ESET/マルウェア情報局
クラウドのセキュリティ対策における注意点を解説!
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「今さら聞けない!?クラウドのセキュリティ対策をおさらいする」を再編集したものです。
検討するべきクラウドのセキュリティ
企業がIT活用をおこなうためには、サーバーを導入した上でソフトウェアをインストールすることがはじめの一歩という時代もあった。スケール次第ではネットワークの増強も求められ、当然ながらシステム導入後の運用保守も必要になるなど、IT化には莫大なコスト計上が欠かせないという考え方が一般的とされた。
こうしたIT投資に求められるトータルコストの削減に期待が集まったのがクラウドサービスの利用だ。しかし、クラウドサービスの利用は、提供事業者にそのシステムを利用するために必要な情報資産を預けることが前提となる。このため、クラウドサービスが登場した当初はデータを自社外に置くことに抵抗のある企業が多かった。しかし、現在ではクラウドサービスの提供事業者がセキュリティを強く意識し、対策を講じていることが認知されつつある。このため、クラウドサービスへの抵抗感はかつてと比にならないほど低いものとなってきている。実際に、最も高いセキュリティが求められる業種のひとつでもある金融機関が、オンプレミスから脱却し、クラウドに移行するケースも珍しくなくなってきた。
しかし、クラウドは本当に安全と断定できるのだろうか。クラウドの種別を正しく理解した上で、選択するクラウドに応じた着眼点でセキュリティ強度を確認し、適切なセキュリティ対策を講じることが求められる。ここからは、多くの企業がサーバーを導入する場合に検討するIaaS型クラウドとSaaS型クラウドに分け、セキュリティの着眼点と必要な対策について解説していこう。
IaaS型クラウド
IaaS(「イアース」または「アイアース」、Infrastructure as a Service)型クラウドとは、ITサービスを提供するために必要となるサーバーやネットワーク基盤を、サービスとして提供するタイプのクラウドサービスだ。IaaS型サービスを使えば、企業はサーバーやネットワークなどのインフラを社内に準備することなく、インターネットにアクセスできる環境さえあれば、短期間かつ低予算でインフラを用意でき、必要なシステムを迅速に導入することができる。IaaS型のクラウドサービスとして、Amazon社のAWS(Amazon Web Services)や、Microsoft社のAzureなどが知られている。
- セキュリティの着眼点
IaaS型のサービスの場合、クラウド事業者自身が全世界に置かれたデータセンターに膨大な数のサーバーを稼働させている。まずは、安全性の視点から、どのような国のどのようなセキュリティ規格に準拠しているのかは確認するべきだろう。多くの場合、IaaS型のサービスを提供するクラウド事業者は、データセンターを配置している国が定める多くのセキュリティ規格に準拠している。安全性の判断に際しては、準拠しているセキュリティ規格が有力な判断材料のひとつとなる。金融機関や業務内容によっては、特定のセキリティ規格やガイドラインへの準拠が求められることがある。個別の規格やガイドラインについては、直接クラウドサービス事業者に連絡を取り、IaaSで運用した場合と、自社で運用した場合のセキュリティ強度を冷静に判断する必要があるだろう。
可用性や信頼性についても確認しておくべきだろう。多くのクラウドサービス事業者は、稼働率などについてSLAが設定されている。稼働率を高めるために、サーバーの冗長構成を容易にとれるなど、可用性を高めるための仕組みを提供しているクラウドサービス事業者も多い。安全性に、可用性や信頼性も加味してクラウドサービスのセキュリティ強度を判断したい。
- 対応すべきセキュリティ対策
IaaS型クラウドサービスの場合、責任分界点を設けていることが多く、クラウドとして提供するサービスは、ハードウェアの提供までのことが多い。提供されたハードウェア上で動作させる、OSやデータベース、アプリケーションソフトウェア、および運用に必要なアカウント管理はユーザー側が責任を分担する点には注意が必要だ。このため、オンプレミスと同様に、OSやアプリケーションへのパッチ適用、アカウントの登録、といった運用・保守に付随する作業は自社で責任をもっておこなう必要がある。
クラウドならではのネットワークセキュリティにも気を配りたい。クラウドは本来、インターネットにアクセスできる環境であれば、いつでもどこでもアクセスできるという性質を持つ。しかし、社内システムをクラウド上に構築する場合、特定のユーザーからのアクセスや社内からのアクセスのみを許可することもあるはずだ。ネットワークレベルのセキュリティ対策も疎かにしないように注意する必要がある。
また、万が一クラウド事業者内でサーバー障害が起きた場合のことを考慮した冗長構成も、提供するサービスの性質によっては必要になってくる。社会的に影響が大きいサービスなどは一刻すら停止を許されないため、単一のリージョンに依存せずマルチリージョンにするというだけでなく、複数の事業者を利用するという判断も考えうるだろう。実際、サーバーに大規模な障害が発生した際に停止してしまっているサービスは多々見られる。基本的に前提として、障害発生の確率はゼロではないということを踏まえて設計をしていくとよいのではないだろうか。
SaaS型クラウド
SaaS(「サース」または「サーズ」、Software as a Service)型クラウドとは、ソフトウェアをサービスとして使う形のクラウドサービスのこと。ハードウェアやネットワークといったシステム基盤だけではなく、ソフトウェアまでをサービスとして利用することができる。近年では、多くの業務アプリケーションがSaaS型クラウドサービスとして提供されており、サブスクリプション型の定額制でサービス利用できるものも増えてきている。
- セキュリティの着眼点
SaaS型クラウドの場合、サーバー基盤から、OSやデータベースなどのミドルウェア、アプリケーションまで、すべてを事業者が一括で管理する。まず確認する必要があるのは、事業者が利用するサーバー基盤のセキュリティ強度だ。IaaS型と同様に、準拠しているセキュリティ規格や、データセンターの運用方法、サービスの稼働率は必ず確認しておくべきだろう。近年では、多くのSaaS型クラウドサービスも、AWSのようなIaaS型クラウドサービスの事業者が提供するITインフラを使用していることが多い。いずれの場合でも、安全性、可用性、信頼性を加味したセキュリティ強度についてインフラ部分を含めて把握しておく必要がある。
その上で、アプリケーションレベルのセキュリティ強度を確認したい。データベースにデータを格納する必要があるサービスであれば、データベースの暗号化も要件に加えるべきといえる。特に、個人情報や機密情報などを格納するのであれば、暗号化は必須と考えるべきだろう。
アプリケーションのログインに関して設定できるアクセス権限や、どのような認証手段が選択可能かという点も確認する必要がある。スマートフォンからアクセスさせるのであれば、指紋などの生体認証を使った二要素認証の仕組みを提供するSaaS型クラウドサービスは検討する価値がある。近年では、業務アプリケーションの多くがクラウド化することで、ユーザーが管理する必要があるクラウドサービスのIDとパスワードが増加傾向にある。SAML *1対応のSaaSアプリケーションを選定してシングルサインオンを実現するなど、ユーザーの利便性とセキュリティ強度の両立が可能なSaaS型クラウドサービスを選定するという視点も持っておきたい。
*1 「Security Assertion Markup Language」の略で、XMLをベースとしたマークアップ言語。シングルサインやウェブサービス間でのID連携などの際に利用される。
- 対応すべきセキュリティ対策
SaaS型クラウドサービスの場合、IaaS型クラウドサービスと異なり、ハードウェアレイヤーからアプリケーションレイヤーまで一貫してサービスとして提供される。OSはもちろんのこと、ソフトウェアのパッチ適用も適切におこなわれることが基本だ。このため、利用企業側はセキュリティ対策をおこなう必要がないと考える向きもあるかもしれない。しかし、その認識は正しくない。アプリケーションレベルのセキュリティ対策に関しては、利用する企業側が実施することが求められる。
最も重要となるセキュリティ対策は、認証やアクセスコントロールといったID管理だ。たとえ、強固なデータセンターでソフトウェアの安全性が保たれていても、権限のないユーザーが簡単にアクセスできるようでは、機密情報は容易に漏えいしてしまう。強力な権限が付与される特権IDを含め、適切な権限設定とともに、退職した社員のIDは確実に削除するなど、ID管理を意識した運用が求められる。
さらに利用するSaaS型サービスによっては、ユーザーを制限したり、社内からのアクセスのみを許可したりといったセキュリティ対策も必要になるだろう。このような場合は、IaaS型のセキュリティと同様に、ネットワークレベルのセキュリティ対策が必要になるので注意したい。
まとめ
自社のデータを社外に置くことに対する抵抗が薄まり、クラウドを全面的に採用して提供されるサービスも増えてきている。たしかに、多くのクラウドサービス事業者は、巨大なデータセンターでサーバー群を運営し、セキュリティ対策にも多大な予算をつぎ込み厳重な対策を講じている。そうした側面からも自社にサーバーを置くよりクラウドのほうが安全という見方は一概に否定できない。
しかし、セキュリティレベルを上げることは当然、コスト増につながる。中には利益を捻出したいがために、セキュリティ対策に投じるコストを節約してレベルを意図的に下げている事業者も存在する。近年では、スタートアップ企業など投資の体力が限られるような小さな企業がSaaS型クラウドサービスを提供することも多い。データセンターとして利用するクラウド事業者への信頼感だけで判断するのではなく、今回の記事で説明したようにポイントごとのセキュリティ対策への取り組みは十分に確認しておきたい。
セキュリティ対策の重視を掲げている企業であれば、定めたセキュリティポリシーに則って必要なセキュリティ対策を実施している事業者を選定すべきだ。ここまで述べてきた通り、たとえ強固なセキュリティをうたうクラウドサービスを導入しても、自社側で実施するべきセキュリティ対策は必ずや存在する。コンプライアンスが声高に叫ばれ、セキュリティインシデントが企業の命取りとすらなりかねない時代となっている。適切なセキュリティ対策を講じることで、クラウドの恩恵を最大限に享受しながらビジネスの成長につなげていってほしい。