※本記事は、David B. Crossによる” The Benefits of SaaS for Security“を翻訳したものです。
デビッド・B・クロス
SVP SaaS セキュリティ
Davidは、Oracle SaaS Cloud Securityのエンジニアリングおよび運用組織のシニア・バイス・プレジデントです。それ以前は、Google セキュリティおよびプライバシー組織のパブリック・クラウド・セキュリティ・エンジニアリング・ディレクターを務めており、それ以前の 18 年間は、Microsoft でさまざまなセキュリティ・クラウド、製品、およびエンジニアリングのリーダーとしての役割を果たしてきました。David はコンピュータ情報システムの学士号と、管理情報システムに特化した MBA を取得しており、米国の軍事サービスに端を発するセキュリティ・アプリケーションとテクノロジの長年の提唱者です。
この記事の共著者は、Patrick McLaughlin です。Patrickは、Oracle SaaS クラウドCloud Securityエンジニアリング・グループのSaaSセキュリティ・アーキテクトであり、DevSecOpsへの移行にフォーカスしています。
多くの企業において、何世代ものアプリケーションが共存して使用されています。最近開発されたものから数十年前のものまでさまざまで、サプライヤーから取得したものもあれば、社内で構築されたものもあり、データベースやミドルウェアなどさまざまな基盤技術に依存しています。過去 10 年間で、アプリケーションの実行と日々の管理業務をホスティング・プロバイダーにアウトソーシングする組織が増えましたが、最近では、これをクラウド・サービス・プロバイダーにアウトソーシングするようになりました。
このブログ記事では、成熟したSaaS アプリケーションを選択する利点、すなわちクラウド・サービス・プロバイダーによって、セキュリティの管理や複数の国際的コンプライアンスへの準拠などのDevSecOpsの大部分が実行される、ということについて説明します。もちろん、企業は残りの多くのアプリケーションは保持することにはなりますが、組み合わせることにより、IT管理とリスクの両方が軽減されるのです。
オンプレミス・アプリケーションの内部セキュリティの管理
セキュリティの管理には、非常に幅広く深い専門知識が必要です。適切に機能していることを確認するには、さまざまなセキュリティ・コントロールを配置して監視する必要があります。これらには以下が含まれます:
- ネットワーク・セキュリティ構成
- ユーザ認証
- 最小権限による権限管理
- 特権ユーザー管理
- マルウェアの検出
- エンドポイント保護
- 侵入検知と防止
- セキュリティ・イベントのログ記録と分析
- インシデント検出
- 対応と回復
- 事業継続管理と災害対策
さらに、ISO20001、PCIDSS、FedRAMP などの標準に準拠する必要があるため、必要な監査証拠を継続的に収集する必要があります。これらのセキュリティ・コントロールと要件は幅が広いため、オンプレミス環境においてスケーラブルで信頼性の高い方法で展開および維持することは、多くの企業にとって容易なことではありません。
SaaS モデルの利点
アプリケーションの運用と継続的なアップグレードをアプリケーション・プロバイダーにアウトソーシングできるようにするため、急速な SaaSへの切り替えが進んでいます。それにより、老朽化したネットワーク、コンピューティング、およびストレージ機器の交換について危惧する必要はなくなります。また、新しい機能が利用可能になったり、パッチがリリースされたりしたときに、アプリケーションに更新プログラムをどう展開すればいいか、ということについて心配する必要もありません。
SaaS プロバイダーは、基盤となるミドルウェアとデータベースも同様に更新します。これにより、お客様は、アプリケーションを他のシステムと統合し、データを管理し、ユーザーにそのデータへのアクセスを付与するなど、ビジネス・ニーズに最適な方法でアプリケーションを使用すること自体に集中できるのです。
SaaS プロバイダー (この場合は Oracle) は、DevSecOps を使用して、下位互換性を維持しながら、アプリケーションを継続的に改善、革新、および更新します (Figure 1 を参照)。また、ユーザー・エクスペリエンスを向上させるために、新しい UI の変更を段階的に展開するなどのことも行います。お客様は、最適化されたパフォーマンス、信頼性、および可用性を享受しながら、需要に合わせてキャパシティを簡単に拡張できるというメリットも享受できます。
SaaSのセキュリティの利点
クラウドのお客様の利点は、新しい機能の設計に始まり、実機テスト環境、本番前環境、および本番環境でのセキュリティ問題の監視に至るまで、すでにセキュリティが備わっているアプリケーションを使用できる、ということです。
- 継続的な管理: SaaS は、24 時間 365 日のインシデント管理と Oracle SaaS Securityの対応を含む、継続的なセキュリティ管理を提供します。事業継続管理と災害対策は、通常我々のソリューションに組み込まれています。このサービスは、多くの業界、特に規制の厳しい業界で期待されています。また、24 時間 365 日、世界中でサービスをすぐに利用する必要があるような消費者向けの機能でも期待されています。そして、誰もが経験したインシデントの一つがコロナウイルスによるパンデミックです。Oracle SaaS は当初から、スタッフ間で発生する可能性のある covid-19 集団感染に対処するための事業継続計画を実施してきました。
- 自動化: DevSecOps の自動化は、多数のユーザーがいるアプリケーションのセキュリティを管理するために不可欠です。SaaS サービス・プロバイダーは、SaaS アプリケーションのライフサイクルの複雑性および顧客の数に基づいて、高度な自動化を実装しなくてはなりません。このセキュリティの自動化は、ネイティブ SaaS サービスとして抽象的にデプロイされるものですが、お客様には大きな利点となります。
- 検出と修復: Oracle SaaS Securityは、ランタイム環境を常にスキャンして監視し、潜在的なリスクを探しています。脆弱性が検出されたときに修復プログラムを実行し、必要に応じて、ASCSS フレームワークの一部としてセキュリティ侵害の兆候に対応します。
- 最先端: Oracle SaaS は、最先端のOracle Cloud Infrastructure (OCI) プラットフォームのセキュリティ、統合された包括的なセキュリティ・スタック、および関連するコンプライアンス認定も活用しています。
- 継続的な改善: Oracle SaaS Security には DevSecOps 継続的改善アプローチが採用されているため、Oracle が常にセキュリティ制御を強化し続けることは、お客様の利点となります。このアプローチには、人材のスキルアップとより優れたプロセス及びテクノロジの展開が含まれます。例えば、機械学習の使用などのより高度なアプローチを使用して、脅威検出テクノロジとスキルの特化したエンジニアを配置することです。詳細については、次のブログ記事を参照してください:セキュリティ検出フレームワークの監視、Graph を利用したセキュリティ分析を使用して攻撃者を迅速に検出.
- 継続的な監査: SaaSが多くの国際認証フレームワークに対する広範な監査・認証を受けていることも、それを使うお客様の利点となります。現在の Oracle Cloud コンプライアンスリストです。
まとめ
結論として、SaaS にはセキュリティの観点から大きな利点があります。これは、責任の多くが SaaS プロバイダーによって実行され、お客様は SaaS アプリケーションのビジネス価値を最大化することに専念できるためです。第 2 世代の Oracle Cloud セキュリティ・プラットフォームに基づく Oracle SaaS を使うということは、高度なスキルを持つセキュリティ担当者と、最新かつ継続的に改善されているセキュリティ・プロセスおよびテクノロジをともに利用することであり、それがお客様のアドバンテージとなるのです。