クラウドでのセキュリティパッチの管理はどうする？（1）

オンプレミスの環境では、IT環境におけるサービススタック全体を所有して責任を負いますが、クラウドに移行すると、サービススタックの責任の一部はクラウド事業者が担います。これが、いわゆる、クラウド事業者と利用者の管理権限に応じた責任分担の考え方です。

情報セキュリティ利用者の責任範囲については、オンプレミスと同様に、OSの管理機能やセキュリティソフトの利用を通じて、セキュリティを確保することになります。クラウド事業者が担っている責任範囲の運用については、第三者の認証や監査を経て、管理が正常に行われていることを提示します。

では、どこまでをクラウド事業者側が担保し、どこからは利用者側で担保しなければならないのでしょうか?

具体的なクラウド事業者と利用者の情報セキュリティの責任分担は、利用するクラウドサービスのモデルによって異なります。一般的な定義は「National Institute of Standards and Technology(NIST) (Special Publication 500-292)」や「the PCI Standards Council (Information Supplement: PCI DSS Cloud Computing Guidelines)」などで行われていますが、具体的な責任範囲については、各クラウドベンダーにて説明されています。

マイクロソフトのクラウドサービスの場合、概要を「Shared Responsibilities for Cloud Computing（クラウドコンピューティングにおける責任の共同負担）」で説明しています。

セキュリティパッチの管理は誰の責任?

クラウドサービスを利用した場合、セキュリティパッチ(セキュリティ更新プログラム)の管理はどうなるのでしょうか。

利用しているソフトウェア製品／サービスにおける脆弱性が存在する場合、セキュリティ更新プログラムを適用する、あるいは、脆弱性を悪用する攻撃から保護するために回避策を講じることが重要です。オンプレミス環境の場合、全ての責任は利用ユーザーにあるので、運用しているサービススタックにおいて利用可能なセキュリティパッチや脆弱性対策については、利用ユーザー側で管理する必要があります。

マイクロソフト製品では、Windows Update/Microsoft UpdateからWindows, Officeをはじめとするマイクロソフト製品の更新プログラムが配信され、一般的なインターネット環境であれば自動で更新されます。更新管理を行う企業環境の場合は、WSUS（Windows Server Update Services）やMicrosoft System Center、Microsoft Intuneなどの管理ツールを利用した更新を行うことも可能です。セキュリティに関する更新は、毎月第二火曜日(日本では翌日)に公開されます。修正が行われた脆弱性情報は、Security Update Guideサイトに掲載されています。

クラウドサービス環境においても、もちろん、マイクロソフト製品／サービスに対するセキュリティ更新プログラムの提供と脆弱性への対策は提供されています。ただし、クラウド事業者側であるマイクロソフトが責任を負うのか、ユーザーが責任を負うのかについては、利用しているクラウドサービスの種類の責任分担の範囲によって異なります。

一言で言うと、責任を分担している範囲のサービススタックにおけるセキュリティパッチの適用と脆弱性対策を行うことが原則となります。例えば、メールサービスである「Microsoft Exchange」の場合、オンプレミス環境であれば、利用ユーザーが全ての責任を負うので、Microsoft ExchangeおよびOS(Windows Server)のパッチ管理が必要です。加えて、ネットワーク環境、物理環境における脆弱性に対する管理も必要になります。

これに対し、SaaS形式のクラウドメールサービスである「Exchange Online」の場合、Exchangeおよびホスト環境、物理ネットワーク／データセンター環境におけるセキュリティパッチおよび脆弱性は、クラウド事業者であるマイクロソフトが責任を担います。これらは、ユーザーを保護するために常に最新の状態で利用可能なように運用されています。

Office 365, Azureなどの具体的なサービスでどのように管理できるのかについては、次回以降、具体的な情報参照先や、ケーススタディを紹介しながら解説します。