Gartnerが薦めるクラウドセキュリティの神髄とは

クラウドサービスはもはやIT環境として当たり前になった。簡単に利用でき、役に立つ。だからこそクラウドセキュリティに注意深く取り組まなければならない。Gartnerが勧めるその方法とは。

[Richard Bartley，Cybersecurity Dive]

　企業にとってクラウド環境は必要不可欠だ（注1）。現在、80％の企業がパブリッククラウドをデジタル戦略に不可欠なものと考えている。そこで後付けではなく、導入当初からセキュリティを組み込むことが求められている。適切なセキュリティ対策がなければ、情報漏えいやサイバー攻撃のリスクが大きくなるためだ。

Gartnerが薦めるクラウドセキュリティの神髄とは

　では、企業はどのようにしてクラウド技術を成長の軸にしつつ、強固なセキュリティを維持できるのだろうか（注2）。クラウドセキュリティアーキテクチャに重点を置いたクラウド導入を成功させる際（注3）、セキュリティリーダーが取るべき一連の戦略的なステップがある。

　本稿はGartnerに所属するリチャード・バートリー氏の投稿による。バートリー氏はGartner for Technical Professionals（GTP）のセキュアテクノロジーおよびインフラストラクチャ部門に所属するリサーチバイスプレジデントだ。Gartnerのアナリストは2025年6月9日〜11日（現地時間）にメリーランド州ナショナルハーバーで開催されたサミット「Gartner Security & Risk Management」において、セキュリティおよびリスク管理のリーダーに向けた最新の調査結果と助言を発表した。

クラウドセキュリティアーキテクチャを組織の戦略と整合させる

　安全なクラウド導入を実現する第一歩は、クラウドセキュリティアーキテクチャを組織全体のクラウド戦略にマッピングすることだ。こうして、セキュリティ対策が単なる後付けではなくビジネス目標の不可欠な一部となる。

　企業の情報セキュリティアーキテクチャに関するフレームワークSABSA（Sherwood Applied Business Security Architecture）や国立標準技術研究所（NIST）のサイバーセキュリティフレームワークといった枠組みは、クラウド戦略にセキュリティを統合する体系的なアプローチとして役立つ。これらのフレームワークを使うことで、セキュリティリーダーはセキュリティ機能を全社のビジネス目標と整合させて、適切な成果を得られる。

クラウドガバナンスフレームワークの確立

　次のステップは強固なクラウドガバナンスのフレームワークの構築だ。これは、組織全体で一貫したセキュリティ基準を維持する上で極めて重要だ。

　効果的なアプローチの一つは、クラウドに関する中核的な専門組織の設立だ。組織を作ることで、セキュリティポリシーを一貫して適用できるようになり、各チームの間でベストプラクティスを共有できる。クラウドガバナンスに特化した専任チームを設けることで、セキュリティ対策の一貫性を保つだけでなく、組織の成長に応じてその対策を柔軟に拡張できるようになるのだ。これはセキュリティリーダーの右腕だ。

クラウドセキュリティに関する一般的な課題への対処

　クラウドの導入を進める中で、セキュリティリーダーはクラウドセキュリティにさまざまな課題が伴うことにすぐに気付くだろう。

　最も一般的な問題の一つは、ユーザーの設定ミスだ。これはしばしば脆弱（ぜいじゃく）性や潜在的なデータ侵害につながる。クラウド環境の複雑さや、それを適切に管理する際に必要な専門知識の不足が原因だ。設定ミスは経験不足や見落とし、クラウド特有のセキュリティ要件への理解不足によって発生する。

　これに対処するためには継続的なリスクの特定と管理が不可欠だ。セキュリティリーダーがクラウド環境を定期的に評価して、潜在的なリスクを特定し、重大な問題に発展する前に脆弱性に対応しなければならない。そのためにはリスクフレームワークやセキュリティ標準へのコンプライアンス対応を可視化できるツールを利用して、リスクに優先順位を付けて効果的に管理しなければならない。

　クラウドセキュリティに関するスキルを社内で育成しなければならない。クラウド特有のリスクを適切に管理するスキルをセキュリティチームが身に付けられるようにするトレーニングや認定プログラムがある。継続的な学習と適応を重視する文化を育むことで、組織はクラウドセキュリティの進化する課題に対応する体制を整えられる。

サイバーセキュリティ・メッシュアーキテクチャとは

　クラウド環境が進化するにつれて、セキュリティアーキテクチャのパターンも進化している。中でも注目されているのが、「サイバーセキュリティ・メッシュアーキテクチャ」と呼ばれる新たなアプローチだ。分散された資産全体にわたって拡張性を備えた上で柔軟にセキュリティコントロールを展開できことが特徴だ。サイバーセキュリティ・メッシュの採用により、組織は従来の境界を超えてセキュリティを拡張し、クラウド環境全体にわたる包括的な保護を実現できる。

　クラウドセキュリティの分野では、IaaSやPaaS、SaaSといったさまざまなクラウドモデルに対応してセキュリティを管理する多様なツールと戦略が不可欠だ。中でも、クラウドアクセスセキュリティブローカー（CASB）は、SaaS環境上におけるセキュリティポリシーの適用やクラウドサービスの保護において重要な役割を果たす。CASBはリスクの特定や適応型アクセス制御、データ損失防止（DLP）、暗号化といった機能を提供し、安全なクラウド環境の維持において不可欠な存在だ。

　さらに、クラウドセキュリティポスチャ管理（CSPM）やクラウドネイティブアプリケーション保護プラットフォーム（CNAPP）、クラウドワークロード保護（CWP）を導入すれば、効果的なリスク管理や脅威の検出、強固なセキュリティ体制の維持に役立つ。

　これらのツールをDevSecOpsの実践と統合し、インフラストラクチャ・アズ・コード（IaC）の手法を取り入れることで、組織はクラウド環境全体で一貫したセキュリティポリシーの適用を実現できる。統合することでセキュリティが強化されるだけでなく、運用の効率化も図ることができ、企業は変化の激しいクラウド環境にも迅速に対応可能になる。

ではどうすればよいのか

　冒頭で紹介したように、クラウド導入を成功させるためには、組織全体のクラウド戦略と整合した戦略的なセキュリティアプローチを採用することが不可欠であり、その中にはセキュリティチームに対するトレーニングや認定への投資も含まれる。

　ネイティブおよびサードパーティーのセキュリティツールを組み合わせることで、企業は特定のニーズに対応し、規制要件への準拠を実現できる。リスク管理やコンプライアンス、クラウドサービスプロバイダーと顧客の間で分担されるセキュリティ責任といった課題に対処することは、ビジネス目標に合致した包括的なセキュリティ戦略を構築するうえで極めて重要だ。

　強固なガバナンスフレームワークの確立や一般的なセキュリティ課題への対応、新たなセキュリティアーキテクチャパターンの探索、高度なセキュリティツールの活用は全て重要なステップだ。

　クラウド環境が進化し続ける中で、競争力とセキュリティを維持しながらデジタル時代を生き抜くためには、先を見据えた戦略的なセキュリティアプローチの継続が重要だ。

出典：Gartner: How to build a secure enterprise cloud environment（Cybersecurity Dive）
注1：Cloud Computing Is a Key Driver of Tech Innovation（Gartner）
注2：Information Security Strategy Best Practices（Gartner）
注3：Cloud Security: Understand, Mitigate and Manage Risk Types（Gartner）
注4：Richard Bartley（Gartner）
注5：Gartner Security & Risk Management Summit（Gartner）