近年は、自社内部にサーバを置くオンプレミスから、インターネット上のサーバを利用するクラウドへと移行する企業が増えています。クラウド導入を検討しているものの、クラウドのセキュリティ面に懸念を持つ人は多いでしょう。
自社のデータを守りつつクラウド導入をするためには、クラウドセキュリティを意識することが重要です。
当記事ではクラウドセキュリティとは何かから、クラウドサービスの種類ごとに必要なセキュリティ対策の違い、8つのリスクと対策方法までを解説します。
クラウドセキュリティとは、クラウド環境に構築したインフラや、クラウド上に存在するアプリケーション・データを保護するために行うセキュリティのことです。
クラウド環境では、内部ネットワークと外部のインターネットとの境界が明確ではありません。クラウド環境特有のリスクにより、従来のセキュリティ対策では対応できない問題が発生する可能性もあります。
クラウド環境特有のリスクに備えてデータ・アプリケーション・インフラを保護することが、クラウドセキュリティの目的です。
クラウドセキュリティで実施するセキュリティ対策は、利用するクラウドサービスの種類に応じて選択することが重要です。
クラウドサービスは形態によって下記の3種類に分けられ、クラウド利用者が取るべきセキュリティ対策もそれぞれ異なります。
| SaaS | PaaS | IaaS | |
|---|---|---|---|
| 正式名称 | Software as a Service | Platform as a Service | Infrastructure as a Service |
| 概要 | クラウドにあるソフトウェアを、インターネット経由で利用する | クラウドにハードウェア・OSなどのプラットフォームを置き、インターネット経由で利用する | クラウドにCPU・メモリ・ストレージなどのコンピュータリソースを置き、インターネット経由で利用する |
| クラウド利用者側でセキュリティ対策が必要な対象 | ・データ、コンテンツ | ・データ、コンテンツ ・アプリケーション |
・データ、コンテンツ ・アプリケーション ・ミドルウェア ・OS |
クラウド利用者側でセキュリティ対策が必要な対象に違いがある理由は、それぞれでクラウド利用者が利用できる範囲が異なるためです。
クラウド事業者が運用管理する範囲では、クラウド事業者自身がセキュリティ対策を行います。対して、クラウド利用者が利用できる範囲については、利用者自身でセキュリティ対策を行わなければなりません。
クラウドセキュリティを実施するときは、自社のクラウド導入において課題となるリスクを把握し、適切な対策を取らなければなりません。
ここでは、経済産業省が公開する「クラウドセキュリティガイドライン活用ガイドブック」
を参考に、クラウドセキュリティで押さえるべき8つのリスクと対策を紹介します。
インフラに関するリスクとは、クラウド環境を構築する下記のインフラに関するリスクのことです。
| 物理的な基盤 | ・ネットワーク ・データセンタ |
|---|---|
| 論理的な基盤 | ・仮想化基盤 ・サービス基盤 ・統合管理環境 |
インフラに関するリスクは、基本的にクラウド事業者が対策を行います。しかしクラウド利用者側も、クラウド事業者が適切な対策を行っているかを確認することが重要です。
インフラに関するリスクの中でも、物理的な基盤に関するリスクと対策を簡単に紹介します。
| 主なリスク | 具体的な対策 | |
|---|---|---|
| ネットワーク | 通信データの傍受 | 通信データの暗号化 |
| 中間者攻撃やなりすまし | 証明書などを活用した相互認証の実施 | |
| ネットワーク環境の不備 | ケーブルの物理的な保護や、機器の管理体制を整備 | |
| VLAN構成におけるトラブル | クラウド接続機器数に適したネットワーク機器の導入やキャパシティの管理 | |
| データセンタ | 不正な入退館 | 機器保管場所への入退館管理の厳格化 |
| 機器への直接的な攻撃 | データセンタおよび重要な機器への多層防御の実施 | |
| 意図しない操作ミス | 手順書の明確化と操作の訓練 | |
| 内部関係者による意図的な攻撃 | 入室や機器へのアクセス制御・管理 | |
| 電源喪失によるサービス停止 | 信頼性が高いバックアップ電源の確保 |
仮想化基盤は、サーバやネットワークを仮想化するソフトウェアのことです。インフラに関するリスクで紹介した、論理的な基盤の1つに含まれています。クラウド利用者にとって仮想化基盤は可視化が困難な部分です。仮想化基盤に深刻な問題が発生しても、詳細把握や業務上のすみやかな対応が難しい点がリスクとなります。
仮想化基盤に関するリスクと対策を簡単に紹介します。
| 主なリスク | 具体的な対策 |
|---|---|
| 事故に備えた対応の不備 | ・インスタンスのバックアップを作成 ・バックアップデータをすみやかにリストアできる手段の確保(他のクラウドサービスとの契約など) |
サービス基盤は、クラウド事業者が提供する各種サービスのことです。サービス基盤も論理的な基盤の1つに含まれています。
サービス基盤では、サービスそのものへの攻撃がリスクとなる要因です。サービス基盤に関するリスクと対策を簡単に紹介します。
| 主なリスク | 具体的な対策 |
|---|---|
| 認証サーバへの攻撃など | ・サービスの冗長化などで障害の影響を軽減 |
| 共有サービスへの攻撃 | ・他者と共有している領域やシステムを把握し、適切なセキュリティ対策を取る |
統合管理環境は、クラウドで動作するアプリケーションやサービスなどを管理するシステムのことです。統合管理環境も論理的な基盤の1つに含まれています。
統合管理環境が攻撃されると、クラウドに存在するあらゆるリソースに影響を与える可能性がある点に注意してください。統合管理環境に関するリスクと対策を簡単に紹介します。
| 主なリスク | 具体的な対策 |
|---|---|
| 統合管理環境への攻撃 | ・コントロールパネルのアクセス管理を実施 ・多要素認証の導入 |
| 監視サービスへの攻撃やシステムログの改ざん | ・ホストレベルでの監視の実施 |
データ管理は、クラウドサービスで利用するデータの管理・保管を行うことを意味します。情報資産を保護するためにも、データ管理に関するリスクはクラウド利用者が対策するべき項目です。
データ管理に関するリスクと対策を簡単に紹介します。
| 主なリスク | 具体的な対策 |
|---|---|
| データ管理におけるガバナンスの喪失 | ・データ分類の実施 ・アクセス権を設定し、データの適切な利用を徹底 |
| 不正なデータの取得によるウイルス感染 | ・ウイルス対策が実施されているクラウドサービスを選択 ・端末やクラウドサービス上にあるデータのウイルススキャンを実施 |
データ分類は、クラウドに存在するデータをルールに沿って分類することを意味します。データの分類が不十分な場合、データごとに適切なアクセス権を割り振ることが難しくなります。
データ分類に関するリスクと対策を簡単に紹介します。
| 主なリスク | 具体的な対策 |
|---|---|
| 企業側とクラウド側で権限管理の粒度に差があり、適切なアクセス権が設定不能 | ・企業側のセキュリティポリシーに沿うことを念頭に、アクセス権のルールを再度設定 |
ID管理は、システム・サービス利用に必要なIDをクラウドサービス上で管理することです。クラウドサービスでのID管理では、IDがサイバー攻撃の標的となるリスクがあります。
ID管理に関するリスクと対策を簡単に紹介します。
| 主なリスク | 具体的な対策 |
|---|---|
| IDを標的とした攻撃 | ・多要素認証や多段階認証などの強固な認証方式を導入 |
クラウドサービスを利用・運用する人員についても、リスクを把握して適切な対策を取らなければなりません。人員に関するリスクは、クラウド事業者とクラウド利用者の双方で対策が必要です。
人員に関するリスクと対策を簡単に紹介します。
| 主なリスク | 具体的な対策 |
|---|---|
| ITリテラシーが低いことによるプライバシー侵害や情報漏えい | ・クラウド利用者がITリテラシーの教育を実施 ・情報セキュリティの研修を実施 |
| トラブルへの対応力不足 | ・クラウド事業者がトラブル対応の手順をまとめ、研修を実施 ・クラウドサービスの監視環境を構築し、予兆管理を実施 |
クラウドセキュリティは、クラウドに存在するインフラ・アプリケーション・データの保護に必要なセキュリティです。クラウドサービスで自社が利用する範囲に応じて、適切なセキュリティ対策を取らなければなりません。
クラウドサービスにおける8つのリスクには、クラウド利用者がセキュリティソフトなどで対策できる内容も存在します。クラウド導入を検討している人は、利用目的・用途に合わせてセキュリティや機能のカスタマイズができる「EXO Security」をぜひご利用ください。
