2015年2月6日

ワシントンコア リサーチャー
小林 悦子

多様なアプリケーションがクラウドサービスとして入手可能となった今日、サイバーセキュリティソリューションもクラウド化する傾向にある。クラウドベースのサイバーセキュリティ、いわばSecurity as a Service(SECaaS)の利用に期待されるのは、他のクラウドサービス同様、コスト削減である。本稿では、市場予測、市場サーベイ、関連ベンダーの状況、連邦政府の取り組みなどから、米国におけるSECaaSの利用動向を紹介する。

1.サイバーセキュリティサービスのクラウド化

Security as a Service(SECaaS)とは、企業の構内システムから、クラウド上のデータや資産まで保護するためのクラウド経由で提供されるサイバーセキュリティアプリケーションやサービスである。SECaaSは、従来の構内導入型のアプライアンスやソフトウエアから発生する設備投資・運用コストをかけずにサイバーセキュリティサービスを利用できる新しい方法である。

米調査会社 MarketsandMarketsの報告(2014年4月)によると、世界のSECaaS市場規模は2014年に約42億ドル、5年後の2019年には2倍以上の約87億ドルに成長すると予測されている。中でも北米はSECaaSへの投資および普及が最大の地域と見込まれている。この成長の主な要因は、企業、特に中小企業において加速するクラウドコンピューティングの普及やサイバーセキュリティ業務を外注するマネージドセキュリティサービスへの高まる需要であるという。ただし、同社によると世界のサイバーセキュリティ市場規模は2014年に約960億ドル、2019年には約1,560億ドルになるとの予測があり、上記の数字と比較すると、SECaaS市場は2014年のサイバーセキュリティ市場全体の約4%、2019年でも約6%にすぎない。それでも、サイバーセキュリティを提供する大小さまざまなベンダーがSECaaSをサービスポートフォリオに追加する動きは近年稀ではなく、サイバーセキュリティ市場の一画に芽生えたSECaaSの潜在的需要に業界が注目していることは明らかである。

参考

2.SECaaS市場を構成するセキュリティ分野の例

SECaaS市場をリードする分野として、上述のMarketsandMarketsや米調査会社Gartnerは、電子メールセキュリティ、ウェブセキュリティ、およびアイデンティティー・アクセス管理(Identity and Access Management:IAM)を挙げている。以下にそれらの分野の市場概要を紹介する。

  • 電子メールセキュリティ

    情報セキュリティ分野メディアのSearchSecurityによる約460人の北米ITプロフェッショナルを対象とした2014年のセキュリティ投資に関する調査によると、近々購入を検討しているセキュリティソリューションおよび利用したいSECaaSのトップは共に電子メールセキュリティであった。その要因として、国際的なIT業界団体ISACAのエマージングビジネス・技術ディレクターであるEd Moyle氏は、社員がスマートフォンなどの個人所有の端末を業務に利用する、いわゆるBYOD(Bring Your Own Device)が浸透し、かつ、モバイル技術によって社員のモビリティが向上する中、より多くの社員が社外でさまざまな端末経由で仕事に関する電子メールにアクセスするという環境の変化を指摘している。従来のエンドポイントごとにセキュリティコントロールを行う方法ではそのような環境への対応は難しい。その点、SECaaS型ソリューションであれば、電子メールが各端末や企業内のネットワークに到達する前にフィルタリングが可能であるため、企業のネットワーク帯域に負担をかけない上、スパムメールを予め省くことで電子メールのアーカイブ作業を効率化し、さらに脅威となりえるメールへの対策も中央化して合理的に行うことができる。また、電子メールの暗号化や機密データの流出を防ぐ送信メールの検査など大規模なデータ処理を要する機能もクラウド内であれば柔軟に実行できる。Cisco、McAfee、Microsoft、Proofpoint、Symantecなどを含め、同市場の主要ベンダーの多くはすでにSECaaS型ソリューションを提供している一方で、顧客企業による従来の構内型ソリューションからSECaaSへの移行を段階的に支援するため、または機密データの取り扱いを構内に留めたいという企業の要望に応じるためにSECaaS型と従来の構内設置型を組み合わせたハイブリッド・ソリューションを提供している場合もある。

  • ウェブセキュリティ

    URLフィルタリング、マルウェア対策、アプリケーションコントロールなどの機能はこれを総括してセキュア・ウェブゲートウェイ(Secure Web Gateway:SWG)市場と定義されているが、アプライアンスベースのSWGの利用がまだ主流である中、SWGベンダーにとってクラウドベースのSWGは他社との差別化要因の一つとなっている。

    Gartnerによって2014年の同市場のリーダーとして格付けされたベンダーはCisco、Websense、Blue Coat Systems、Intel Security(McAfee)およびZscalerの5社であり、このうちZscalerのみクラウドベースSWGに特化しており、他4社はクラウドベースとアプライアンスベース両方を提供している。2008年に設立され、カリフォルニア州サンノゼを拠点とするZscalerは、GE、Nestlé、ExxonMobilなどの世界的大企業から何千もの中規模企業、さらに米国海兵隊やNATO(北大西洋条約機構)などの政府機関を含め、世界200カ国5,000以上の企業や政府機関を顧客としており、クラウドベースのSWGの適用範囲の広さを証明している。

  • IAM

    クラウドベースのIAMソリューション(IAM as a Service:IDaaS)に関心を寄せているのは、基礎的なIAM機能を拡張したい中小企業であるという見解もあれば、クラウド上のアプリケーションと構内のレガシーアプリケーションの両方へのアクセスを管理する必要のある大・中企業であるという見解もある。IDaaS市場は、今でこそSalesforceやMicrosoftなどの大企業の姿が見られるが、もともとはクラウドサービスの到来によって複雑化するIAM問題に着目した新興企業によって盛り上げられてきた。OkraやOneLoginはその代表例といえる。共に2009年に設立されカリフォルニア州サンフランシスコを本拠とする両社は、世界1,000社以上の企業顧客に対して、何千もの異なるSaaSアプリケーションへのシングルサインオン(Single Sign On:SSO)をはじめ、強力な認証機能、企業のネットワーク上のさまざまな資源・利用者やアクセス制御などに関する情報を一括管理している既存ディレクトリーシステム(例、MicrosoftのActive Directory)への統合機能、ユーザープロビジョニングなど幅広いIAM機能を提供している。

    またGartnerでは2014年に成長するSECaaS分野として、暗号化、セキュリティ情報・イベント管理(Security Information and Event Management:SIEM)、脆弱性評価、そしてウェブアプリケーションファイアウォール(Web Application Firewall:WAF)を挙げている。中でもWAFに関しては、従来のアプライアンスベースのソリューションが主流で、クラウドベースのWAFで保護されているパブリック・ウェブアプリケーションは現在10%にも満たないが、2020年末までにその数字は50%以上に達するとGartnerは予測している。なお、WAFとは、ウェブアプリケーションへの攻撃トラフィックを検知し、ブロックするセキュリティ技術である。クラウドベースのWAFを提供する主なベンダーには、Akamai、CloudFlare、Incapsula、Qualysなどが含まれる。最近では、米大手通信事業者Verizonが2013年に買収した米主要コンテンツ・デリバリー・ネットワーク(Content Delivery Network:CDN)サービスプロバイダーの一社であるEdgeCastの買収を足がかりに、コスト、拡張性、柔軟性の面で従来のアプライアンスに比べ優れたクラウドベースに絞ってWAFの提供を開始したところであり、このような大企業のクラウドベースWAF市場参入によって市場競争の活発化が見込まれる。なお、日本市場ではNTTデータが代理店を務めるScutum(Symantec WAF)が5割を占めている。

参考

3.連邦政府におけるSECaaS利用状況

次に、米国最大規模のエンタープライズといえる連邦政府におけるSECaaS利用状況を紹介する。オバマ政権は2010年、コスト削減と効率性やイノベーションの向上を目指し、情報システムの調達においてクラウドサービスの選択を優先する「クラウドファースト(Cloud First)」政策を掲げ、連邦政府ITシステムのクラウド化を図ってきた。しかしながら、連邦政府ではまだ近代化が必要でないとされるレガシーシステムへの依存が高く、クラウドサービスへの移行はあまり進んでいない。例えば、クラウドサービスへの投資は年間約5億ドル以上に達してはいるものの、この数値はIT投資全体のわずか2%にすぎない水準に留まっている。

そのような環境のもとSECaaSがどれほど利用されているかについて、連邦政府全体での状況を把握することは難しいものの、特定の省庁を例に最近の導入事例などを確認することができる。GAOの報告(2014年9月)によると、GAOが独自に選定した7省庁、農務省(Department of Agriculture:USDA)、保健福祉省(Department of Health and Human Services:HHS)、国土安全保障省(Department of Homeland Security:DHS)、国務省(Department of State)、財務省(Department of Treasury)、連邦調達局(General Services Administration:GSA)および中小企業庁(Small Business Administration)において2014年7月時点で利用されているクラウドサービス数は合計101である。その中で、SECaaSと見られるものは、(1)電子メールフィルタリング、(2)紛失または盗難されたWindowsベースのコンピューター機器から機密情報を取り除くサービス、(3)多要素認証サービスを含むID管理、(4)電子メールセキュリティ(アンチウイルス、アンチスパム、マルウェア対策など)の維持・更新のみであり、連邦政府全体におけるSECaaSの利用は現在やや控えめと推定できる。

しかしクラウドを利用してサイバーセキュリティを効率よく強化するという考えが連邦政府でないわけではない。その証拠の一つが、Federal Cloud Credential Exchange(FCCX)と呼ばれる現在進行中の連邦政府横断型個人認証イニシアチブである。現在、消費者は行政サービスにアクセスするには、行政サービスごとに異なるパスワードや認証方法を使用しなければならない。FCCXは、消費者が一つのパスワードで複数の行政オンラインサービスへ容易かつセキュアにアクセスすることを可能とする認証システムである。そのための仕組みには2つの特徴がある。一つは、消費者の認証に必要なパスワードなどの信用情報(クレデンシャル)の発行を省庁ではなく民間認証サービスプロバイダーに任せることである。民間認証サービスプロバイダーは連邦政府によって認定された機関であり、Google、PayPal、Verizon、Symantecなどが想定されている。二つ目は、消費者が選んだ民間認証サービスプロバイダーと、消費者が利用したい行政サービスを提供する省庁の間をつなぐ橋渡し役として、認証サービスブローカーを配置することである。この認証サービスブローカーは、ある行政サービスへの消費者のログイン・リクエストをその消費者が選んだ民間認証サービスプロバイダーに送り、消費者の認証を行った民間認証サービスプロバイダーはその消費者に関する属性情報(氏名、住所、生年月日など)を当該省庁に送り返すことで省庁は消費者の身元を確認することができる。このプロセスにおいて、認証サービスブローカー側で消費者の認証に必要な信用情報を取り扱うことはなく、また、省庁へ送る消費者の属性情報を保存することもない。このような仕組みによって、消費者はすでに利用しているGoogleなどのオンラインサービス用のパスワードを流用できるだけでなく、個人情報やパスワードの預け先を自ら選定できることでプライバシー保護も改善される。そして、各省庁には、個人情報やパスワードの管理や独自の認証システムを運用する手間もコストも削減できるという利点がある。

FCCXは、サイバーセキュリティ体制強化の一環としてオンラインサービスの個人認証を改善するためにオバマ政権が2011年に発表した「サイバー空間におけるID信頼性のための国家戦略(National Strategy for Trusted Identities in Cyberspace:NSTIC)」を支援する取り組みの一つであり、郵便公社(US Postal Service:USPS)を中心に進められている。2013年8月には認証サービスブローカーとして、カナダ・トロントを本拠とするクラウドベースの認証ソリューションプロバイダーであるSecureKey Technologiesが選定され、USPSと3年間1,500万ドルの契約を締結した。USDA、退役軍人省(Veterans Affair)、米国立標準技術研究所(National Institute of Standards and Technology)およびGSAの4省庁と複数の民間認証サービスプロバイダー(非公開)などが初期パイロットに参加する予定であり、そのほかにも国民と直接接する機会の多い社会保障局(Social Security Administration)や国務省などを含め、複数の省庁がFCCXへの参加に関心を示しており、FCCXの展開と潜在的メリットの実証が期待される。

参考

4.将来のサイバーセキュリティサービスのあり方

セキュリティ面に代表されるようにクラウドに関する課題はまだ残されているものの、クラウドに対する企業の信頼が高まり、より多くのデータやシステムをクラウドに預ける傾向において、サイバーセキュリティ技術だけ構内に残すという発想はやや不自然とみる声も出てきている。米通信事業者大手AT&Tが現在開発を進めているAstraと呼ばれるクラウドベースのプラットフォームはまさにそのような考えを後押しする動きである。Astraは、従来型のハードウェアであるセキュリティアプライアンスからソフトウエア部分を切り離し、クラウド内に取り込み、クラウドに保存されたデータや、クラウドとつながっているエンドポイントなどの資産を保護するために必要なセキュリティサービスを企業顧客が迅速かつ柔軟に呼び出すことを可能とするもので、いわば「クラウドの中のクラウドのためのセキュリティ」である。モビリティとクラウドによって変化する現代の企業環境におけるセキュリティを確保するには、このようなまったく新しいセキュリティ配信手段が必要になるだろう。

このような取り組みがSECaaSの流通を促す新しいビジネスモデルの確立を後押ししうる一方で、米国においては、連邦政府のFCCXのような官民を巻き込んだSECaaSプロジェクトも進行中であり、企業と政府機関によるSECaaS利用が日常化する日はそれほど遠い将来ではないかもしれない。

折しも、米国では連邦議会において国家のサイバーセキュリティ向上のためのサイバーセキュリティ関連情報の官民間での共有を促す法案やエドワード・スノーデン氏による国家安全保障局(National Security Agency:NSA)の情報収集活動の暴露事件を発端とするNSA情報収集活動を制約する法案が審議されている。それらの審議において消費者のプライバシー保護は共通の論点であり、特に、NSA暴露事件によって米国政府スパイ活動に加担したとして国外市場での信頼を失い、外国企業にビジネス機会を奪われるという痛手を被ったクラウド業界にとっては、クラウドサービスプロバイダーから顧客情報を不条理に収集する権限を政府に与える法的抜け穴がないよう、これらの審議の行方に敏感である。法案の行方次第では、米国のクラウド業界の信頼が回復されず、これまでクラウドビジネスの中心を牛耳ってきた米国の国際競争力が弱まる危険性もある。新規市場であるSECaaSにおいて米国ベンダーが世界を先導できるか否かは、ベンダー自身の技術力だけでなく、米国議会の肩にもかかっている。

参考

注釈

  • 本文中に記載されている会社名、製品名は各社の登録商標または商標であり、敬称名は略させていただきました。