トピックス 2020.07.17 普及を見せるクラウドインフラ。セキュリティはクラウドプロバイダ任せ?
総務省による令和元年通信利用動向調査によると、日本の企業のクラウドサービスの利用状況は上昇傾向を続けおり、その利用率は初めて60%を超えました。
普及を見せているクラウドサービスですが、実はセキュリティ上のリスクも存在します。
クラウドプロバイダの提供するサービス上の脆弱性よりも、深刻な被害の原因になると予想されているのが設定漏れや誤りによるセキュリティーホールの発生です。
今回の記事ではクラウド環境を利用する際のセキュリティに関する注意事項についてご紹介していきます。
改めておさらいクラウドサービスとは?
クラウドサービスとは、インターネットを介して他のコンピュータ(サーバー)の環境やソフトウェアを利用できるサービスです。
例えば、GmailやYahooメールなどのWebメールも、インターネット上に接続された他のコンピュータ上のEメールのソフトウェアを利用しているためクラウドサービスと言うことができます。
また、クラウドサービスにはいくつかの種類があり、その代表的なものがSaaS、PaaS、IaaSです。
コンピュータソフトウェアは単純化して言うと、次に挙げるの3つの階層で構成されています。
・ハードウェアやネットワークなどのインフラ層
・OSやミドルウェア等のプラットフォーム層
・プログラムなどのソフトウェア層
この3つの層のどのレベルのサービスを提供するかによってクラウドサービスの分類も分かれており、IaaS(Infrastructure as a Service)はインフラ層、PaaS(Platform as a Service)はプラットフォーム層、SaaS(Software as a Service)はソフトウェア層に当たります。
SaaSの例としては、先ほどあげたGmailの他にDropBoxなどのストレージサービスやMicrosoft Office 365などが存在します。
クラウドサービスにおける責任共有モデル
先ほどはSaaSの例をご紹介しましたが、PaaSやIaaSにはメガクラウドと呼ばれる大手IT企業が提供するクラウドサービスがあります。
Amazonが提供するAmazon Web Services(AWS)、Microsoftが提供を行うAzure、Googleが運営するGoogle Cloud Platform(GCP)などが有名です。
そして、これらのクラウド環境におけるセキュリティ対策については、責任共有モデルという方式が提唱されています。
クラウドサービスにおけるセキュリティ対策は、各クラウドサービスを提供するクラウドプロバイダーとそれを利用する利用者の間で役割を分担するという考え方です。
この責任共有モデルではクラウドプロバイダが提供しているクラウドサービスにおけるセキュリティ対策に責任を持ち、利用者はそのクラウドサービス上に作ったシステムやアプリに対してセキュリティ対策を行う責任を負います。
クラウドプロバイダがセキュリティに関するすべての責任を持つということではなく、利用者側でもセキュリティ対策が必要となるということがポイントです。
クラウド利用において気を付けなければいけない設定
現代の企業にとって、デジタルトランスフォーメーション(DX)の推進は至上命題となっており、その実現にはクラウド環境の有効活用が重要になりますが、クラウド導入の実務はITチームが主導となっていることがほとんどです。
その際、ITチームではクラウド環境を使うにあたり下記のような方法でセキュリティ対策に取り組んでいます。
最小権限の原則
最小権限の原則とは、開発者などクラウドサービスを利用するユーザーに対して、必要最小限の機能のみを利用できるように設定を行うことです。
ユーザーに対して必要以上に大きな権限を与えてしまうとそこがセキュリティホールになってしまう可能性がありますが、この原則を守ることでセキュリティ事故が発生した場合の被害を最小限に抑えることができます。
また、ユーザーの権限管理を適切に行うとともに、多要素認証の設定を行うなどして不正アクセスを防ぐことが重要です。
クラウドインフラストラクチャの監視
企業が自分で自社のサーバーを用意する場合と同じように、クラウドの環境にもパフォーマンスや外部からのアクセス状況などの監視を行い、性能とセキュリティの確保を行います。
クラウドサービスはインターネット経由で提供されていることから、価値の高い情報をクラウドサービス上で利用している場合などサイバー攻撃の対象となりやすく、ネットワーク上のアクセスには特に注意が必要となります。
クラウド上に構築したシステムやソフトウェアのセキュリティ対策
OSやソフトウェアのバージョンアップ、セキュリティパッチの適用は企業などの利用者側の責任範囲です。
また、アプリケーション上のセキュリティ対策も同様に利用者側で適切に設計しなければなりません。
クラウドサービスを使うにあたって、こうした利用者側の責任範囲に含まれているセキュリティ対策に「設定漏れや誤り」がある場合、悪意を持った第三者からの攻撃対象となってしまいかねないため十分な注意が必要です。
終わりに
クラウドサービスは利便性が高く、企業の活動にとってもメリットの多い環境を提供してくれます。
多くの企業で利用が進んでいる一方で、実際に発生しているセキュリティ事故の事例などを見ると急速に進むクラウド活用に対してそれを使う人のセキュリティ意識が追いついていないところがあるようです。
クラウドサービスの恩恵を最大化するためにも、責任の範囲やセキュリティ上のリスクを抑えることでしっかりと対策を行なっていきましょう。
【関連リンク】
・クラウドサービスとは(総務省)
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/service/13.html
・クラウド最大のセキュリティリスクは「利用者の設定ミス」(トレンドマイクロ)
https://is702.jp/news/3689/
・責任共有モデル(Amazon)
https://aws.amazon.com/jp/compliance/shared-responsibility-model/
TEXT:セキュリティ通信 編集部
PHOTO:iStock
- tag