オンプレミスとクラウドのセキュリティの違いを理解しよう

クラウド導入の懸念事項「セキュリティ」の問題はどこ？

2010年11月30日 09時00分更新

文● 染谷征良／トレンドマイクロ

クラウドを守るためのセキュリティとは？

　前半で解説したように、TCOの観点からさまざまな利点をもたらすクラウドコンピューティングではあるが、セキュリティ上の懸念点もある。そのため、利用に当たっては、何らかの対策が必要なのだ。

　結論からいうと、クラウドコンピューティングだからといって何か特別なセキュリティ対策は不要だ。しかし、クラウドを利用する企業としては、クラウドコンピューティングにおけるセキュリティがどうあるべきかを考える必要がある。それはクラウドベンダー選定の際に基準の1つとなるべき要素でもある。

　一方、クラウドコンピューティングを提供するプロバイダは「安全なクラウドコンピューティング環境をユーザーに提供するためにどのようなセキュリティ対策を行なえばよいか」を考える必要がある。セキュリティにはある程度のデファクトスタンダードは存在するが、時代とともに変化するIT環境にあった対策を検討する必要があるといえるだろう。

　それでは、クラウドや仮想化のセキュリティとはどうあるべきなのであろうか？これまでのセキュリティの考え方では、Webサーバなどのアプリケーションサーバ、ミッションクリティカルなサーバを守るにあたっては、それぞれのサーバにセキュリティ対策を導入するのではない。むしろ、ネットワーク型のファイアウォールやIDS/IPS、UTMなどのによるセキュリティ対策を、ネットワークセグメントあるいはネットワークの境界線上に施す傾向にあった。

　しかし、脆弱性を悪用した攻撃やWebサイトの改ざん、クラッキングなど、企業が運営するWebサーバやクラウドサービスに対する攻撃が後を絶たない現状を考えると、これでは不十分だ。つまり、ネットワーク全体の安全とシステムの安全稼動を実現し、維持するためには、アプリケーションサーバ、ミッションクリティカルサーバなどの個々のシステムにセキュリティ対策を施すことが重要なのだ。

　つまり、クラウドコンピューティングにおいて考えなくてはならない具体的なセキュリティ対策は、大きく分けると、

ラウドコンピューティングインフラを外部の攻撃から守る対策
クラウドコンピューティングに存在するデータの保護

　の2つとなる。各々についてさらに詳しく解説していこう。

外部の攻撃から守る対策

　クラウドコンピューティングのインフラを外部の攻撃から守る対策には、ファイアウォールやIPS（不正侵入防御システム）、Webアプリケーションファイアウォール、ウイルス対策や認証システムの導入などさまざまである。導入にあたっては、たとえばファイアウォールに関しては「ある特定のIPアドレス、あるいはIPレンジ以外からのアクセスを拒否する」といった機能を利用し、許可しないユーザーによるアクセスを遮断することが望ましい。

　その中でも物理サーバ環境における対策はもちろんであるが、仮想環境への対策を考えなくてはならない。必ずしもシステムが常時稼動しているわけではないゲストマシンに、最善のセキュリティを提供するのは難しい。そしてゲストマシンによっては、ミッションクリティカル性が高いことなどを理由に、セキュリティ対策をマシン自体に導入できないケースも考えられる。

　その場合には、「仮想アプライアンス（バーチャルアプライアンス）」によるセキュリティ対策を行なうこともできる。これは、ハイパーバイザー上にソフトウェアをインストールし、VMSafeなどのアーキテクチャを利用して、仮想化されている個々のゲストマシンにはエージェントを入れなくともセキュリティ対策を行なえるというものだ。

クラウドに存在するデータの保護

　クラウドコンピューティングに移行するとアプリケーション、システム、インフラだけでなく、データも一緒に移行する。そのため、そのデータを保護する対策も必要となる。クラウドを利用したサービスを利用する際には、複数の企業が同じクラウドベンダーのデータセンターへアクセスし、通常一台の物理サーバ上に仮想化されているシステム、サービスを複数の企業が利用する。つまり、システム上に別の企業、ユーザーのデータも共存しているという状況になるのだ。そのため、決められたユーザーのみがデータにアクセスできるようにする必要がある。