Making the Media S2E03:Safe and Sound(クラウドでメディアの安全性を確保)

By in ニュース・トピックス, ビデオ, 報道
image_pdfimage_print

メディアの世界でクラウドはリモート・ワークをサポートして、分散するチームを繋ぎ、新たな可能性を生み出します。しかし、セキュリティが制作の主要な検討事項となった今、コンテンツの安全性を確保するためには、どのような戦略がベストなのでしょうか?

クラウドの安全性に関する神話に偽りがあることを証明しつつ、オンプレミスの安全性が常に最善の選択肢であるという前提にも疑問を投げかけます。

今回の概要:

  • クラウドでメディア・ワークフローを展開する際の検討課題
  • 安全性に関して、クラウド事業者とお客さまの間で責任を共有することの重要性
  • セキュリティ侵害を受けた時に考えるべき方策

 

ゲスト

ジョエル・スロッス(Joel Sloss)氏 – クラウド・プラットフォーム Microsoft Azure シニアプログラムマネージャー

過去25年にわたり、ジョエル(Joel)は企業のITおよびセキュリティの最前線にいます。Windows NT Magazineでテクニカル・エディターを務めた後、1997年Microsoftに入社しました。Windows NT Magazineでは、100以上の記事や製品レビューを執筆、数冊の書籍に寄稿して、多くのハードウェアやソフトウェア・ベンダーを悩ませました。Microsoftでは、事務職からISA Server、モバイル・サービスの製品ラインの管理を経て、最近ではAzureエンジニアリング・チームのセキュリティおよびコンプライアンス戦略を統括しています。また、この間、データ保護、ネットワーク・セキュリティ、安全な管理、アーキテクチャの基礎、ポリシーおよびプロセスなどに関する数多くのホワイトペーパーを執筆しています。現在は、デジタル・メディア&エンターテインメント業界、同業界のコンプライアンス目標(セキュリティ認証など)、パブリック・クラウドにおけるプライバシーのニーズ等に重点的に取り組んでいます。2016年からCDSAの理事を務め、『Bobbleheads: The Movie』(2020年、ユニバーサル・ピクチャーズ)の [クラウド] テクニカル・アドバイザーを務めました。また、業界カンファレンスの人気登壇者です。

想定される侵害、侵入テスト、定期的なログ作成、脅威の検知などの戦略は、継続的なセキュリティ戦略において、最良の味方になります。 – ジョエル・スロッス(Joel Sloss)、Microsoft Azure

エピソードの記録

(ポッドキャストの文字起こし)

 

クレイグ・ウィルソン(以下「CW」という):こんにちは。「Making the Media podcast」へようこそ。クレイグ・ウィルソン(Craig Wilson)です。お聴きいただきありがとうございます。

メディア関係者であれば、外界をシャッタアウトしていない限り、クラウド利用への関心が驚くほど高まっていることに気付かれているでしょう。ネット配信、アーカイブ、Avid | Edit On Demandなどの編集およびストレージの本格ソリューション、リモート・ワーク、災害復旧や事業継続など、オンプレミスからクラウドへのワークフローの移行は、業界で常に話題となっています。1つはっきりしていることは、ワークフローを実現するものとして、クラウドは変革をもたらす可能性がある一方で、セキュリティが変わらず最優先事項であるということです。自社施設内のワークフローでもそうですが、クラウドを検討する場合、論争はさらに大きくなります。

これらの問題に取り組むにあたり、世界最大のクラウド・プラットフォームMicrosoft Azureのシニア・プログラム・マネージャを務めるジョエル・スロッス氏に話を聞きました。スロッス氏は、25年以上にわたり、企業のITおよびセキュリティ分野で活躍してきました。今は、デジタル・メディア&エンターテインメント業界、同業界のコンプライアンス目標、パブリック・クラウドにおけるプライバシーのニーズに重点的に取り組んでいます。クラウドの導入に興味を持つお客さまが、セキュリティに関して最も懸念することは何ですか?という質問から始めました。

ジョエル・スロッス氏(以下「JS氏」という):人々の懸念には、幾つかのベクトルがあると言えるでしょう。1つは、コンテンツがクラウドにある時、およびクラウドにあるコンテンツで作業している時の保護についてです。もう1つは、コンテンツの入手方法という少しメカニカルな問題です。単なるデイリーなのか、制作スタッフへのライブ・ストリーミングなのか。または、クラウドへ保存したコンテンツの扱い方などです。それは、大きな悩みの種になりがちです。

ここではセキュリティの話をしているので、当然ながら、編集されるデータはどうなるのか?制作前の漏洩は、最もダメージが大きなものの1つなので、環境のロックダウン、アクセス制御、暗号化など力を入れる必要があるのです。

 

クレイグ・ウィルソン:明らかに、人々には、数々の懸念があります。では、そのような不安を払しょくするために、どのように協業に取り組んでいますか?Microsoftがお客様に「確かに課題はあります。しかし、やりたいことはすべて実現可能です」と言えるまでに、どのような段階を踏むのでしょうか。

 

JS氏:おそらく、最初に言われるのは、「信頼できるか?」です。人々は、信頼を一番に考える傾向があります。コンテンツがAvid NEXISのようなローカル・ストレージアレイに保存されているか否かにかかわらず、四方の壁に囲まれていれば、不正アクセスや盗難、破損を防ぐことができると感じて、安心します。

しかし、クラウドへ移行すると、突然、スタジオや制作会社が制御できない環境に置かれることになります。そこで、Azureでは、プラットフォームで信頼を構築するところから始めます。クラウド展開について人々がどのように感じるかだけでなく、セキュリティ要件が満たされていることを示すために目に見えるもの、具体的なものを示すことで、信頼が生まれます。そして、その上にAzure Defenderや暗号化などのセキュリティ・サービスを重ねるというAzure自体の基本的な構築方法で実行します。Azure上のAvid NEXISのようなソフトウェア・ストレージ・ソリューションでも、その管理方法、アクセス方法、保護レベル、Appleかどうか、ID管理、基本的な暗号化などを可視化します。

次に、ガイダンスを提示します。エンド・ツー・エンドでコンテンツを保護するために使用できる自動化とツールを紹介します。VPNやExpress Route Linkを利用して、設定してツールを展開できる隔離されたサブスクリプション環境へコンテンツを転送する時に、コンテンツを保護する方法を説明することができます。それによって、スタジオ環境やプロダクション、または個人のアーティストでも、ユーザーは、データの使用や隔離、保護の状況について、常にエンド・ツー・エンドで可視化することができます。

 

CW:いくつか興味深い点をあげていただきましたので、少し掘り下げてみたいと思います。1つ目は、仰るように、これが共有責任であることは明らかです。これは、顧客が責任を持つべきことであり、当然ながら、クラウド事業者にも責任があります。

では、境界線はどこにあるのでしょう?実際、境界線がどこにあるのかを明確にする必要があると思うのです。

 

JS氏:責任の共有は、顧客にとって理解しがたいことの1つでしょう。まず、映画制作の原点に立ち返ってみましょう。オフィスには、カメラ、メモリーカード、ストレージ・アレイがあります。自分の腕で抱えることができれば、責任と説明責任を容易に実感でき、コンテンツを渡す相手もわかります。

他所の施設にデータを送る場合、「Azureですか。すべての認証を取得した?素晴らしい。何もする必要ないね」といった混乱が生じます。しかし、実際にはそうではありません。

責任分担とは、ローカルのデータや環境を保護するのと同様のことを、クラウドでも行う必要があるということです。サブスクリプションやテナント契約には、データセンターの物理的なセキュリティから、個々のサーバーやストレージ・アレイのデータ処理メカニズムに至るまで、間違いなく様々なものが組み込まれています。つまり、その部分の責任は私たちの側にあるので、お客様は心配する必要はありません。しかし、お客様のプライベートなストレージに関しては、自社のITと同等の保護が必要です。コントロールを設定する必要があります。暗号化に対応する必要があります。誰が、いつ、どのように、どこで何をしているか分かるようモニタリングやログ作成、アラートに取り組まなければなりません。それは、複雑ゆえに忘れられがちです。

小規模な制作会社では多くの場合、そのような専門知識を持つ人がいません。なので、この分岐点を理解することが、本当に本当に重要です。これは、設定するだけで、あとの操作は一切不要という種類のものではないのです。

 

CW:そうですね。もう1つ気になるのは、今おっしゃっていたことですが、私も多くのお客さまと話をしてきました。彼らも、お話しにあったようなことを懸念しています。オンプレミスであれば、おっしゃるとおり、自分の腕の中である程度コントロールできると感じられるものがあります。しかし現実では、誰かがUSBメモリを持ってサーバールームに入り、マシンに差し込んでメディアを書き出し、出ていくということが可能です。また、コロナ禍では、スニーカーネットを使って、ドライブやものを移動するということも行われています。

同意されるかどうかわかりませんが、オンプレミス環境での安全性については、ある程度、誤った認識が持たれているように思います。また、クラウドで起こりうることを過剰に心配しているようです。クラウド事業者が基本中の基本であるセキュリティを確保できなければ、ビジネスとして成り立たないでしょう。そのあたりについては、どうお考えですか?

 

JS氏:確かに、対立する視点や考え方がたくさんあります。WindowとLinuxの間のどちらがより安全か、どのくらいコードをコントロールできるかという昔あった争いに若干似ています。Linuxはオープンソースで好きなようにできるから、より多くの人がセキュリティに取り組むと考える人もいました。確かに、当時は、まったくの見当違いでした。つまり、物理的資産であろうとデータであろうと、その資産を物理的に所有する場合には、保護することが前提となるのです。今回のコロナ禍では、マシンやカメラ、カード、ドライブを物理的制御したことで、どちらかというと、人々を数年後退させたようです。業界は、ドライブの暗号化と同じくらいシンプルに、セキュリティのメカニズムを強化することを受け入れつつあったと思います。

しかし、おっしゃるように、今は誰もが自宅で仕事をしていて、スタジオの安全なストレージに格納せずに、同僚宅まで車を走らせ、OneDriveから出したものを渡すというスタイルに戻ろうとしています。今私たちは、そのアーキテクチャを念頭に置いて、セキュリティがどのような役割を果たすかを理解し、配慮を高めたやり方でこれを推進しなくてはなりません。

物理的デバイスに物を置くという考え方は、クラウドには当てはまりません。物理的デバイスは安全であるという前提が、そもそも正しくないのです。おっしゃるように、誰かがドライブを持ち出すことができます。LaCieのスタックを丸ごと手に入れたり、空港でノートパソコンを掴んで、プロジェクトを丸々手に入れたりできるのです。しかし、セキュア・エンタープライズの考え方で安全なストレージを使うことで、コントロールを取り戻すことができます。

 

CW:それは、脅威の軽減や排除に関する話ですか?それは、常に進化する分野のように思います。

 

JS氏:誰かがドライブをもって立ち去る脅威があることは理解されているので、間違いなく防御と軽減から始めます。しかし、防御できることは限られています。ドアには鍵があります。しかし、ドアを開けた瞬間、誰かが入ってきたとしたら。物理的にドアには鍵がかかっておらず、誰かが入ってきて持ち去ることができます。

同様のものがクラウドにも存在します。「クラウドは信頼できるもの?誰かのストレージ環境にいれても安全?」という先ほどの質問に戻ると、防御は、軽減策を含む戦略の一部になります。おそらく、見過ごされて、却下されるものですが、それが、想定する侵害です。なぜなら、自分のIT環境であっても、誰も聞いていないという保障はないからです。ランサムウェアの攻撃や侵入、そして、意図的か偶発的かに関わらず、企業内の信頼できる個人からのコンテンツの流出などをみれば良く分かります。

これらのコンセプトの1つを単独で取り上げて、それが本当に必要なものを与えてくれると考えることはできません。多層防御は、防御の削減であり、脅威の特定です。そして、侵害を理解することから防御、軽減、対処、回復へと導くライフ・サイクル全体を規定します。そして、後半の段階で事業を守ります。

近頃は、大規模なランサムウェア攻撃が発生しています。攻撃を受けたら、それでゲームオーバーだと思うでしょう。しかし、事前に適切な戦略を立て、検知した場合、何かが発生した時に作動するポリシーやシステムがあれば、システムや仕組みが、侵害発生の前に実行されます。バックアップはありますか?銀行や電気会社と同じことが、メディア環境にも当てはまります。毎日バックアップを取り、バックアップをテストして、クラウドであれ物理的な施設であれ、社外のストレージに送られるデータが適正であることを認識していれば、たとえ被害を受けたとしても、失うのはせいぜい一日分の作業です。日中に複数回、増分バックアップを実行していれば、12時間前、24時間前に記録されたイメージやデータに戻るだけです。つまり、軽減戦略から次の復旧戦略へ移るのです。

ご存じのように、「被害範囲を最小限に抑える」とは、すぐに復旧できるようにすることです。仕事の多くを失ってはいません。ランサムウェアのようなものには、確実に有効です。しかし、データ盗難への対応は、明らかにもう少し困難です。持続的な脅威があり、誰かがゆっくり全てのコンテンツを漏洩していて、それに気付かないような場合には、想定侵害、侵入テスト、定期的なログ作成、脅威検出などの戦略が、継続的なセキュリティ戦略における最善の武器になります。

 

CW:信頼は非常に重要な要素です。それについては、実際、ポッドキャストでもさまざま」な方々と話してきました。1つお聞きしたいのは、メディア向けのクラウド・セキュリティは、他の業界向けのクラウド・セキュリティと何か違いがあるのか、それとも本質的に同じなのかということです。

 

JS氏:誰もが自分は特別な存在で、「自分のコンテンツは他の誰のものより重要だ。もっとお金がかかってる」と思っています。確かにM&E業界では、何十億というお金がかかっています。数年前に、大ヒット映画の公開では、制作前のリーク、特に内容全体のリークは、600~700億円の興行収入につながる可能性があるという研究論文があったのを覚えています。ストリーミングが存在する今、それがどこまで正しいかわかりませんが。劇場公開について、私は市場分析の専門家ではありませんが、ある業界は他の業界よりも貴重なデータを持っている、あるいは保護が行き届いているという前提があると思います。

M&E業界が抱える課題は、成熟度であると考えます。政府や金融、医療といった分野では、人命にかかわるため、最先端のセキュリティ、戦略、イノベーションが不可欠です。M&Eでは、もう少し長期的に考えます。特に企業レベルでは、技術の導入に時間がかかります。それから急ピッチで制作を進めて、半年後に戻すというようなことも。さらに、環境が安定しないため、安全性の維持はより複雑になります。

つまり、答えは「はい」。M&Eには他の業界にはない課題があると言えるでしょう。しかし、自身を守る方法は同じです。どんなデータを扱っているかは関係ありません。メディアは、他の業界のやり方から多くを学ぶことができ、自動化を使用して、編集や視覚効果、またはもっと一般的なポストプロダクションのプロセスなど、使用するワークフローの種類に合わせて調整することができます。セキュリティは、「自分は他の誰よりも特別だ」という全体的な見方ではなく、データとその重要性をどのように理解し、保護するために何をするかによって決まります。

 

CW:例えば、多国籍企業と連携する場合、グローバルに展開し、クラウドがそのような組織にもたらすメリットを活用したいと考える大規模な組織では、さまざまなデータセンターのどこにマテリアルがあり、どのように共有されているのか、懸念されることが多くないですか?そういう時は、どのように対処しますか?

 

JS氏:今は、10年前にはもちろん、5年前にもなかったような興味深い方法でデータを扱っています。制作会社はカメラデータだけを扱うわけではないため、国際的な個人情報保護基準が何らかの障壁をもたらします。中小企業でも大企業でも、人事関連資料や請求書、日々の業務データなど、あらゆるものを所持しています。スタッフや人材の個人を特定できる情報(PII)を扱う場合、そして国外にいる場合、そのデータには居住要件が発生します。個人情報保護の要件が発生します。もし個人を特定できるようなものがあれば、それは国内にとどめなくてはなりません。そこに、使用できるデータセンターがありますか?多くの場合、特にAzureでは、適切な場所すべてにデータセンターを配置しています。しかし、コンテンツを世界のどこかに転送すると、そこではネットワークに上げることすら許されず、また常駐場所からコードが盗まれるかもしれません。

 

CW:ここ数年、Avidの中で、クラウドの利用を検討する人が爆発的に増えていると感じています。在宅勤務や分散するチームなど、理由はさまざまです。Microsoftの側からみて、この一年半くらいに、このようなクラウド環境に参入しようとする人々について、個人的にどのように思われますか。クラウドへの関心は爆発的に高まっていますか?

 

JS氏:追いつけないくらいの勢いがあります。Teamsを例にとると、皆が自宅にこもり始めると、すぐに必要な要件や容量が爆発的に増えて、少し時間がかかってしまいました。M&Eでは、企業環境としてすでにインフラと機能を備えていることが多いため、他の業界よりも対処に少し長くかかるかもしれません。単に規模が不足していただけです。出先から仕事する、病気なら自宅からアクセスするなどしていましたが、みんなが同時にアクセスして、実行しようとしていたわけではないからです。

メディアには、そのためのインフラがありませんでした。そこで、物理的な施設にアクセスする方法をあれこれ考えました。編集設備・インフラがスタジオにある場合、現在、そこに行って使うことはできません。では、データを取得するために、自宅から会社やスタジオ環境にVPNを設定するにはどうすればよいでしょう?自宅のローカル・ワークステーションにMedia Composerをインストールしたけれども、すべてのものが制作オフィスのAvid NEXISにある場合、どうやったら転送を始められるのでしょう?

当初、人々はあまりクラウドについて考えず、「大変だ、どうやって仕事を続けよう?」という感じでした。その後、事態が落ち着いてくると、「使えそうなツールが他にもある」と人々は学び始めました。すると、面白いようにクラウドは、「そこに自分のものを置いておけるのか?信頼できるのか?仕事をするにはそれしか方法がないのだから、信頼するしかない」から、「どうすれば、効率的かつ生産的に行えるのか?誰でもアクセスできる?」に変わりました。そして、「クラウドで実際に制作が行えるのか?色深度やデータの整合性、忠実性など維持できる?自分のワークステーションの経験は、十分なのだろうか?」と言う話にシフトしていきました。ビデオ通話と同様、スタジオの物理的なワークステーションだけでなく、クラウドでホストされている仮想ワークステーションへのリモート・デスクトップも可能にする必要性から、この機能の使用はほぼ一夜にして爆発的に増加しました。そして、人々がそんなことを考えもしなかったところから、今では、世界中に人々が分散するため、共有できるコンピューターのパワーとストレージへアクセスすることが生命線になるところまできました。

ここ2年ほど、Threshold Entertainmentというスタジオと『Bobbleheads: The Movie』という映画プロジェクトに取り組みました。プロジェクトは、本当にグローバルな協業でした。アーティストはネパールにいて、スタジオはLAにあります。Azureデータセンターを介してデータを共有しました。Azureでレンダリングしたら、メールや民生の共有を使ってドライブなどを送ろうとせずに、Azureストレージ内で編集ファイルを共有してやりとりしました。既にある技術を使い、以前は存在しなかった、あるいは人々が考えもしなかったようなリモート・アーティストに機能を提供するよう応用するだけでした。そこで、興味と理解が突然変化したのかという質問ですが、答えは「もちろん」です。以前からあった動きが、超高速回転し始めました。

 

CW:考えるべきこと、検討すべきことは間違いなくたくさんあります。では、ポッドキャストで皆さんに聞いている質問をお聞きします。状況を見た時に、夜も眠れなくなるようなことがあるとしたら、どんなことですか?

人々を説得することでしょうか。水場に馬を連れていくことはできても、水を飲ませることはできない。ツールやガイダンス、プラットフォームを提供し、やり方を丁寧に教えることはできます。しかしそれを維持すること。それが一番難しい部分です。

アドバイザーである私たちにとっても難しいので、ベンダーやパートナー、あるいはアーティストである皆さんにとっては間違いなく大変なことだと思います。繰り返し耳にするのは、「制作予算が厳しい?最初に削られるものは?セキュリティ」です。複雑であるがゆえに、セキュリティは理解してもらえません。皆がセキュリティを考えず、真剣に取り組まなければ、どんなにパワフルなパスワードを設定しようとも、脆弱な部分から全てが崩壊してしまいます。ユーザーに任せられない場合(ユーザーが信頼できないというつもりはありませんが)には、それを代行してくれるツールを活用する必要があります。パスワードを覚えられず、付箋に書いている人がいたら、そのパスワードは削除します。多要素認証を導入して、iPhoneの指紋認証で、ログインできるようにします。そのような、テクノロジーが可能にしてくれることが、新しいリモート制作の世界では、心強い味方になります。

 

CW:参加してくれたジョエルに感謝します。いかがだったでしょうか?感想をお聞かせください。私のTwitterとInstagramアカウントは、ユーザー名@CraigAW196です。または、メールでMakingthemedia@avid.comへまで、お寄せください。

フランス・テレヴィジオン(France TV)がAvid | Edit On Demandを使ってワークフローの一部をクラウドに移行した方法、オンプレミスとクラウドの導入バランスを検討する際に考慮すべき点についての詳細は、ショーノートをご覧ください。

今回のポッドキャストはこれで終わりです。プロデューサーのマット・ディッグス(Matt Diggs)、ソーシャル・プロデューサのウィム・ヴァン デン ブロイーク(Wim Van den Broeck)、そして何より時間を割いてお聴きいただいた皆さまに感謝します。今回の内容が気に入ったら、感想を投稿したり、ポッドキャストをネットワークで共有したりしてください。クレイグ・ウィルソンでした。次回のMaking the Mediaをお楽しみに!

メディア・エンタープライズのクラウド導入

どのようなワークフローがクラウドに移行できますか?また、その方法は?