クラウドサービス別 クラウドセキュリティ対策の勘所
クラウドサービスごとに異なるセキュリティ設定に、リソースを割かれていませんか?複数のクラウドシステム・サービスを安全に使いこなすには、自社とクラウドサービス提供ベンダーの責任範囲を把握し、個別に対策を講じていかなくてはなりません。それと同時に、セキュリティ対策を一元管理できる仕組みによって運用負荷軽減にも努めたいところです。ここでは、クラウドサービス利用時のセキュリティ対策について、政府が公開しているガイドラインやクラウドサービス別の対策などを交えながら解説します。
クラウドセキュリティガイドラインとは
クラウドセキュリティの強化では、まず原理原則を把握しておく必要があります。そこで役立つのが、総務省が公開している「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(通称:クラウドセキュリティガイドライン)」です。当ガイドラインは、総務省が公開している利用者向けのガイドラインです。ここでは当ガイドラインと紐づけされた「クラウドセキュリティガイドライン活用ガイドブック」から、特に重要な部分を要約して紹介します。
クラウドサービス選定時に考慮すべきリスク
●インフラについて
- 物理的な基盤(ネットワーク・データセンタ)や論理的な基盤(仮想化基盤、サービス基盤、統合管理環境)のリスク対策は適切か
●ネットワークに関するリスク
- 通信傍受や攻撃、なりすまし、ネットワーク管理やVLAN構成の不備によるシステムダウンを考慮しているか
- リージョン間での暗号化が実施されているか
- サーバーや端末間の相互認証が確立されているか
●仮想化基盤に関するリスク
- インスタンスのバックアップや、システム構築を容易にするためのテンプレートが用意されているか
●サービス基盤に関するリスク
- サービス構成図から単一障害点が明確になっているか
- 共有サービスの脆弱性に対して対策が施されているか
●統合管理環境に関するリスク
- IaaS、PaaSなどの運用コンソール(GUI、CUI)に対する攻撃を想定しているか
- SaaSの場合、管理者用パネルに対する攻撃を想定しているか
- 監視サービスへの攻撃やシステムログの改ざんを想定しているか
●ID管理に関するリスク
- パスワードだけに依存しないID管理手法(二要素認証や二段階認証)があるか
- IDフェデレーション(外部アカウント連携によるログイン)を狙ったアカウント搾取対策があるか
クラウド事業者選択の勘所
クラウドセキュリティガイドラインでは、クラウド事業者選択時のポイントについても解説しています。重要なポイントを要約すると、次のとおりです。
- クラウド利用者側でクラウドサービスを利用する目的を明確にし、必要な機能や預けるデータを明らかにする。これにより、サービスに求めるセキュリティレベル・必要な対策などが明確になる。
- 利用者のセキュリティ対策をサポートする体制があるかを確認する。例えば、バックアップやリカバリ、ログ精査など、最低限の対応は利用者側で行う必要があることから、いつでもこれらを行う環境が整っているかを確認する。
- フリーミアム(基本無料)を採用し、一定期間、基本的な機能は無料で試用できるものを選択する。
クラウドサービス選定時には、クラウドセキュリティガイドラインに従い、適切な情報公開や機能の実装を行っている事業者を選定すべきです。また、複数のクラウドサービスを併用する場合は、クラウドサービスごとに「自社と提供事業者の責任範囲」を明確にし、それに沿った対策を講じていかなくてはなりません。
クラウドサービス毎におさえるべき「セキュリティ対策」
では、各クラウドサービスの利用時に「利用者側が実施すべきセキュリティ対策」にはどのようなものがあるのでしょうか。
ここでは、クラウドサービスの種類ごとに対策を紹介します。
クラウドサービス利用者側が行うべき対策
● SaaS利用時
SaaSはアプリケーションのみを利用するため、利用者側は「データやコンテンツ」に関するセキュリティ対策を行うのが通常です。具体的には、ログインIDやパスワードのポリシー設定をはじめとした「アクセス制御」と、SSLなどを用いた「暗号化」対策です。一方、サービス提供事業者側は、データ・コンテンツ以外の全ての領域でセキュリティ対策を施さなくてはなりません。
SaaS対策の具体例
アクセス制御(ワンタイム認証やIPアドレス制限など)およびデータ暗号化(SSLサーバー証明書、SSH、FTP over SSL、POP/SMTP over SSL、S/MIME、かぎ管理、秘密分散処理)など
● PaaS利用時
PaaSはアプリケーションの実行環境を利用するため、SaaSよりもセキュリティ対策の範囲が拡がります。 つまり、データとコンテンツに加えて、アプリケーション領域のセキュリティ対策が必要になります。近年、SQLインジェクション攻撃やXSS(クロスサイトスクリプト)攻撃など、アプリケーションを対象とした攻撃が増加していることから、これらを想定したセキュアなアプリケーションの構築が必須です。さらに、脆弱性のチェックや悪意のあるソフトウェアのスキャンなども欠かさずに行うようにしましょう。
PaaS対策の具体例
SaaS利用時の対策に加え、セキュアプログラミング、脆弱性診断、マルウェアスキャン、アンチウィルスソフト、セキュアプログラミング、ソースコード検査、クラウド型WAF/IDS/IDPの導入、改ざん検知の導入など
● IaaS利用時
IaaS利用時は、PaaS利用時の対策に加え「ミドルウェア・OS」領域への対策が求められます。つまり、システムを構成する物理的なインフラ部分以外は、ほぼすべての領域でセキュリティ対策を施さなくてはなりません。
IaaS対策の具体例
データ・コンテンツ・アプリケーションに加え、ミドルウェア・OSへの対策(脆弱性対策、権限設定など)
このようにクラウドサービスの利用では、「データやコンテンツへのアクセスと暗号化」「アプリケーション」「ミドルウェア・OS」といった領域でセキュリティ対策が必要になる可能性があります。これらは当然、利用するクラウドサービスごとに必要です。
セキュリティ対策の一元化と負荷軽減を「インターコネクトサービス」で
クラウドサービスの種類が増えれば、セキュリティ対策の負荷が上がるだけでなく、セキュリティレベルの統一も難しくなります。したがって、複数のクラウドサービスを一元管理し、セキュリティ対策の労力を抑制する工夫が必要になるわけです。そこで、「インターコネクトサービス」に目を向けてみてはいかがでしょうか。
インターコネクトサービスは、クラウド・オンプレミス問わず、異なるシステム間を相互接続し、接続先ごとのネットワーク帯域、セキュリティ設定などを一元管理できる仕組みです。相互接続した各システムは、ポータルサイトからオンデマンドで簡単に管理できます。
また、閉域網をベースとしていることから、複数のクラウドサービス利用時のセキュリティレベル引き上げにも貢献します。さらにオプションでFW(ファイアウォール)やNAT などの設置も可能で、専用の機器を購入・設定せずとも簡単にネットワークセキュリティを高められることもメリットです。
まとめ
この記事では、クラウドサービス利用時のセキュリティ対策について解説してきました。クラウドサービス提供事業者の大半は、クラウドセキュリティガイドラインに基づいてサービスを提供しています。しかし、本稿で紹介したように、責任範囲や必要なセキュリティ対策はサービスの種類によってまちまちです。
セキュアな相互接続を可能にするインターコネクトサービスをセキュリティハブとし、セキュリティ対策の一元管理を目指してみてはいかがでしょうか。