PaaSのセキュリティ対策の方法とは?
SaaSやIaaSも含めて解説

PaaSのセキュリティ対策の方法とは?SaaSやIaaSも含めて解説

リモートワークの普及により、PaaSなどクラウドサービスの導入が各社で進んでいますが、ネットワークを介するため、セキュリティに懸念を感じる企業も多いようです。この記事ではPaaSのセキュリティリスクと必要なセキュリティ対策を解説します。

目次

PaaSとは

「PaaS」とは「Platform as a Service」の略で、アプリケーションなどのシステム開発に必要なプラットフォームを、インターネットを通じてクラウド上で利用できるサービスのことです。サーバーシステムやOS、ミドルウェア、フレームワークなどが揃った基本的な環境が提供されます。

PaaSを利用すれば、自社で開発環境を用意せずに、提供されたプラットフォームでアプリケーションの開発や運用が行えます。
アプリケーション開発を自社で行う場合、そのために必要な機器やネットワークを一から準備するとコストの負担は相当なものになります。PaaSを利用すれば、容量に応じた料金を支払うだけで開発を進められ、初期費用やサーバーの管理・運用費用を抑えることができます。
開発環境を用意する時間が省けるため、素早く開発に取り組めるのもメリットの一つです。

SaaSやIaaSとの違い

SaaSやIaaSとの違い

PaaSとよく比較されるのがSaaSやIaaSです。
「SaaS」とは「Software as a Service」の略で、ネットワークを通じてメールや計算ソフトなど、特定のアプリケーションをクラウド環境で利用できるサービスのことを指します。
あくまで活用できるのはクラウド上にあるアプリケーションのため、開発のような自由度はほとんどありませんが、アプリケーション利用の環境設定や、アプリケーションのインストールなどを自身で操作をしなくても、すぐに利用できる手軽さがポイントです。
Googleの「Gmail」やCRM(顧客関係管理システム)など、現在多くのビジネスサービスではこのSaaSの形態が採用されています。

対して「IaaS」とは「Infrastructure as a Service」の略で、クラウド上でストレージやサーバー、ネットワークといった基本的なインフラのみを提供するサービスのことを指します。
「クラウドサーバー」と呼ばれるサービスも、この「IaaS」に当たります。アプリケーションだけではなく、ミドルウェアやOSも提供されないため環境構築の自由度は高くなりますが、環境設定の必要性から、アプリケーションの利用や開発のスタートまでに少し手間がかかります。
また、運用・保守も利用者側が行わなければならないため、維持にかかるコスト面でのメリットも少なくなります。

PaaSは、環境構築の自由度がIaaSよりは低くなりますが、開発までにかかる時間やコスト面でバランスの取れたサービスです。

PaaSに関するセキュリティリスク

PaaSに関するセキュリティリスクは、クラウドサービス全般におけるセキュリティリスクと同じようになります。クラウドサービスはネットワークを介するため、オンプレミスとは異なるセキュリティリスクがあります。

不正アクセス

多くのクラウドサービスが、IDとパスワードなどを利用してシステムにログインできる仕様になっています。利用者側がウイルス対策ソフトの活用や、パスワードの使いまわし禁止などの適切な情報管理を行っていたとしても、サービス提供者であるベンダー側のセキュリティ対策が甘かったりすると、不正アクセスが起こるリスクがあります。不正なアクセスでシステムを利用されると、次に説明するような、情報漏洩や、データ紛失などの被害にあうことが考えられます。

情報漏えい

前述の不正アクセスや、マルウェアへの感染などにより、利用者がクラウド上で管理している情報が社外に漏洩する可能性があります。
個人情報など機密性の高い情報が大量に流出すれば、企業は信用を失うことになります。また流出した情報が悪用され、なりすましやデータ改ざんなどさらに大きな被害につながることも考えられます。
情報漏洩は不正アクセスやマルウェアへの感染だけでなく、人為的ミスにより起こる場合もあります。限定で公開するはずの情報を誰もが閲覧できるサーバーにアップするなどして、意図せず情報が大多数の目に触れてしまうというリスクもあります。

データ消失のリスク

クラウド上に保管されているデータが不正アクセスやサイバー攻撃などにより消去や改ざんされ、消失してしまう可能性があります。
それだけでなくヒューマンエラーで共有のデータを消してしまったり、破損してしまったりすることもあるでしょう。特に大勢がデータを共有して作業を行う場合などは、ミスも起こりやすくなります。
サーバー上のデータは、こまめにバックアップを取っていなければこれまでの作業やデータの蓄積が無駄になってしまうこともあります。

PaaSの保守責任範囲

セキュリティ対策で把握しておく必要があるのが、保守責任範囲です。保守責任の範囲外に関しては、利用者側からセキュリティ対策を行うことが困難です。
また、SaaS、PaaS、IaaSでは提供される環境の違いにより、どの範囲までベンダー側が保守責任を負うかが変わってきます。一般的に環境構築の自由度が高いほど、サービス利用者側が負う責任や保守作業の負担も多くなります。

PaaSはインストールしたアプリケーションや設定した環境、入力したデータの管理責任はサービス利用者側になります。ただし、サーバーやネットワークに関する管理はベンダー側が担います。
SaaSでは、サービス利用者が管理責任を負うのは入力したデータのみで、IaaSではベンダー側が責任を担うのは物理サーバーやネットワーク、ストレージのみとなります。

サービス事業者のセキュリティ対策をしっかりと確認する

自社ですべてを管理できるオンプレミスと違い、PaaSは借りている環境のため、どうしてもセキュリティ対策をベンダーに委ねなければならない部分があります。
どれほどのセキュリティ対策を講じているかは、ベンダーによって異なります。サービスを選ぶ際は、物理サーバーやネットワークのセキュリティ対策を事前に確認する必要があります。
ISOなどの第三者認証を取得しているかどうかも判断材料になります。

PaaSのセキュリティ対策

PaaSを活用する場合、利用者は入力されたデータからアプリケーションまでのセキュリティ対策が必要になります。
考えられる対策としては、

  • 定期的な脆弱性診断の実施
  • マルウェアスキャン、セキュリティパッチの導入
  • WAF(Web Application Firewall)を用いた通信の監視・制御
  • 不正なログインを防ぐための方法としては、二段階認証の導入
  • Botによるアクセスを阻止する画像認証の「キャプチャ認証」

などが有効です。
特に最近はアプリケーションの脆弱性を突いたサイバー攻撃やBot攻撃による不正アクセスが増えています。WAF(Web Application Firewall)など、アプリケーションに特化したセキュリティツールの活用などが重要となっています。

保守責任範囲の異なるSaaSとIaaSのセキュリティ対策

SaaSとIaaSはPaaSと保守責任範囲が異なるため、セキュリティで力を入れるべき点や、対策すべき範囲が異なります。

SaaSのセキュリティ対策

SaaSではアプリケーションからサービス運用まで大半のセキュリティ対策はベンダー側が行うため、利用者側が保守の責任を負うのはデータとコンテンツのみになります。自社で行う対策としては、入口となるログインのセキュリティを強固にすること、データにアクセスする権限を自社のセキュリティポリシーに合った設定にすることなどが挙げられます。
ログインに関してはパスワードを使い回さない、第三者に推測されにくいパスワードを設定することはもちろんですが、より機密性が高い情報を扱う場合はリスクベース認証や多要素認証を検討してもよいでしょう。
SaaSではベンダー側が契約に則ったセキュリティ対策を行うため、その内容が自社のセキュリティポリシーに準拠しているかをよく確認しておく必要があります。また、セキュリティインシデントが発生した場合にどのような対策が必要になるかも事前に把握しておくとよいでしょう。

IaaSのセキュリティ対策

IaaSではSaaS、PaaSで挙げられたセキュリティ対策に加え、データからミドルウェアまで、より幅広い領域でのセキュリティ対策を利用者側が行わなければなりません。OSやミドルウェアの脆弱性に対する対策としては、脆弱性を突いた攻撃をネットワーク上で察知して阻止する「仮想パッチ」が有効です。これを導入することにより、システム自体にパッチが適用されていなくても攻撃や侵入を予防できます。
また「データベース監査」を行うことも、データベースへの不正アクセスを予防するために効果的な方法です。これはアクセスログを記録し監視することで、問題のあるアクセスをいち早く発見できるようにするもので、特定のツールを利用すればシステムにあまり負荷をかけることなく、簡単に実行ができます。

サービス利用者のセキュリティ対策も必須

クラウドサービスの利用には、サービス利用者のセキュリティ対策も必須となります。
サービス利用者のPCがサーバー攻撃を受けたり、マルウェアに感染したりすれば、ログイン情報の漏洩による不正アクセスや、感染したPCからサーバーへの二次感染などの被害をもたらしかねません。
VPNを使ったネットワークへの安全な接続や、ウイルス・スパイウェア対策ソフトの利用、URLフィルタリングの実施を行うことで、サービス利用者のセキュリティを向上することができます。
また、パスワードの使いまわしや、簡単なパスワードの設定禁止といった、セキュリティ向上のための運用ルール設定も効果があります。

あわせて読みたい記事

まとめ

クラウドサービスはコストを抑えて手軽に利用できる利点がありますが、ネットワークを介するため充分なセキュリティ対策を講じる必要があります。SaaS、PaaS、IaaSでは利用者が担う保守責任の範囲が異なり、それぞれに応じたセキュリティ対策を行わなければなりません。ドコモビジネスでは、セキュリティ対策がプランに含まれているクラウドソリューションがございますので、手間なくセキュアな環境が構築できます。

ドコモビジネスがお届けする
メールマガジン(無料)のご案内

  • コラム

    最新のサービス情報や
    ソリューションのご紹介

  • サービス導入事例

    他社の課題解決事例や
    ベストプラクティス

  • セミナー・イベント

    旬なテーマが詳しくわかる
    企画をご案内

\ご登録は1分で完了/

ドコモビジネスでは、法人向けインターネットやスマホをはじめ、
中堅・中小企業のお客さまに役立つサービスを多数ご用意しています

最適なサービスを探したい方はこちら

中小企業向けサービスサイト
検索