキュリティ侵害されたユーザやデバイス

• ソースコードバックドア

• 水飲み場攻撃

クラウドのリスク

• クラウドベンダーのセキュリティ

• 規制に関するリスク

• PRISMなどのような秘密裡の当局による監視リスク

Copyright © 2014 Macnica Networks Corp. All rights reserved.

シャドーIT

1 Amazon Web Services

2 Microsoft Office 365

3 Salesforce

4 Cisco WebEx

5 Concur

6 ServiceNow

7 Box

8 LivePerson

9 Zendesk

10 Yammer

11 BMC Service Management

12 Workday

13 OpenText BPM

14 OneDrive

15 GoToMeeting

16 NetSuite

17 SuccessFactors

18 SAS OnDemand

19 Oracle Taleo

20 Host Analytics

13

1 Facebook

2 Twitter

3 YouTube

4 LinkedIn

5 Pinterest

6 Gmail

7 Instagram

8 Tumblr

9 Flickr

10 Myspace

11 Dropbox

12 Yahoo Mail

13 Apple iCloud

14 Google Drive

15 Photobucket

16 Spotify

17 Shutterfly

18 SlideShare

19 SmugMug

20 VK

企業で利用されているクラウドサービストップ２０

従業員が勤務中に利用しているコンスーマクラウドサービストップ２０

Source: Skyhigh Networks

Copyright © 2014 Macnica Networks Corp. All rights reserved.

シャドーIT

クラウドセキュリティベンダーのElasticaによる調査では、従業員が平均で２０３７のファイルをクラウドに保存しており、その中で平均１８５個が個人情報など機密データを含んだシャドーデータになっている

クラウドサービスのブロッキングは簡単ではない 例えば Dropbox の場合 www.dropbox.com 以外に Dropboxへのアクセスには他に6つの方法がある。ツイッターも同様

広報部門ではソーシャルメディアへのアクセスが必要

無害なサービスをコントロールすることと、IT部門が存在を知らない有害なサービスが見逃されているギャップがある

クラウドセキュリティベンダーのSkyhigh Networksの調査によれば、企業では831個のクラウドサービスが使用されており、企業からクラウドへ向かうデータの80%はそのうちの11個のサービス

ロングテール。残りの20%のデータはその存在もしらないサービスかもしれない

14

Copyright © 2014 Macnica Networks Corp. All rights reserved.

CASB (Cloud Access Security Broker)

調査会社のガートナーが2014年情報セキュリティテクノロジーTop10の最初に記載

2016年までに大手企業の25%はCASBプラットフォームを介してクラウドサービスへのセキュアなアクセスを行う

Adallom

Bitglass

CipherCloud

Elastica

FireLayers

Netskope

Perspecsys

Skyfence

Skyhigh Networks など多くのベンダーが現れてきているエリア

リスクスコアリング、モニタリング、暗号化、トーカナイズ、クラウドDLPなど実装は様々

15

Copyright © 2014 Macnica Networks Corp. All rights reserved.

CASBが対処する課題

企業内で利用されているクラウドサービスの洗い出し

各クラウドサービスに対するリスクアセスメント

クラウド利用状況の監査とロギング

コンプライアンスの実証

マルウェアの検出

暗号化・トーカナイゼーション

ユーザ、デバイス、ロケーションによるアクセスコントロール

アラート

レポート

16

Copyright © 2014 Macnica Networks Corp. All rights reserved.

CASBの例（Skyhigh Networks)

17

Copyright © 2014 Macnica Networks Corp. All rights reserved.

実装

SkyhighもSaaS

18

Copyright © 2014 Macnica Networks Corp. All rights reserved.

トーカナイゼーション

センシティブな情報はトーカナイズ

19

Copyright © 2014 Macnica Networks Corp. All rights reserved.

低リスクの他のサービスが認められていないのに高リスクサービスが利用されている

標準化の実現を支援

多くの重複するファイル共有 サービス

Cloud Storage でフィルタ

Copyright © 2014 Macnica Networks Corp. All rights reserved.

ポリシーとの 矛盾

許可されている 高リスクサービス

高リスクサービスの特定と対処

High Risk Services でフィルタ

Copyright © 2014 Macnica Networks Corp. All rights reserved.

ご清聴ありがとうございました