クラウド利用におけるセキュリティ対策
みなさま、こんにちは。
昨今の企業活動においては、ビジネスの拡張性や俊敏性の確保の為、クラウドの利用が当たり前になりました。
以前は、クラウド利用におけるリスクなども数多く語られておりましたが、各クラウドベンダーの対策が評価され、近年においては官公庁や金融機関、医療関連システムなど、セキュリティ要件が高い分野においても、積極的に活用されていますね。
そこで、今回はクラウド利用におけるセキュリティ対策について考察していきたいと思います。
クラウドサービスの種類について
既にご存じの方が大多数だと思いますが、まずは改めてクラウドサービスの種類について少しおさらいしておきます。
クラウドサービスは、大別して以下のどちらかに分類されます。
パブリッククラウド
クラウドベンダーが利用者を問わず、インターネット上で広くサービス提供しているクラウドサービスを指します。
一般的には、CPU、メモリ、ストレージ等のコンピューティングリソースを複数ユーザで共有します。
プライベートクラウド
特定のユーザが環境を占有して利用するクラウド環境を意味しており、ユーザ独自で構築する場合もあれば、クラウドベンダーが他のユーザと隔離した占有環境を提供するモデルもあります。
これらを組み合わせたハイブリッドクラウドや、複数のクラウドベンダーの環境を連携させたマルチクラウドといった利用形態も増えてきています。
また、主にパブリッククラウドの場合は、サービス利用形態も以下の3種類に大別されます。
SaaS(Software as a Service)
電子メール、グループウェア、顧客管理システム、財務会計ソフトなど様々なソフトウェアをインターネット経由で利用できるサービス形態を指します。
PaaS(Platform as a Service)
WEBサーバやデータベース等のアプリケーションの実行環境や機能をインターネット経由で利用できるサービス形態を指します。
IaaS(Infrastructure as a Service)
仮想化されたサーバや共有ディスク等のコンピューティングリソース、インフラ環境をインターネット経由で利用するサービス形態を指します。
今回は、世界的に利用が加速しているプライベートクラウド利用におけるセキュリティ対策についてお話していきます。
プライベートクラウドの代表格としては、AWS(Amazon Web Service)やMicrosoft Azure等を耳にする事が多いのではないでしょうか?
AWS公式サイト:https://aws.amazon.com/jp
Azure公式サイト:https://azure.microsoft.com/ja-jp/
クラウドのセキュリティの考え方
クラウドベンダーが提供するサービスの多くは、「責任共有モデル」という考え方が適用されており、クラウドベンダー側、ユーザ側のそれぞれで意識すべきレイヤーが異なります。
クラウドベンダー側の対策例
・データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策など)
・データのバックアップ
・ハードウェア機器の障害対策
・仮想サーバなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性(ぜいじゃくせい)の判定と対策
・不正アクセスの防止
・アクセスログの管理
・通信の暗号化の有無
など
ユーザ側の対策例
・障害等によるデータ消失
・サイバー攻撃等による情報流出
・アカウントの不正利用
など
このように、クラウドサービスベンダー側のセキュリティ体制に依存するところもありますが、クラウドサービスは、インターネット経由で利用する事を前提としていますので、常になんらかのセキュリティリスクに晒されているという意識を持つ事が大切ですが、
近年では、様々な技術革新が進み、クラウドのアーキテクチャも以前とは異なるものとなり、意識すべきセキュリティ要件も変わってきています。
次項では、ユーザ側が意識すべきポイントの詳細をお話しします。
クラウド利用においてユーザ側が意識すべきポイント
アカウントの管理や管理設定項目
基本的な事ですが、クラウドサービスを利用するためにはユーザ登録を実施し、アカウントは取得する必要があります。
しかしながら、アカウント情報に含まれるIDやパスワードの管理が疎かになっていたり、クラウド利用におけるアクセス権限の設定等が不適切であったりという理由でのセキュリティ事故が近年増加傾向にあります。
クラウド利用における基本中の基本と考えて、クラウド利用時にはまず確実に留意すべき事項と言えます。
これらの管理設定項目等の状態を診断・可視化するサービスもあり、当社でも提供しています。
クラウド環境設定診断サービス
サイバー攻撃等による情報流出
次にユーザ側が意識すべきポイントは、やはり外部からの攻撃に対する対策です。
IaaSの利用においては、システムプラットフォーム領域の管理もユーザ側になりますので、OSやミドルウェア等の脆弱性についても、しっかり対策しておく事が必要です。
また、最近ではコンテナ、サーバレスといったクラウドネイティブなアーキテクチャの登場により、PaaSの利用も加速しています。
マイクロサービスやイミュータブルインフラストラクチャーといった、クラウドネイティブならではのWEBアプリケーション運用も定着してきました。
このような利用形態の場合は、分散されたアプリケーションや機能が複雑に連携して成り立っていますので、インタフェースやAPI等に関する設定や脆弱性に留意しておく必要があります。
このように、クラウド利用において、特にクラウドの利点を最大限に活用した利用を想定し場合は、着目すべき点が変わってきます。
M&Kでは、クラウド利用に関しても、セキュリティ面も考慮したWEBアプリケーションの実行環境の設計・構築を経験豊富なコンサルタント、エンジニアが支援します。
インテグレーションサービス
何かお悩みの点がございましたら、お気軽にご相談ください。