【トレンド研究】大企業の8割が導入するパブリッククラウド。その裏に眠る巨大市場・クラウドセキュリティとは
「クラウド」という言葉が当たり前に使われるようになって久しい。企業のパブリッククラウド利用が急速に拡大し、私たちが使っているスマホアプリやWebサービスの裏側はクラウド上にあるものだ。
そのような状況で、「クラウドセキュリティ」の重要性が高まりつつある。クラウドセキュリティとは、そうしたアプリ・Webサービスのユーザーである私たちの個人情報やプライバシー情報を保護するためのものでもあり、他人事ではない。
このクラウドセキュリティが注目される背景には、企業のパブリッククラウド導入の増加が挙げられる。世界のパブリッククラウドの市場規模は、2021年時点で約45兆621億円に達し、前年比28.6%増(参考:総務省「令和5年 情報通信に関する現状報告の概要」)と大きく成長している。
もちろん日本においてもパブリッククラウドの利用は拡大しており、従業員数が2,000人を超える大企業に関してはクラウド利用の割合は88.6%にも上る(参考:総務省「令和4年通信利用動向調査」)。 ただ、日本の大企業でこれほどの利用率になったのはここ数年。その背景にはコロナ禍によるリモートワークの普及、及びDXの推進などがあり、これらの促進と共にパブリッククラウドも急速に広まっていった。
では、「パブリッククラウド」「クラウドセキュリティ」とは一体どういうもので、企業はセキュリティを確保するためにどのようなことを行っているのか。
今回は、アプリやWebサービスを提供する企業向けに、クラウドセキュリティサービスを提供しているCloudbaseのCEOである岩佐晃也氏、CTOの宮川竜太朗氏、PdMの大峠和基氏の御三方にコメントをいただきながら、クラウドセキュリティの市場の課題や成長性について解説していく。
- TEXT BY YASUHIRO HATABE
- EDIT BY TAKUYA OHAMA
AWSにGoogle Cloud、もはや昨今の企業活動には不可欠なパブリッククラウド
では、「クラウドセキュリティ」とは何か。これを知る前に、「クラウド」の意味を明確にしておこう。
「クラウド」とは、「クラウドコンピューティング」の略称で、ユーザーがソフトウェアやストレージなどのITインフラを手元に用意せずとも、インターネット上にあるリソースを必要な時に必要な分だけ利用する手法ないし考え方のことだ。
この「クラウド」は、「プライベートクラウド」と「パブリッククラウド」の2つに大別できる。
プライベートクラウドとは、企業が自社専用のクラウド環境を用意し、自社の事業活動にのみ活用するもの。一方の「パブリッククラウド」とは、膨大なサーバー群を有する企業が、法人や個人の誰に対してもそのコンピューティングリソースを提供するものを指す。例えば、Amazon Web Services(以下、AWS)、Google Cloud、Microsoft Azure(以下、Azure)などが代表的なパブリッククラウドのサービスだ。(SaaSに分類されるクラウドサービスは本部類であるパブリッククラウドとは異なる)
後者のパブリッククラウドが登場する以前は「オンプレミス」という形式が主流となっており、外部のサーバーを借りることなく、すべてのITインフラ環境を自社内で構築・運用するというものであった。このオンプレミスの導入においては自前でハードウェアも用意する必要があるため、構築コストや稼働後の管理コストが負担となっていた。
一方、外部のクラウドを利用すれば、わざわざ自前でハードウェアを用意して管理運用する必要がなくなる。素早く、低コストでITインフラ環境を整備することができるという点から、近年多くの企業がパブリッククラウドの導入に舵を切っていったのだ。
既存のサイバーセキュリティにはない、クラウド独自のリスク。それがクラウドセキュリティ
ではここから「クラウドセキュリティ」に話を移していきたいが、読者の中には「似たような言葉に“サイバーセキュリティ”もあるが…」と思う者もいるかもしれない。そのため、そことの比較も交えて解説していこう。
ちなみにこの後に登場するCloudbase代表岩佐氏はこの2024年4月、著書『先読み!サイバーセキュリティ 生成AI時代の新たなビジネスリスク』を上梓。この分野の専門家として今回、概念全体の話から昨今の情勢まで知見をお借りしている。
簡単に言うと、クラウドセキュリティの上位概念としてサイバーセキュリティがある。サイバーセキュリティはクラウド or オンプレミスの違いを問わず、コンピュータやインターネット上にある情報の外部漏洩や、コンピューターウイルスによるデータ破壊を防ぐための営み全般を意味する。
クラウドセキュリティとはこのサイバーセキュリティに内包される概念であるが、なぜわざわざカテゴリを別途設けるのか?その理由は、従来のサイバーセキュリティが対象とするセキュリティリスクとは別で、パブリッククラウドにしか存在しないリスクが存在するためだ。
例えば、オンプレミス環境の場合だと、ネットワークを通じて外部からの侵入攻撃を受けた際、極端に言えば外部とのネットワークを物理的に遮断してしまえば、データ自体は守ることができる。しかし、クラウドの場合はそうはいかない。クラウドはデータの保管場所がインターネット上にあるため、外部からの侵入を防ぐために自ら様々な設定を施さなければならない。
大峠パブリッククラウドには、従来のオンプレミスにはなかった「マネージドサービス*」という概念、サービスが存在しています。
しかし、このマネージドサービスを利用する際はクラウド特有の気をつけなければならないことが発生するんです。例えば、やりとりするデータの暗号化の有無や、特定のサーバー領域へのアクセス権など、セキュリティに関する項目を「ユーザーの責任において」設定しなければいけません。
この「設定」のたった1つの間違いで、保護すべきデータに対し外部から誰でもアクセス可能な状態になってしまうこともあり、無視できない危険性をはらんでいる。
岩佐サービスとしては非常に便利な反面、パブリッククラウドのユーザー企業は設定項目の意味を一つ一つ正しく理解し、どのような設定ならリスクを無くせるのかを考えていく必要があります。ただし、その設定項目は1つや2️つで終わらず多岐にわたるため、どのような設定で運用していくべきかが難しいポイントになっています。
このような、「クラウド特有のリスク」に対応するのが、クラウドセキュリティだ。
宮川ソフトウェアのプログラム上で意図せず侵入を許してしまう「脆弱性」の管理や、サイバー犯罪や諜報活動から守るための「マルウェアの侵入検知」といったものは、クラウドセキュリティに限らずサイバーセキュリティ全体で見ても必要な対策です。
オンプレミス時代は人力でチェックしたり、外部から攻撃をしかけてチェックしたりしていました。これがクラウドの時代になった今ではAPI経由で外部からデータを取得できるようになったため、設定値を外部から評価できるようになり、効率と網羅性が上がりました。また、先ほど大峠が述べたようにクラウド特有の概念も登場し、今までになかったポイントでセキュリティを評価していく必要性があるという具合です。
クラウド事業者とユーザー企業。
双方でセキュリティの責任を担保する
クラウドサービスを提供する事業者は、先ほどのマネージドサービスにみられる通り、ユーザーにも様々な権限や責任を付与している。こうしたサービス提供の形は「責任共有モデル」と称される。
岩佐これは、サイバーセキュリティの問題が起きた時に、クラウド事業者とユーザーのどちらが責任を持つのかを明確にする考え方で、各社クラウドサービスの利用規約に具体的に定められています。
例えば、クラウドの設定でサーバーのOSのバージョンをユーザーが選択できるようになっていて、ユーザーが古いバージョンのOSを選んで使っていたとしましょう。そこでもし、それが原因で情報漏洩などの事故が起きた場合はユーザー側の責任になってしまうんです。
ここで問題になるのが、それら1つ1つの設定項目の意味を理解し、適切に設定できる人材が、日本には極めて少ないということだ。
クラウドを適切に扱えるエンジニアですら少ない上に、そこからさらにクラウドセキュリティの知見も持つ人材となると、非常に稀有な存在となる(参考:経済産業省「IT人材育成の状況等について」)。企業がインターネットを介してサービスを提供するようになると、その分だけ攻撃される対象も増えるため、課題は大きくなるばかりだ。
日本にはセキュリティを管掌するCxOが存在せず、欧米とは雲泥の差
しかし、そうしたクラウドやセキュリティ領域における人材不足の問題は日本特有のもの。海外とは事情が大きく異なるそうだ。
大峠海外と国内では、セキュリティに対する投資の力学が大きく異なります。
海外、特にアメリカの企業は、CxOポジションとしてCISO(最高情報セキュリティ責任者)を設置しています。CISOがセキュリティ関連の予算を握るなど強い権限を持ち、セキュリティに対して投下するお金と人材も豊富です。国全体として、セキュリティに対する投資意欲が非常に高まっています。
一方で、日本企業ではセキュリティへの投資が比較的後回しにされる傾向があります。脆弱性を抱えた状態であっても、そこに投ずるお金も人も十分でないという構造的な問題があるんです。
その違いは、市場に出てきているセキュリティ製品の性質の違いにも表れている。
大峠欧米の方が一歩進んでいて、具体的な脅威に対するセキュリティ製品が揃っていることが特徴です。
インターネットに向けて弱点を晒している部分を把握する「ASM(Attack Surface Management)」や、ダークウェブと呼ばれる一般的な方法ではアクセスできないWebサイトに漏洩した情報を監視・収集するツール、APIでやり取りされる情報に機密情報が含まれていないかをチェックするツールなど様々です。
こうした製品を日本市場に持ってきても使いこなせる国内企業はほとんど存在せず、そもそも具体的なリスクをベースに対処を施すレベルに至っていないのが日本の現状だという。代わりに、「ベースラインアプローチ」という、リスクに対する最低限の防御力を押し上げていこうという動きが、今の日本企業の実態だ。
国内外でみる、クラウドセキュリティ領域のプレイヤーたち
では海外ではどのようなプレイヤーが台頭しているのか。代表的なクラウドセキュリティ企業としては、アメリカのパロアルトネットワークスが挙げられる。同社の『PrismaCloud』という製品は早い段階から日本にも展開されており、今もって世界での高いシェアを誇る。
また、岩佐氏はクラウドセキュリティ関連の注目すべきスタートアップとして、アメリカで2020年に創業したWiz、イスラエルで2019年に創業した企業OrcaSecurityの2社を挙げる。
日本発の企業としてはビジョナルグループのアシュアード、2024年2月にGMOインターネットグループに参画したFlatt Securityなどが当領域では知られている。もちろんCloudbaseもその一角を占める企業だが、同社が提供するプロダクトは具体的な脅威に対処するというよりは、企業の人・組織体制を含めてセキュリティに強い体質をつくるようなプロダクトという意味で一線を画している。
岩佐先ほどお伝えしたように、日本はセキュリティエンジニアの数が圧倒的に少なく、セキュリティリスクを病気に例えるとするならば、その病気を治せる医師がほとんどいない状況だと言えます。
そのため、Cloudbaseのサービスは、企業のクラウドの設定状況を素早くチェックして、リスクのある箇所や危険度を健康診断のように分かりやすく提示するという設計思想で提供しています。
具体的には、リスクの有無の提示、そしてリスク個所については「この点がこういう理由から危険です」と案内し、ひいては「このように直してください」とやり方まで具体的に提供する。そうすることで、ユーザー企業が自分たちでクラウドセキュリティの知見を深めながら、解決できるようになる。今の日本市場ではこうしたアプローチの方が最適だと考えています。
市場規模とともに「クラウドネイティブ」な利用が拡大する
パブリッククラウドの利用率はCAGR 約18%で成長しており、今後もその成長率は続くといわれている。特に、AWSでは日本でのクラウドサービス需要の拡大に対応するため、2027 年までに2 兆 2,600 億円をクラウドインフラへ継続投資する予定であることを今年2024年の1月に発表している。
岩佐たしかに利用率こそ高いものの、いざ日本の大企業のお客様と話していると、「本格的なクラウド移行はまだまだこれから」という声も聞こえてきます。また、クラウド移行自体は済んでいるものの、クラウドが持つポテンシャルを事業に生かしきれていないという話もお聞きしますね。
どういうことかというと、柔軟でスケーラブルなアプリケーションに置き換えるとか、マネージドサービスを駆使して生産性を高めていくといった活用に至らず、単にシステムとデータの置き場所をオンプレミスからクラウドへ移行しただけでは、「パブリッククラウドを使いこなせている(=クラウドネイティブ)」とは言い難いということです。
日本においても、今後はクラウドの利用規模が拡大していくのと並行して、利用の仕方、つまり「質」も高まっていくだろうというのが岩佐氏の見立てだ。
また、クラウドネイティブな使い方を拡大していくと、企業の中では情報システム部門やセキュリティ部門などの専門部署の人材のみならず、多くの関係者がクラウドに触れるようになる。つまり、非エンジニア人材、非セキュリティ人材でも難なく使えるプロダクトが求められてくるということだ。
岩佐そうした新たなニーズに対してCloudbaseのアプローチを紹介させていただくと、例えばクラウドセキュリティの重要性をお伝えする説明会を開いたり、現場から直接、当社の開発エンジニアに問い合わせていただけるような体制を整えたりしています。
セキュリティ製品は基本的に、セキュリティのことを分からない人が使うものです。おそらく、当社のプロダクトを導入するのがよいのか、他社のプロダクトがよいのかの判断も難しいはずです。
でもだからこそ、我々にはしっかりしたクオリティの製品を提供する責務があると思っています。そして、企業の中のセキュリティ初学者の方々には、私たちのプロダクトを通じて知識を身につけていただいたり、セキュリティ水準を高めていただきたいと考えています。
宮川「しっかりしたクオリティ」とは、企業自身で「直せる」「対策できる」ということです。
企業の担当者様が当社のプロダクトによってセキュリティリスクのある箇所を把握できるとしても、何らかの事情でその問題箇所を直さないまま放置してしまえば、セキュリティ事故につながりかねません。
その意味では、問題がある箇所をユーザー企業自身で直すことができ、運用できるようになることが、我々の提供価値になってくると思います。
パブリッククラウドの最先端をつかむ情報源
最後に、今回コメントをいただいた御三方に、クラウドセキュリティの動向を把握するためにチェックしている情報源や情報収集の仕方をお聞きした。日本語で発信されている最新の動向が分かるメディアが少ない領域ではあるが、クラウドセキュリティに興味を持った方にはぜひ参考にされたい。
岩佐氏(@iwasakoya)
『VentureBeat』
https://venturebeat.com/category/security/
「『Security』カテゴリーにはよく目を通しています。これを追うと、イスラエルやアメリカでどんなスタートアップが生まれて、どんなスタートアップが成長しているのかを把握できます」
宮川氏(@DragonTaro1031)
「特定のメディアや個人を追うことはしておらず、どちらかというと海外製品の動向を幅広くウォッチしています。Xで幅広い方をフォローしているので、その方の情報を追ったりもしています」
大峠氏(@0MeO)
『セキュリティ・キャンプ』
https://www.ipa.go.jp/jinzai/security-camp/index.html
「私自身、未踏プロジェクト出身なので、同じIPAが主催しているセキュリティ・キャンプのイベントがおすすめです。学生向けではありますが、現役バリバリの人が講師をされていて、最先端の動向をキャッチアップできる機会となっています」
こちらの記事は2024年05月16日に公開しており、
記載されている情報が現在と異なる場合がございます。
執筆
畑邊 康浩
編集
大浜 拓也
株式会社スモールクリエイター代表。2010年立教大学在学中にWeb制作、メディア事業にて起業し、キャリア・エンタメ系クライアントを中心に業務支援を行う。2017年からは併行して人材紹介会社の創業メンバーとしてIT企業の採用支援に従事。現在はIT・人材・エンタメをキーワードにクライアントWebメディアのプロデュースや制作運営を担っている。ロック好きでギター歴20年。
連載今、押さえるべきビジネストレンドとは?
16記事 | 最終更新 2024.05.16おすすめの関連記事
「私もCloudbaseの営業をやってみたい」──DNXとCloudbase対談にみる、起業家と投資家が紡ぐ“With”な関係
- Cloudbase株式会社 代表取締役
「スタートアップの通説」に惑わされるな──僅か2年でエンプラ市場を席巻するCloudbase・岩佐氏に訊く、toB SaaSで急成長を遂げる術
- Cloudbase株式会社 代表取締役
「パブクラ」×「セキュリティ」は技術者の体幹──次代のエンジニア集団Cloudbaseに訊く、市場価値10xを成す“一挙両得”なキャリア
- Cloudbase株式会社 CTO
「“採用=ゴール”って他責じゃない?」──エンプラSaaS界の彗星Cloudbaseに訊く、最短最速でミッション・バリューを実現する思考法
- Cloudbase株式会社 代表取締役
組織の“多様性”を結束力に変える3つの秘策──Nstock・Asobica・FinTのCEOが実証する、新時代のスタートアップ経営論
- 株式会社Asobica 代表取締役 CEO
経営者は「思想のカルト化」に注意せよ──企業規模を問わず参考にしたい、坂井風太とCloudbaseによる“組織崩壊の予防策”
- 株式会社Momentor 代表
政府が託す、52億円の技術イノベーション──Liberawareエンジニアが牽引する、国家主導の鉄道インフラDX
- 株式会社Liberaware 取締役 技術開発部長