クラウドを前提にシステムを構成するケースが増えてきた。クラウドにはオンプレミス(社内環境)にはないさまざまなメリットがある。だが、セキュリティについてはオンプレミスと同じようにはいかないケースが少なくない。そうしたこともあって、クラウドのセキュリティに不安を抱く担当者は多いようだ。そこで、今回は、セキュリティ観点から見たクラウド選択のポイントを整理してみたい。
オンプレミスとクラウドの違い
クラウド、特にパブリッククラウドは、レディ・メイドのサービスであり、ユーザーは誰もが同じサービスを利用して、自らのシステムを構築する。一方で、オンプレミスはカスタム・メイドであり、システム構成から運用に至るまでユーザーが望んだ通りの「1点もの」のシステムができあがる。
そうした違いがユーザーの情報セキュリティに与える影響は大きく2つある。1つ目は、ユーザーがいくらセキュリティ対策をしっかりしていようと、クラウド事業者のセキュリティが杜撰だと、安全にシステムを運用できないことだ。クラウドサービスの場合、ユーザー自身が管理できる範囲は限定されている。クラウド事業者の管理する範囲で障害などのインシデントが発生しても、ユーザーにはどうすることもできない。
2つ目は、クラウドサービスを上手く活用できないと、セキュリティ対策に大きなコストがかかってしまったり、対策が困難になることだ。そのような状況を回避するには、利用するクラウドサービスに、安全に利用するための機能が備わっている必要があるだろう。
そうすると、いかに安心できるクラウドサービスを選択できるか、ということが非常に重要になってくる。単に価格だけで選ぶのではなく、安全に使いこなせるか、という視点も必要だ。では、クラウドを利用するにあたって、実際にどんなことに着目すればいいのだろうか。導入前、利用中、終了時のフェーズに分けながら、ポイントを整理してみよう。また、実際の例として、ニフティクラウドでどのような対応をしているかも合わせて紹介しよう。
クラウド事業者選定の際(導入前)にセキュリティ視点で着目すべきポイント
クラウドサービスの導入前にチェックしておきたい点としては、以下を挙げることができるだろう。
|
【クラウド導入前の、セキュリティ観点のチェック事項】 ・クラウド事業者のセキュリティ体制 クラウドサービス基盤 クラウドサービスの運用 ・クラウドサービスの利用に関する情報 セキュリティ関連の機能、仕様(ログ、アクセス管理など) 利用中の情報提供 契約上での留意点 |
|---|
| ■ 関連記事 |
|---|
●クラウド事業者のセキュリティ体制
クラウドサービス基盤
クラウド事業者の管理範囲については「何となく安心できそう」で済ませるのではなく、「なぜ安心できるのか」という根拠まできちんと理解しておく必要がある。データセンター施設の立地、耐震・免震対策、停電対策、といった諸元だけでなく、物理機器が冗長化されているか、データ保護についてどのような対策を行っているかも把握しよう。
クラウドサービスの運用
クラウドの利用に限らず、サービスはモノを作って終わりではない。それを安全に運営し続けることが重要だ。基盤として利用するクラウドサービスにおいてはサービスの開発、運用についての体制やセキュリティ対策の実施状況について把握する必要があるだろう。
しかし、実際にはこういった内容を事業者が公開している情報を読み解いて理解するのは容易ではない。それこそデータセンターの場所のような、セキュリティ上の理由で敢えて公開されていない情報もあるからだ。そういった場合には、第三者からのチェックがなされているという意味で第三者認証の取得状況を確認することも有効だ。 第三者認証の取得状況は、利用目的にあった認証を取得しているかをチェックしよう。主な認証や基準には以下のようなものがある。
|
【セキュリティに関する認証や基準】 ・ISMSファミリー(ISO/IEC27001、ISO/IEC27017※策定中) ・FISC安全対策基準 ・SOC ・PCIDSSなど |
|---|
ここで気をつけたいのが、認証や基準はセキュリティに対する企業の取り組み姿勢を把握するには有効だが、たくさんの認証を取得していることがサービスの安全性を保証するというわけではないということだ。実際、企業として国際規格であるISMSを取得していても、利用するサービスがISMS認証に則った運用がされているとは限らない。認証はあくまで判断材料の1つと考え、最終的には、自分たちが求めるセキュリティの要件を満たしているかどうかを具体的に確認することがポイントだ。
●クラウドサービスの利用に関する情報
セキュリティ関連の機能、仕様(ログ、アクセス管理など)
クラウドサービスを利用する場合、ユーザーが行うセキュリティ対策においてはクラウド事業者が提供するセキュリティ関連機能の利用が欠かせない。権限の異なる複数のアカウントでの管理や、ログイン時の2要素認証の有無などは安全な運用に大きくかかわるので事前に確認しておきたい。また、複数のリージョンやゾーンを提供しているクラウドサービスの場合、利用できる機能がリージョン・ゾーンによって限定されている場合もあるため、注意して確認しよう。
利用中の情報提供
多くのクラウドサービスは頻繁に機能拡充が行われており、その前後やサービス基盤の保守作業のため、メンテナンスが行われることがある。その際の通知方法や通知時期、影響範囲についてはサービスにより様々だ。また、障害時の連絡体制や事後の報告についても導入前には見落としがちな点である。サービスによっては障害報告の情報が不十分で、社内での報告に困ってしまう例も発生しているため、事前に確認しておくことが重要だ。
契約上での留意点
パブリッククラウドを利用する際には、個別契約を結ぶことはできない。そのため、契約や制約事項に関するドキュメントが複数にわたっていることが多い。確認すべき事項としては利用規約、禁止事項、SLAなどがあるが、それぞれ利用開始してから内容を知らなかったでは済まされない。特にSLAは事業者によって測定方法やSLA抵触時の対応が異なるため、数字だけではなく細部にも注目しよう。
その他に参考にしたいのは、国や公的機関が発行するガイドラインだ。
|
【国や公的機関が発行している基準、ガイドライン(一部)】 ・経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」 ・経済産業省「クラウドセキュリティガイドライン活用ガイドブック」 ・総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン」 ・APSIC「クラウドサービス提供における情報セキュリティ対策ガイドライン 使い方ガイド」 ・IPA (情報処理推進機構)「クラウドサービス安全利用のすすめ」 |
|---|
こうしたガイドラインは、利用者と事業者それぞれに向けて提供されていることが多い。利用者の立場で実施すべきセキュリティ対策だけでなく、クラウド事業者が実施すべきセキュリティ対策も把握することで、それがきちんと実施されているかをチェックするのに役立つだろう。
クラウド利用中にチェックすべきポイント
利用規約の変更や運用ポリシーの変更により、導入前と状況が変わることが少なくない。クラウドの利用を開始したら、以下の点を継続的にチェックするよう心がけたい。
|
【クラウド利用中のセキュリティ観点のチェック事項】 ・利用規約などの変更 ・稼働状況、障害通知 |
|---|
利用規約
クラウドサービスではサービスのアップデート等の理由から、利用規約やSLAなどの契約に関わるドキュメントの改定が行われることがある。禁止事項や制限事項の変更を見過ごすと、それまで想定していた機能が利用できなくなったり、思わぬ課金が発生したりするケースがある。サービスによっては改定の際にユーザーに通知が行われない場合もあり、そういったサービスを利用する際にはユーザー自身で常日頃からチェックしなければならないこともある。クラウド事業者からメールで通知が来る場合は、見逃さずに確認することが必要だ。
稼働状況、障害通知
稼働率などの監視状況や、障害発生時に実際にどう対応しているかも、重要なチェックポイントだ。サービスの稼働状況については、専用のポータルが用意されている場合が多い。もし構築したシステムにトラブルがあるという場合は、まずそこで稼働状況を確認し、すみやかに問題の切り分けの対応を行う。CPUやメモリの使用率などの監視が行える機能があると、対応もスムーズに行えるだろう。利用しているクラウドサービスにそういった機能がない場合、本番サーバー以外に監視サーバーが必要になることが多い。そうしたサービスがクラウド事業者から提供されているかどうかを確認してみよう。なお、APIを利用して監視機能とサーバーのスケールアップなどの動作を連携させておき、負荷が高まった時に自動的にスケールするような構成にしておくことも大切だ。
また、クラウドサービス自体の障害の際には、速やかにメール等の通知が受け取れることが重要だ。対応の初動が早ければ、その分解決までの時間も短くて済む。また、トラブルの原因が分からない時には、電話ですぐに相談できる窓口が必要になる場合もある。そうした場合は、自社の運用体制に合わせて、サポートサービスの利用も検討するといいだろう。
クラウド利用を終了するときにチェックすべきポイント
クラウド上で運用していたシステムの終了や、利用しているクラウドサービスへの不足や不満をきっかけに、クラウドサービスの利用を終了したり、他のクラウドに移行するケースもでてくる。その際には、移行が難しかったり、多大なコストがかかったりする場合も少なくない。そのため、クラウド利用を終了する際には、以下をチェックしておきたい。
|
【クラウド利用を終了する際の、セキュリティ観点のチェック事項】 ・仮想マシンとAPIのクラウド互換性 ・移行をサポートするパートナーの存在 ・データの取り扱い |
|---|
クラウド利用終了時に、サービス移行がスムーズにいくかどうかは、仮想マシンやAPIがほかのクラウドと互換性をもっているかが大きくかかわる。クラウド上に構築したシステムで利用している仮想マシンやAPIがほかのクラウドでそのまま使えれば、サービス移行もスムーズに行えるからだ。
しかし実は、提供するIaaS基盤をクラウド事業者が独自に実装していて、移行が難しいケースは多い。仮想マシンやAPIに互換性があるのかを確認し、互換性がなく移行が難しい場合は、どのように移行するのか検討しておきたい。
たとえば、直接ほかのクラウドに移行するパスはあるのか、ハイブリッドクラウドとして統合管理し続けることは可能か、などだ。それをサポートするSIパートナーやサービスパートナーがいるかどうかも重要になる。
また、移行計画の中でも重要なデータの取り扱いについても確認しておきたい。データをバックアップしてほかのクラウドに移行できるか、その際にどのような手順が必要になるかなどを確認しておく必要がある。
ニフティクラウドを例としたクラウド事業者のセキュリティへの取組み
これまで紹介してきたポイントについて、ニフティクラウドを例に具体的にみてみよう。ニフティクラウドはニフティが提供する国産クラウドで4,000件以上の利用実績を持つ。セキュリティへの取り組みが積極的なクラウドとしても評価が高く、取り組み自体は「セキュリティホワイトペーパー」として公表されていて誰でも閲覧できるのでぜひ確認していただきたい。
Webページ「ニフティクラウドのセキュリティへの取り組み」(画像左)、および定期的に更新されるセキュリティホワイトペーパー(画像右)では、データセンターの有人監視方法、監視カメラでの映像の規定や仮想化基盤のセキュリティや認証方法など、最新のセキュリティ状況を公開している
Webページ「ニフティクラウドのセキュリティへの取り組み」(画像左)、および定期的に更新されるセキュリティホワイトペーパー(画像右) |
|
導入前のチェック項目として挙げた、データセンター施設、運用ポリシー、第三者認証の取得状況については、すべてWebサイトから確認できる。たとえば、データセンター施設については、リージョンごとにどんな対策を実施しているかを掲載している。
第三者認証や基準については、以下のような状況だ。
|
・ISMS(情報セキュリティマネジメントシステムの適合性認証制度)認証の取得 ・SOC2(米国公認会計士協会(AICPA)の基準を利用して提供される内部統制の仕組み)報告書掲載 ・月間稼働率99.99%のSLAを設定 ・CSマーク(シルバー)取得 |
|---|
 |
ニフティクラウドが公開している「セキュリティ対策リスト」ページ |
また、セキュリティ対策として、以下のような「セキュリティ対策リスト」ページを用意している。このベージでは、「データ(情報)の保護」「サービス品質について」「事故・障害対策」「サポート・保守・監視」「データセンターの災害対策」というカテゴリーごとによくある質問にこたえるという形式で、どのようなセキュリティ対策を行っているかをわかりやすく説明している。
利用中のチェック項目として挙げた、利用規約、運用体制、障害通知については、具体的に提供されている代表的なセキュリティ機能を紹介しておこう。
| ◯基本機能として無料提供されるセキュリティ機能 ・マルチアカウント 操作範囲に制限を持たせたアカウントを作成できる。管理者権限、運用者権限、閲覧権限がある。 ・基本監視 サーバーおよびロードバランサーの稼働状況・負荷状況の監視を自動で行い、異常が発生した場合には、メールにて通知 ・自動フェイルオーバー(HA機能) 物理ホスト障害が発生した場合、当該物理ホスト上に展開されていたお客様のサーバーは、自動で別の物理ホスト上に移動 ・障害・お知らせ通知 障害が発生した際、経過や復旧情報などをメールで連絡するサービス ほか、ファイアウォール、カスタマイズイメージ(バックアップ)/イメージ配布、ニフティクラウドAPIなどが無料で利用できる |
|---|
| ◯オプションで提供される主なセキュリティ機能 ・パターン認証(2要素認証) コントロールパネルへのログインの際、通常の ID 認証に加えて、数字の位置をパスワードとして用いるパターン認証を追加する機能 ・WAF(Webアプリケーションファイアウォール/Scutum) アプリケーションに特化したファイアウォール機能 ・サーバー向けクラウド型セキュリティ(Trend Micro Deep Security as a Service) ニフティクラウド上のサーバーを、トレンドマイクロ社がクラウド上で提供する管理サーバーから集中管理 ・ウイルス・スパイウエア対策(ESET File Security for NIFTY Cloud) マルチプラットフォーム対応のウイルス・スパイウェア対策製品 ・Web改ざん検知(GREDセキュリティサービス) サイトの改ざんの有無を定期的にチェックするサービス ほか、パートナーによるさまざまなサービスを提供 |
|---|
利用終了時については、ニフティクラウドがサービス提供基盤としてVMwareを利用していることがメリットになるだろう。仮想マシン、API、ハイブリッドへの対応などについては、パートナーの支援を得ることで、IaaS基盤を独自に実装している他のクラウド事業者よりも、スムーズな移行が可能になっている。
自社の目的に合ったクラウド事業者を
クラウド選択において、セキュリティが気になるという担当者は多い。まずはWebサイトなどから、事業者がどのようなセキュリティ対策をとっているかを確認していただきたい。近年は、クラウドサービスの質が大きく向上し、クラウドのほうが安心というケースも増えてきた。心配な項目があれば、自社のセキュリティポリシーやセキュリティ要件を事業者に直接見せて、事業者ごとにそれをクリアしているかどうか確認してもらってもいいだろう。クラウド導入の際には、セキュリティの観点から自社の目的に合ったクラウド事業者を選択してほしい。
※本記事内の他社製品名および会社名などは、各社の商標または登録商標です。
(マイナビニュース広告企画 : 提供 ニフティ株式会社)
[PR]提供:ニフティ
ハイブリッド環境で100超のマイクロサービスを監視 - マネーフォワードのオブザーバビリティ