社内ネットワークとインターネットの間にファイアウォールを挟んで社内のサーバ類を守るのがこれまでのセキュリティ・アーキテクチャであった。クラウドに移行すると、クラウド環境に移った社内システムを守る仕組みが必要となり、クラウドベンダーによるセキュリティサービスの提供が始まっている。一方、社内ネットワーク側は守るものが減り、セキュリティ・アーキテクチャは大きく変わりつつある。
クラウドサービスが登場するまでの一般的なセキュリティ対策は、社内ネットワークとインターネットの間にファイアウォールやIPS(Intrusion Prevention System)/IDS(Intrusion Detection System)を設置・分断し、社外(インターネット)からの攻撃を防御するとともに、内部からの情報漏洩・改ざん、外部メディアによる侵入に対応するため、以下のようなセキュリティ・アーキテクチャ(セキュリティ製品・サービスの組み合わせ)を構築してきた。
(1)ゲートウェイ系セキュリティ製品・サービス
社内ネットワークとインターネットの境界に設置され、社外からの攻撃をゲートウェイで防御するセキュリティ製品・サービスであり、ファイアウォール/UTM(Unified Threat Management)、WAF(Web Application Firewall)、IPS/IDS、サンドボックスなどが該当する。
(2)サーバ系セキュリティ製品・サービス
ゲートウェイを越えてくる攻撃や、内部からの攻撃を防ぐセキュリティ製品・サービスであり、ID/アクセス管理、DLP(Data Loss Prevention)、IRM(Information Rights Management)、改ざん検知、暗号化などが該当する。
(3)エンドポイント系セキュリティ製品・サービス
ゲートウェイを越えてマルウェアや外部メディアに潜んで侵入してくるマルウェアへの対策や、情報漏洩対策の暗号化などが該当する。