「クラウドファースト」が叫ばれる今日、企業のIT計画においてクラウドサービスの導入を検討することはいまや一般的なことだろう。実際クラウドには、ハードウェア資産の管理・保守体制を社内で維持する必要がなく、場所を問わずにサービスが利用でき、初期導入コストも安いなど、数多くのメリットが存在する。もちろん、企業のセキュリティポリシーによって、外部のサーバーに重要なデータを置くことができないようなケースも確かにあるだろう。しかし、いまだにセキュリティに対する漠然とした不安から、クラウド活用に踏み切れていないというケースも多いと言われているのも事実だろう。
そこで本稿では、そうした漠然とした不安を解消すべく、"クラウドセキュリティ"の基本的な考え方と具体的な対策をまとめた。
オンプレミスとクラウドのセキュリティ、どこがどう違う?
"クラウドセキュリティ"の説明の前に、そもそもオンプレミスとクラウドのセキュリティはどのように異なるのか、はじめにそれぞれを比較してみよう。
1つ目はオンプレミスだが、この形態を「一軒家」に例えるとわかりやすい。一軒家は敷地内のすべてを自己管理できるので、生活上の制約は少なくセキュリティに関してもそれこそ予算に応じて自由に強化可能だが、すべて自己責任で対策を考える必要がある。対するクラウドは「集合住宅」が当てはまるだろう。専有部分は自己管理だが、それ以外の共有部分は管理会社が管轄する。他の住民も同じ建物で生活しているため一定の生活上のルールが存在しており、独自のセキュリティ強化を行うには制限が生じるが、管理会社がしっかりしたセキュリティシステムを提供していて、それを住民が適切に運用すればむしろ一軒家よりも低コストで安全な生活を送ることが出来る。逆に、管理会社がダメな場合(例:消火設備や避難設備、外部からの侵入対策の不備)は住民のリスクは高まるし、住民がルールを守らなければ(例:オートロックの鍵を紛失、戸締り不備、火の不始末)建物全体にリスクが及ぶことになる。
クラウドのセキュリティについても同じようなことが言える。クラウド事業者のデータセンターの設備が脆弱であったり、管理がずさんでインシデントが頻発するような状況では、利用者はクラウドサービスを安心して利用できない。また、利用者もセキュリティに関して適切な対策・運用を行わなければ自社はもちろん他の利用者にもリスクが波及する可能性すらある。一般的に、クラウドのセキュリティ管理策の責任範囲に関して言うと、クラウドサービス基盤、その上の管理画面やAPIなどのサービスインタフェースの一部はクラウド事業者側に属し、同じくサービスインタフェースの一部、その上のネットワークやOS、アプリケーション、データはサービス利用者側に属すことになる。クラウド事業者と利用者、それぞれのセキュリティ対策の適切な実施のために、相互で役割と責任の理解の上でのセキュリティ対策の実践が必要であるという考え方は「共同責任モデル(Shared Responsible Model)と呼ばれていることは覚えておくべきだろう。
冒頭で述べたとおり、クラウドサービスはうまく活用すれば企業のIT施策はもちろんのこと、経営戦略にも好影響を与えることができる。そのため、前述したクラウド事業者側の責任範囲におけるセキュリティ水準が自社に必要なセキュリティ要件を満たしているのであれば、採用を積極的に検討すべきだろう。多くのクラウド事業者では、SLAや規約/約款、ホワイトペーパーなどでサービスのセキュリティ水準について情報を公開しているので、まずは複数の事業者を調査し、ISMS(クラウドセキュリティ認証も含む)や、CSマークの取得有無も参考にしながらセキュリティ要件を満たすかどうかを判断するようにしたい。そこでもし自社の要件と乖離があるのであれば、乖離を解消するための代替案についてクラウド事業者へ問い合わせることも効果的だろう。
クラウドならではの脅威を知る
以上が、クラウドセキュリティに関する基本的な考え方だ。オンプレミスとは性質が異なるため、当然ながらクラウドサービス独自のセキュリティリスクも存在する点を忘れてはならない。そこでここからは、クラウドセキュリティで求められるオンプレミスと異なる視点からの対策を示していく。
そもそもクラウドサービスを利用するに当たりどのような脅威があるのだろうか。想定される脅威をケース別に、対策と併せて解説していこう。まずはクラウドサービス利用における脅威を定義しよう。クラウド利用における脅威は大きく次の3つに分類される。
1 クラウド利用者側に生じる脅威
2 インターネットを経由した脅威
3 クラウド事業者側に生じる脅威
1については従業員による不正アクセスや誤操作、組織内のネットワーク障害などが当てはまる。2は、外部からの不正アクセスやマルウェア、DoS攻撃などのサイバー攻撃が主となる。そして3に該当するのは、事業者内部の不正アクセス、システム高負荷、システム障害、さらには火災・地震・水害といった災害などだ。
こうした脅威はどこを起因として発生するのかを提示したのが、下の図だ。
それぞれのポイントごとに以下の5つの脅威が存在することがおわかりいただけるだろう。
1 クラウドウド利用者が所属する組織内のネットワークにおける脅威
2 クラウド利用者とクラウドを繋ぐネットワークにおける脅威
3 クラウドの基盤における脅威
4 クラウド事業者から提供される管理機能に対する脅威
5 サーバーがさらされる直接的な外部からの脅威
クラウドサービスにおける脅威への具体的な対策のケース~ニフティクラウドの場合~
では、この1~5の脅威について有効な対策を順番に見ていくこととしよう。ここではニフティクラウドにおける対策を、最新のセキュリティホワイトペーパーを参考にして紹介していきたい。 まず1の利用者側の組織内ネットワークの脅威だが、ここはファイアウォールを用いることで通信を適切に制御したり、いざという時にはグローバル側のNICの取り外しによる通信の遮断することなどにより、組織内ネットワークを守ることができる。プライベートLANにより、利用者専用のネットワークセグメントを利用するのも効果的だ。
2に関しては、クラウド事業者側と利用者側との拠点間をVPN接続することで、セキュアな通信環境を確保することができる。特に重視したいのが、3のクラウドの基盤における脅威だ。ここではクラウド事業者が運用するデータセンターの物理環境にまで目を向けるようにしたい。ニフティクラウドのデータセンターは、火災、落雷、津波、地震、その他の災害及び障害を避けた立地のデータセンター専用建物を利用している。これらの災害及び障害に対しては発生時の被害最小化のための対策を実施しているうえ、建物も建築基準法に準拠し、耐震性、耐火性を備えている。
敷地内への不法侵入や破壊行為などの人的災害に関しても、柵、フェンス、監視カメラなど複数の手段によって侵入防止と監視を実施している。しかもサーバールームは独立した無窓の部屋となっているため、外部からの侵入は極めて困難だ。また、ニフティクラウドとの関連が識別可能な表示は行っておらず、回線設備も専用の設備にあって専用の錠で施錠されている。
事業継続性などに深く関わる電源については、2回線以上から引き込み、停電時でも継続して稼働できるよう自家発電設備及びUPSを冗長構成で備える。また、機器への引き込みは専用分電盤から供給しており、その他のデータセンターの設備系からは独立している。他にも、サーバールームの空調を専用に設け、温度、湿度は自動制御のうえ、24時間365日で監視を実施している。
続いて4のクラウド事業者から提供される管理機能に対する脅威についてだが、下の図のように階層ごとに対策を施すのが効果的だ。
具体的に言うと、1層目ではIDとパスワードによる認証、2層目ではスマートフォンと連動したワンタイムパスワードによる認証、3層目でコントロールパネル(管理画面)のパターン認証を用い、4層目ではIPアドレスでの接続元制限を行う。これら4階層での対策の組み合わせにより、不正アクセスなどの脅威は大幅に低減できることになる。
最後のサーバーがさらされる直接的な外部からの脅威に関しては、ニフティクラウドでは様々な脅威に対して有効なセキュリティサービスを提供している。現在主流のセキュリティ対策の考え方である、「多層防御」にも適しているだろう。
例えばSQLインジェクションやクロスサイトスクリプティング、OSコマンドインジェクション等の脅威に対してはWAFでブロックし、DoS攻撃、Synフラッド攻撃などに対してはIPS/IDSでブロック、さらにポートスキャン等はファイアウォールでブロックすることが出来る。これらをオールインワンにした、統合型サーバーセキュリティパッケージも提供されているし、加えてウェブアプリケーションやウェブサーバーソフト、サーバーOSに対する脆弱性スキャンも可能になっている。また、今年最も騒がれたランサムウェア対策、データ消失の対策には定期的にバックアップを作成するクラウド型バックアップサービスが有効だ。繰り返しになるが、常に安全な環境を保つためには、クラウド事業者と利用者、それぞれのセキュリティ対策の適切な実施が必要なのだ。
"クラウド事業者はビジネスパートナー"の目で厳しく選定を
ここまでクラウドセキュリティの基本的な考え方と、脅威の発生源、そしてケースごとの対応策について延べてきたが、いかがだっただろうか。とりわけ日本では、クラウドサービスのセキュリティに対する漠然とした不安はまだ払拭されていない感がある。しかし正しい事業者を選定し、正しく運用することで、実はクラウドはオンプレミスと較べてむしろセキュリティを強化できることがおわかりいただけたのではないだろうか。そのために重要なポイントをまとめると、以下の3点となる。
1 信用できるクラウド事業者を選ぶ
2 セキュリティのリスクを理解して正しい対策を行う
3 複数のセキュリティ対策を組み合わせて防御力を強化する
今やITはビジネスと一体化しており、ビジネスシーンに即した柔軟かつ迅速なIT活用がビジネスの成功のカギを握ると言っても過言ではなく、その際にクラウドは不可欠な存在となっている。であるならば、自社のニーズに合致したサービスを提供しており、そして安心・安全に利活用できるクラウド事業者を選ぶことが、ビジネスを成長に導く最大のポイントとも言えるのである。もはやクラウド事業者はビジネスパートナーであると考えるべきであり、自社のパートナーとしてふさわしい事業者であるかを見抜くことが強く求められるのである。
[PR]提供: 富士通クラウドテクノロジーズ
[PR]提供: