はじめに

2019年度もあっという間に上半期が終わり、あと半年で2020年度に入ります。2020年度は内閣府が提唱する「Society（ソサエティ） 5.0」集大成の年度です。今回はSociety 5.0時代に更に増加すると予測されるクラウドサービスとそのセキュリティ対策についてご説明いたします。

そもそも「Society 5.0」って何？

「Society 5.0」とは、5年ごとに改定されている科学技術基本法に基づき、内閣府が提唱する“日本が課題先進国として、先端技術をあらゆる産業や社会生活に取り入れ、経済発展と社会的課題の解決を両立していく新たな未来社会を目指す基本方針”のキャッチフレーズです。狩猟社会（Society 1.0）、農耕社会（Society 2.0）、工業社会（Society 3.0）、情報社会（Society 4.0）に続く、新たな社会として「Society 5.0」が提唱され2016年度から2020年度はその第5期間にあたり、各省庁にて基本方針に則った科学技術政策が実施されています。その中でも総務省「平成30年度版情報通信白書」ではこの「Society 5.0」の定義を次のように定めています。

サイバー空間（仮想空間）とフィジカル空間（現実空間）を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会（Society）

最後の部分にある“人間中心の社会”について、地球環境問題や人間以外の動物のことは考えないのか？と思われる方もいらっしゃるかと思いますが、そういう意味ではなく、「年齢・性別・居住地域・知識の有無などに関わらず、誰もが科学技術の恩恵を受けて質の高い生活をできるようする」という意味で“人間中心の社会”と明記されているのです。あくまで経済発展と社会的課題の解決による恩恵を格差無く受けられるようにする、という素晴らしい意味なのです。

総務省はSaaS(Software as a Service)市場を後押ししている

その総務省は前述の「Society 5.0」の定義に則り、業界団体である 「ASP・SaaS・IoT クラウド コンソーシアム（略称：ASPIC）」 を後押しするなどしてSaaS市場の拡大を図っています。SaaSを推進する理由は、従来型のソフトウェアパッケージ製品には

• パッケージ製造・流通コストがかかる
• 海賊版コピー製品が流通する可能性がある
• 端末毎にインストール・アップデート作業が必要

といった問題点があり、日本経済に莫大な経済損失を生み出す遠因になっているからです。また、SaaSを含むクラウドサービス全般に言える事ですが、「サブスクリプション（資産として保有するのではなく、利用期間・量に応じて費用を支払う）方式」で中長期的な利益確保できる安定的なビジネスモデルを採用しやすいことから、IT業界全体で導入が推進されています。
※サブスクリプションについては『西久保宏典のサブスク事始めコラム』をご覧ください。

ソフトウェア市場は”SaaSが牽引する”と既に予測されている

富士キメラ総研のソフトウェアビジネス新市場 2018年版　「ソフトウェアの国内市場（パッケージ／SaaS）」によると、2017年度から2022年度の6年間にかけてソフトウェア市場全体で35.1ポイント伸長する（12,840億円→17,350億円）と予測されています。そのうちパッケージの伸長率は21.3ポイント（9,019億円→10,938億円）に過ぎないのに対して、SaaSは何と65.6ポイント も伸長する （3,871億円→6,412億円）と予測されています。SaaSが増加する理由としては、

• 資産として保有しないサブスクリプション方式なので企業として利用しやすい
• 元々クラウドネイティブなソフトウェア（アプリケーション）が多いのでAPI連携で様々な他社サービスと連携できる
• カスタマイズ性の高いSaaS製品が増加している（企業に合わせてカスタマイズ利用しやすい）
• 労働人口不足によるサーバ・ソフトウェア管理者不足対策

などが考えられ、今後ますます企業のSaaS利用率が高まるものと思われます。確かにこのコラムを執筆している私のノートPCにCD/DVDドライブはありません。また自宅にデスクトップPCがありますが、CD/DVDドライブを開いたことは皆無です。皆さんもほとんどこれに近い状況ではないでしょうか？知らず知らずのうちに私たちが利用するモノや行動習慣に国の政策・技術の進歩・社会情勢などが影響しているのですね。

SaaS（クラウドサービス全般）にも問題がある

このように良いこと尽くめのSaaSですが、特に企業利用においてはセキュリティ面で注意が必要な可能性があります。それはIaaS(Infrastructure as a Service)やPaaS(Platform as a Service)と比較して利用側から見える部分・管理できる部分が非常に少ないのです。SaaS最大の強みがセキュリティや管理性においては最大の弱点になってしまうのです。

クラウドネイティブな攻撃が増加する

また、SaaS(クラウドサービス全般に言えますが)ログインするときにID/パスワード（これをクレデンシャル情報と言います）を入力するのが一般的かと思います。このIDに企業メールアドレス（アカウント）を利用している場合が多いのでクラウドサービスの利用により、以前より疑いなくクレデンシャル情報を入力する機会が増えているのです。攻撃側がこの状況を見逃すはずはありません。

1. クレデンシャル情報を詐取
2. 詐取したクレデンシャル情報でログイン、クラウドサービス内のデータ窃取・マルウェア投入

といった『クラウドネイティブな攻撃』が増加すると言われています。クラウドサービス内からの情報漏洩やマルウェア感染が破滅的な結果をもたらすことは容易にご想像いただけると思います。

クラウドネイティブなセキュリティ対策＝「Cisco Cloudlock」

このようなリスクを回避するには、複数のクラウドサービスのセキュリティを一元的に管理・監視できるツールが必要です。それを可能にするのが「Cisco Cloudlock」です。「Cisco Cloudlock」は

• ユーザー動作分析（内部/外部犯行、シャドーIT対策）
• アプリケーションファイアウォール(WAF)
• Data Loss Prevention(DLP)：機密情報漏洩制限
  ※マイナンバー、社会保障番号、パスポート番号、郵便番号など秘匿性が高いデータのアップロードを禁止/制限する
• 暗号化管理
• セキュリティポリシー管理
• クラウドサービス自体の監査

を一元管理し、ポリシーに違反したユーザーやデータの隔離が可能です。また、クラウドサービスとAPI連携するだけで利用できますので各クライアントの設定やインストールは必要ありません。更にCisco Umbrellaと統合してDNSレベルでのクラウドサービス利用禁止設定も可能です。

クラウドネイティブなセキュリティ対策を実施してクラウドサービスを安全に使い、来たるべき「Society 5.0」時代に備えましょう。 「Cisco Cloudlock」 につきましては弊社までお気軽にお問い合わせください。