セキュリティの部分最適、属人化からの脱却！ 今、ハイブリッドクラウド時代における大手企業情シスが 取り組むべき「セキュリティアーキテクチャ再設計の勘所」と 「レジリエンス重視のフルマネージドサービス活用法」

サイバー攻撃は日々高度化し、従来の企業の防御方法は限界を迎えています。オンプレミスとクラウドの環境が混在する複雑な環境下で、持続可能なエンタープライズセキュリティをどのように構築するべきでしょうか。この記事では、ハイブリッドクラウド時代において不可欠な「セキュリティ対策の指針」を軸に、情報システム部門が今、最優先で取り組むべき戦略を具体的に解説します。

セキュリティ予算を増やしているのに、インシデントが一向に減らない。そうした課題を抱える情報システム部門は、決して少なくありません。VPN、エンドポイント対策と、必要に迫られるたびにツールを追加してきた結果、次の３つの罠に陥っているケースが見受けられます。

多くの企業では、「端末のセキュリティだけを強化する」「クラウドアクセス制御だけを対策する」といった形で、その時々の課題に応じて個別にセキュリティ製品を導入している傾向にあります。その結果、会社全体のセキュリティを俯瞰した際に、網羅された対策になっていないケースが散見されます。

かつてのシステム構築においては、インフラ完成後に後付けでセキュリティ対策を実行していました。その結果、インフラ特性とセキュリティ要件の整合性が保てず、設定漏れや脆弱性の放置が生じるリスクを増大させています。

ITインフラの運用とセキュリティの運用が別々の会社に委託されていることが多く、両者がうまく連動しないケースが見受けられます。攻撃を検知した際、セキュリティ担当は「脅威の除去」という点での対処はできても、インフラ構成への深い理解が欠けていれば、ビジネスへの影響を最小限に抑えた「迅速な事業継続」や「完全な状態への復旧」は望めません。

こうした場当たり的な「継ぎ足し」の対策から脱却し、本質的な安全性を確保するには、戦略的なアプローチへの転換が不可欠です。
STech Iでは、３つの罠を打破するための指針として、企業課題を俯瞰した「セキュリティアーキテクチャの再設計」、強靭なインフラを構築する「セキュリティ・バイ・デザイン」、そして運用の分断を解消する「レジリエンス対策」を提唱しています。

部分的な対策を排し、ゼロトラストの原則に基づきIT基盤を再定義します。散在するリソースを横断的に捉え、認証・認可のしくみを統合することで、ガバナンスを強化。ビジネスの変化に柔軟かつ強固に対応できるグランドデザインを描きます。

セキュリティ・バイ・デザインは、「インフラ構築後の後付け」によるセキュリティ設計を廃止します。新たにITインフラを構築する際、上流工程からセキュリティ要件をインフラ仕様に組み込むことで、設定ミスや考慮漏れといった致命的な「隙間」を根本から排除し、堅牢な基盤をスピーディーに実現します。

レジリエンス対策は、IT運用とセキュリティ運用の分断を解消し、情報基盤を統合します。有事の際、インフラ構成と脅威情報を即座に紐付けることで、インシデントの影響範囲を迅速に特定。事業停止のリスクを最小限に抑え、速やかな復旧を図ります。

次章から、この３つの指針について詳しくご紹介します。

一つ目の指針は、セキュリティアーキテクチャの抜本的な再設計です。ここでは、ゼロトラストの考え方に基づきITインフラ全体を俯瞰し、パッチワーク状の対策を「全体最適」へと転換することが求められます。

従来のセキュリティは、社内ネットワークを安全と見なす「境界防御」が一般的でした。しかし、クラウド活用やリモートワークが普及した今、守るべき境界線は消失しています。そこで不可欠となるのが、「すべてのアクセスを疑い、常に検証する」というゼロトラストへの転換です。

セキュリティアーキテクチャの再設計において核となるのは、物理的な境界線ではなく、「ID」と「エンドポイント（デバイス）」を新たな境界と定義することです。高度な認証基盤（IDaaS）を活用し、ユーザーの属性、デバイスの状態、アクセス場所などのコンテキストを、リアルタイムで評価・認可するしくみを構築します。これによりインフラとセキュリティが統合され、一貫したポリシー統制が可能になります。

セキュリティアーキテクチャ再設計において考慮するべき領域は、次の五つに集約されます。
 

• セキュリティアーキテクチャ再設計の勘所①：ユーザー認証（IDaaS）
  クラウド上で認証やID管理を一元化するサービスです。シングルサインオンや多要素認証により、利便性を高めつつ不正アクセスを防止します。ゼロトラストの要として、場所を問わない安全なアクセス環境を構築します。
• セキュリティアーキテクチャ再設計の勘所②：アクセス制御（CASB/SWG/ZTNA）
  CASB（クラウド利用の監視・管理）、SWG（Webトラフィックのフィルタリング）、ZTNA（社内外からのアクセス制御）を組み合わせて、多層防御を実現します。これらのソリューションは、「SASE」というフレームワークで統合的に導入されることが増えています。
• セキュリティアーキテクチャ再設計の勘所③：脅威検知・対処（NDR/XDR）
  NDRはネットワーク、XDRはエンドポイントやクラウドなど、複数レイヤーの情報を横断的に収集・分析し、高度な脅威をリアルタイムで検知します。情報を相関的に捉えることで、個別対策では見逃しがちな攻撃の全貌を可視化。迅速な初動対処を実現し、インシデントによる被害の拡大を最小限に抑えます。
• セキュリティアーキテクチャ再設計の勘所④：クラウド保護（CNAPP）
  クラウドネイティブ環境のセキュリティを一元管理するプラットフォームです。設定ミスの監視からワークロード保護までを統合し、開発から運用までのライフサイクル全体を網羅。バラバラだったツールを一つに集約することで、複雑なクラウド環境の死角を排除し、強固なガバナンスと効率的な運用を両立します。
• セキュリティアーキテクチャ再設計の勘所⑤：データ漏えい防止（DLP/IRM）
  DLPは機密データの流出をリアルタイムで監視・遮断し、IRMはファイル自体を暗号化して閲覧や編集権限を制御します。この二層の保護により、万が一データが外部に渡っても、許可されたユーザー以外の利用を許しません。情報の「流出防止」と「流出後の無効化」を両立し、企業の重要資産を確実に保護します。

守る側の視点だけで対策を講じると、防御に隔たりが生じがちです。そこで攻撃者の行動段階を軸に全体構造を確認することで、対策の抜けや重複を客観的に確認できます。

攻撃者が標的となる企業・組織を攻撃し、データの窃取や破壊などの目的を達成するまでのステップを構造化したのが「キルチェーン」です。
攻撃者はいきなり企業・組織内のデータにたどり着くわけではありません。一般的に次のような手順で攻撃を進めます。
 

1. 偵察：ターゲットの弱点や公開情報を調べる
2. 武器化：マルウェアを作成・改変する
3. 侵入：フィッシングメールや悪意のあるWebサイトを経由して端末に侵入する
4. 攻撃：ソフトウエアの脆弱性を突いて内部ネットワークに侵入する
5. インストール：ターゲットとなる端末に継続的に侵入するための裏口（バックドア）を作る
6. 遠隔操作：外部サーバーとの通信経路を確立し、命令を送れる状態にする
7. 目的の実行：データの持ち出しや破壊を実行する

すべての攻撃を入口で防御するのは困難ですが、一連のステップのどこか一カ所で阻止できれば、最終的な被害を防ぐことができます。そのためキルチェーンを意識して全体構造を確認する必要があります。

オンプレミスとクラウドが混在する複雑な環境下では、「特定の製品を導入すれば万全」という画一的な解決策は存在しません。セキュリティアーキテクチャの再設計において最も重要なのは、自社が抱える固有の課題を特定し、それらに最適化されたソリューションを戦略的に組み合わせることです。

「セキュリティ・バイ・デザイン」とは、システムの企画・設計段階からセキュリティ対策を組み込むアプローチです。主なポイントは３つあります。

従来のITインフラ構築のように、まず利便性やパフォーマンスを重視して基盤を作るのではなく、上流工程からセキュリティ担当が参画し、セキュリティを単なる「付加機能」ではなく、稼働に不可欠な「機能要件」として定義します。

設計段階から、権限を最小化する「最小権限の原則」と、ネットワークを細分化して制御する「マイクロセグメンテーション」を実装。インフラ構造を内側から根本的に強固にすることで、堅牢な基盤を構築します。

運用を考慮して、Infrastructure as Code（IaC）を活用し、検証済みのセキュアな構成をコード（テンプレート）化することも重要です。これにより、手動設定によるばらつきを排除し、誰が構築しても常に高い安全性を担保できる「Secure by Default（初期状態で安全）」な環境をスピーディーに提供可能となります。

後付けの修正による「手戻りコスト」を抑えつつ、堅牢性と構築速度を両立させる。これこそが、複雑化するハイブリッドクラウド環境において、確かな信頼を築くためのインフラ設計のあり方です。

真のレジリエンス（回復力）とは、攻撃を未然に防ぐ力に加え、万が一侵入を受けた場合でも影響を最小化して耐え抜き、迅速に事業を継続・復旧できる体制を構築することです。

レジリエンス（回復力）を追求する前提として、まずはサイバー攻撃のリスクを最小化する日常的な習慣「サイバーハイジーン」の徹底が不可欠です。OS・ソフトウエアのパッチ適用や認証の強化、セキュリティ教育など、基本的なセキュリティ対策を平時から実施します。

多くの企業では、ITインフラの維持管理（IT運用）と、脅威の監視・対処（セキュリティ運用）が別々のチームやベンダーに委託されており、情報の「サイロ化」が起きています。この分断は、インシデント発生時に致命的なタイムロスを招きます。セキュリティ担当が脅威を検知しても、IT側の構成情報を把握していなければ、影響範囲の特定やシステムの隔離に時間を要し、その間に被害が拡大してしまうからです。

レジリエンスを最大化するには、両者の運用を密接に統合することが不可欠です。インフラの資産管理データとセキュリティのログを一元化されたプラットフォームで紐付けることにより、検知から対処までのプロセスを自動化・高速化します。「どのサーバーが、どのネットワーク経路で、どのような機密データに繋がっているのか」を即座に可視化できれば、調査時間は劇的に短縮されます。

運用の統合により、単にウイルスを除去するだけでなく、「どのビジネスプロセスを優先して復旧すべきか」という経営視点での迅速な意思決定が可能になります。ITとセキュリティが同じ言語で語り、共通の情報基盤の上で連携する。この強固な協力体制こそが、予測不可能な脅威が続く現代において、企業の事業継続を支える最後の砦となります。

STech Iでは、今回ご紹介したセキュリティの3つの設計指針「セキュリティアーキテクチャの再設計」「セキュリティ・バイ・デザイン」「レジリエンス対策」に対応したサービスを提供しています。

全体最適化の実現に向け、ITインフラのセキュリティ診断やサイバーセキュリティ訓練などの教育プログラムを提供します。あわせて、セキュリティポリシーの策定支援や最適な製品・サービスの選定支援を通じて、上流フェーズから組織全体の最適化を包括的に支援します。

ITインフラ構築の初期段階である要件定義から設計フェーズにかけて、セキュリティを不可欠な機能要件として組み込みます。当社のインフラ設計力とセキュリティ知見を融合させることで、脆弱性を最小限に抑えた最適解を提供します。

脅威の検知・監視に留まらず、トリアージによる的確な初動対応から、早期復旧を目指すレジリエンス対応、原因究明のためのフォレンジック調査に至るまで提供可能。セキュリティとIT運用を統合したフルマネージドサービスにより、有事の被害最小化をサポートします。

STech Iの最大の強みは、ネットワーク、クラウド、サーバー、ストレージといった広範なインフラ構築力・運用力に、専門的なセキュリティ知見を高度に融合させている点にあります。攻撃段階（7つのキルチェーン）をもとに、攻撃者視点で抜け漏れや隔たりのないセキュリティ対策を立案。上流から下流まで伴走することで、統合的かつ迅速なレジリエンス対応力を高めることができるよう支援します。

セキュリティの検討を進める中で、経営層や現場からよく寄せられる質問をご紹介します。

A：必ずしも一度にすべてを作り直す必要はありません。まずは最も重要な「境界」となる「ID認証（IDaaS）」や「デバイス保護（NDR/XDR）」から着手し、段階的にアクセス制御（CASB/SWG/ZTNA）へと広げていくロードマップを描くのが一般的です。

A：インフラ（クラウド、ネットワーク）の設計スキルと、最新の攻撃手法や防御策を知るセキュリティ知見の両方が必要です。STech Iでは、この両面を熟知したエンジニアが上流工程から伴走することで、お客様の負担を軽減します。

A：まずは「トリアージ（緊急度判定）」を行い、被害の拡大を防ぐための初動対応（隔離など）を実施します。その後、ビジネスへの影響を最小限に抑えながら復旧（レジリエンス対応）を進め、最後に再発防止のためのフォレンジック調査を行うという流れが基本です。

それではここまでの内容を振り返ります。

• 必要に迫られるたびにセキュリティツールを追加した結果、セキュリティがサイロ化し、インフラ構築の際に考慮漏れが発生したり、インシデント復旧が遅延したりといった問題が発生する
• 継ぎ足し対策から脱却するには、「セキュリティアーキテクチャの再設計」「セキュリティ・バイ・デザイン」「レジリエンス対策」のセキュリティの3つの設計指針が重要となる
• セキュリティアーキテクチャの再設計では、ゼロトラストの考え方に基づきITインフラ全体を俯瞰し、全体最適化する必要がある
• ITインフラ構築においては、セキュリティ・バイ・デザインの考え方に基づき、上流工程からセキュリティ要件を組み込む必要がある
• 攻撃を未然に防ぐだけでなく、侵入を許した際に、迅速に事業を継続・復旧させる体制を構築する必要がある
• STech Iでは、全体最適化を図るコンサルティング、セキュリティの知見を融合したITインフラ構築、ITインフラ運用とセキュリティ運用を融合したフルマネージドサービスを提供し、統合的かつ迅速なレジリエンス対応力を高める支援をしている

STech Iは、長年培った広範なITインフラ構築力と、専門的なセキュリティ知見を高度に融合させています。上流のコンサルティングから、セキュリティを組み込んだインフラ構築、そして監視・復旧までを一気通貫で担う「フルマネージドサービス」を通じて、お客様の事業の持続可能性とLTV（顧客生涯価値）の最大化を支援します。「継ぎ足し対策」の限界を打破し、ともに次世代の安全を築く強力なパートナーとして、STech Iをぜひご活用ください。