1McAfee Information Technology

マカフィーがクラウド化を実現するまでMcAfee LLC Cloud Security Architecture Director

Brooke Noelke

2McAfee Information Technology

マカフィー独立後のクラウド情勢

アプリケーションとインフラストラクチャ

プライベートクラウド

オンプレミス／ホスト型

SaaSプロバイダー

ソフトウェアのクラウド化

インフラストラクチャの変革

インフラストラクチャの変革

オフィス | リモートサイト

クラウドサービス（IaaS／PaaS）

IT

コンシューマライゼーション

3McAfee Information Technology

パブリック

プライベート

インスタンス数

1000以上

500～999

250～499

100～249

0

～99

.

IaaS PaaS従来型

AWS

Azure

Oracle

プライベートクラウド

オンプレミス

グローバルPoP

プログラム開始時のインフラストラクチャ（アプリ数：約850）

4McAfee Information Technology

パブリック

プライベート

インスタンス数

1000以上

500 ～999

250～499

100～249

0

～99

IaaS PaaS従来型

AWS

Azure

Oracle

プライベートクラウド

オンプレミス

グローバルPoP

当初目指したインフラストラクチャ構造（アプリ数：約600）

5McAfee Information Technology

パブリック

プライベート

インスタンス数

1000以上

500～999

250～499

100～249

0

～99

IaaS/PaaS従来型

AWS

Azure

Oracle

プライベートクラウド

オンプレミス

グローバルPoP

現在のインフラストラクチャ（アプリ数：約650）

6McAfee Information Technology

変化するクラウド中央局と情報セキュリティ（InfoSec）の役割

ルールの記述：データセンター中心の環境に向けたルールとは異なる、クラウド関連の内部基準。変化が激しいクラウド環境で管理されるバックログを参考に、ルールを作成する。

スリムな技術基盤の構築（DevSecOpsと共通のツールセットのメンテナンス）：これが、IT／InfoSecの新しい「役目」と見なされることが多い。クラウド化が自動で行われる場合、データセンター中心の環境のように、妥当な安定性を有する既存の環境上にセキュリティ／ガバナンスソリューションを構築することができない。ITがクラウド化の基準を定めることで、コード化が可能になる。開発技術力が必須（従来型のIT／InfoSec、非開発者、ツールセットチームだけでは、実現不可能）。

ボディーガード：攻撃者を阻止し、アーキテクトが最も安全な方法で「ビルや道路」を設計できるようにサポートする。

取締り：コンプライアンスは極めて重要である。共通のソリューション要素を使って論理的なルールを分かりやすく実装することで、チームの説明責任能力を保ちやすくなる。

（取締りにしか対応しなければ、各クラウドプロジェクトで、コストが高い独自の基盤にクラウドに適さないルールを解釈させるという不合理な取り組みが必要になる可能性がある。さまざまなチームに解釈を任せれば、ルールを一定の方法でインスタンス化することが難しくなるため、コンプライアンスを達成できない。）

4つの「役目」 -複数の方法で、組織の役職に役目を割り当てることが可能

7McAfee Information Technology

IaaS／PaaSクラウドが生む、開発者のための「イージーボタン」

ボタンを押せば、ファイアウォールを完全にコントロール可能！

ボタンを押せば、新規ストレージバケットと構成を完全にコントロール可能！

ボタンを押せば、データベースとデータを完全にコントロール可能！

アプリ開発者

8McAfee Information Technology

...しかし、イージーボタンに対してコンプライアンスや管理上の懸念が他部署から生じる

InfoSec

法務

アーキテクチャ

財務

アプリ開発者

?

?

?

?

9McAfee Information Technology

例：AWS RDSユーザーガイド - SQLサーバーインスタンスの作成

9/11/2018 https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_GettingStarted.CreatingConnecting.SQLServer.html

文字通り、ユーザーにテストDBを公開としてセットアップするように

指示

10McAfee Information Technology

CUSTOMER CLOUD CENTER OF EXCELLENCE (COE)

AWS CLOUD ADOPTION FRAMEWORK DELIVERY KITS

PROJECT

FOUNDATION

MIGRATION

REINVENTION

INNOVATION

RETIRE TECH

DEBT

Value

Time

現在の主なフォーカス

AWSクラウド化のステージ

移行後に最適化されたアプリの価値やコスト削減率が急増

価値

イノベーション

再発明

古いテクノロジーの整理

プロジェクト

基盤

時間

AWSクラウド化実現までの道のり

お客様のクラウド センター・オブ・エクセレンス（CoE）

移行

11McAfee Information Technology

見えているカルチャートレンド

移行前

▪ 失敗は許されない

▪ コマンド＆コントロール

▪ サイロ化「壁を超えさせる」

▪ 現場構築／デプロイ

▪ 長期的なデューデリジェンス

▪ 標準化

▪ 人材のアウトソーシング

▪ 製品ごとに調節

移行後

学習（少しずつ始めて、経験を積み、改良を重ねる）

責任の分散（クラウドチームがガイドを提供）

DevOpsと機能横断型チーム

自動化：コードとしてのインフラ、プロジェクトごとのデプロイ

早期かつ頻繁に実施

参照アーキテクチャ、固定観念なし、極めて限定された基準

社内の人材を起用／極めて限られた部分のみ提携

すべてのアプリ向けのデプロイコード記述とポリシー自動化

12McAfee Information Technology

Accenture 2019（レポートは別途、提供）

0%

10%

20%

30%

40%

50%

60%

Summary Just Starting Moderate Heavy Private Public Hybrid

Cost Speed Bus Enablement Services Levels

図1：目指すクラウド化の「完全達成」率（2019年Accenture調べ；完全版のレポートあり）

クラウド化の目標は達成されていない。その最大の原因はセキュリティ。

全体 初期ステージ 中間ステージ 終盤ステージ プライベート パブリック ハイブリット

コスト スピード ビジネスイネーブルメント

サービスレベル

13McAfee Information Technology

0%

10%

20%

30%

40%

50%

60%

70%

80%

Overall

セキュリティを達成できない理由

Skills Infrastructure Sprawl Misalignment Complexity Security

Accenture 2019（レポートは別途、提供）

全体

スキル インフラストラクチャ スプロール化 目標設定ミス 複雑さ セキュリティ

14McAfee Information Technology

CSPがクラウドセキュリティに不十分な理由

1. 主なクラウドプログラムで目標を達成できない最大の理由はセキュリティである（2019年Accenture調べ）

2. 全3社の大手アナリストレポートにおいて、マカフィーは実現能力とビジョンの分野でリーダー地位を獲得（3年連続）：全3社がマイクロソフトのクラウドセキュリティ機能を疑問視

3. クラウド化によって不要な複雑性やリスクが緩和される。使いづらいセキュリティツールは、クラウドプログラム／開発プロジェクト全体を滞らせる。

CASBがセーフティネットとなり、開発／ビジネスチームによる迅速なクラウド技術革新をサポート

15McAfee Information Technology

全3社のCASBレポートでリーダーを獲得

注意：マカフィーは、2018年1月にSkyhigh Networksを買収

McAfee McAfee

McAfee

16McAfee Information Technology

McAfee recognized as 2019Gartner Peer Insights Customer’s Choice for Cloud Access Security Brokers(CASB)

#2

#3

173

61

58

Over Rating

4.6

4.6

4.5

17McAfee Information Technology

企業の機密データは、クラウドのどこに保存されていますか？

Salesforce

Office 365

Google Docs

Slack

AWS

カスタムアプリ

Box

ServiceNow

高リスクのシャドー

中／低リスクのシャドー

31%

13%

11%

16%

8%

5%5%

7%

2%

2%

お客様のデータに関するトレンド

18McAfee Information Technology

ネットワークセキュリティ

IaaS／PaaSインスタンス強化と脆

弱性スキャンウイルス対策とマル

ウェア防御IaaSのためのパッチ管理（アプリチーム）

ネットワークの区分化とファイアウォール

ウェブアプリケーションのファイアウォール

DDOS防御 送信データの暗号化

アプリケーションセキュリティテスト

SaaS

IDとアクセス管理（IAM）

多要素認証（MFA）（内部ユーザー）*

ID管理* アクセス制御 特権アクセス管理

イベントロギングと監視の一元化

証明書とキー管理

脅威インテリジェンス

CSP専用（構成管理要、テーブルステークス）

最優先 セキュリティ管理作業進行中 セキュリティ管理最適化済み

クラウドセキュリティプラットフォーム

IaaS／PaaSにおける重要構成の管理

ロギングやアラートの一元化

（IaaS／PaaS／SaaS）

電子探索／保存データの分類

ユーザーとエンティティの振る舞い分析（UEBA）（超人的な振る舞いなど）

DLPクロスプラットフォームポリシー管理

フォワードプロキシ／シャドーITの制御

協業と管理の共有私物端末の業務利用（BYOD）／アンマネージドデバイスの制御

eメールのDLP

データ探索、コンプライアンス義務を伴うO365、S3、TBD SaaSのためのデータ損

失防止（DLP）

アプリケーションセキュリティ

顧客向けアプリケーションのIAMとMFA

コードの衛生とテスト、アプリ脆弱性ス

キャン

「ビッグデータ」とデータベースセキュリティ（アクセス制

御？）

アプリケーションデータベース脆弱性スキャ

ン

顧客データの保持と暗号化

クラウドセキュリティのための参照アーキテクチャ作業の優先順位：ビジネスや優先度に合わせて調整

19McAfee Information Technology

IaaS/PaaSインスタンス強化と脆弱性スキャン

ウイルス対策とマルウェア防御

IaaSのためのパッチ管理

（アプリチーム）

ネットワークの区分化とファイアウォール

ウェブアプリケーションのファイアウォール

DDOS防御 送信データの暗号化

アプリケーションセキュリティテスト

SaaS

多要素認証（MFA）（内部ユーザー）*

ID管理* アクセス制御 特権アクセス管理

イベントロギングと監視の一元化

証明書とキー管理

脅威インテリジェンス

IaaS／PaaSにおける重要構成の管理

ロギングやアラートの一元化

（IaaS／PaaS／SaaS）

電子探索／保存データの分類

ユーザーとエンティティの振る舞い分析（UEBA）（超人的な振る舞いなど）

DLPクロスプラットフォームポリシー管理

フォワードプロキシ／シャドーITの制御

協業と管理の共有私物端末の業務利用（BYOD）／アンマネージドデバイスの制御

eメールのDLP

データ探索、コンプライアンス義務を伴うO365、S3、TBD SaaSのためのデータ損

失防止（DLP）

顧客向けアプリケーションのIAMとMFA

コードの衛生とテスト

「ビッグデータ」とデータベースセキュリティ（アクセス制

御？）

アプリケーションデータベース脆弱性

スキャン

顧客データの保持と暗号化

クラウドセキュリティのための参照アーキテクチャ作業の優先順位：ビジネスや優先度に合わせて調整

IDとアクセス管理（IAM）

クラウドセキュリティプラットフォーム

ネットワークセキュリティ

アプリケーションセキュリティ

CSP専用（構成管理要、テーブルステークス）

最優先 セキュリティ管理作業進行中 セキュリティ管理最適化済み

20McAfee Information Technology

▪ DLP

▪ 削除／隔離▪ 暗号化▪ アクセス▪ 設定

制御

▪ 対象：データ、アプリ、ユーザー、デバイス

▪ 閲覧者▪ 閲覧場所▪ 閲覧時▪ 共有

可視性

MVISION Cloud

SaaS IaaS／PaaS シャドー

アンマネージド マネージド

MVISION Cloudを利用するメリット

21McAfee Information Technology

McAfee MVISION Cloudが、クラウド内のすべての顧客データを保護

ロングテールSAAS

共通のセキュリティサービス

DLP

活動の監視アクセス制御

マルウェア保護UEBA

暗号化

設定監査

コンプライアンスとリスク評価

分類

シャドーアプリエンタープライズSAAS

クラウド専用IAAS／PAAS

リフト＆シフトアプリ

レポート オーケストレーション

データ保護 脅威防御

22McAfee Information Technology

16%

31%

8%

7%

13%

11%

5%5%

Salesforce

Office 365

Google Docs

2%

Slack

2%

AWS

カスタムアプリ

Box

ServiceNow

高リスクのシャドー

中／低リスクのシャドー

MVISION Cloudクラウドセキュリティに完全対応

出典：McAfee Cloud Adoption Report（マカフィーのクラウドの採用に関するレポート：2018年11月版）

McAfee, the McAfee logo and [insert <other relevant McAfee Names>] are trademarks or registered trademarks of McAfee LLC or its subsidiaries in the U.S. and/or other countries.

Other names and brands may be claimed as the property of others.

Copyright © 2017 McAfee LLC.