クラウドセキュリティ

クラウドセキュリティについて解説します。

クラウドで変わるセキュリティ対策

オンプレミス型からクラウド型へ

クラウドの導入以前において、企業で扱われるデータはオンプレミス型の物理サーバーに保存され、物理サーバーへのアクセスはVPNにより社外からのアクセス制御を行い、VPNそのものに対してはファイアウォールによる不正アクセスの検知・拒否を行うことがセキュリティ対策の主流でした。しかしこの形式での運用はシステム担当者の人件費だけでなく、物理サーバーとネットワークの設置に多大な先行投資を行う必要があります。

一方クラウドではこれらの運用面をクラウドサービス事業者が担います。サーバーとネットワークは仮想化された状態で利用者に提供され、企業のシステム担当者は必要なだけのリソース確保を行うことで、効率的なシステム運用を実現しました。

クラウドのセキュリティリスク

クラウドはシステムの効率的な運用を実現した一方、インターネットが接続されていれば世界中どこからでもアクセス可能という点で、情報漏洩リスクのあり方を大きく変えました。VPN型の閉じられたネットワークを前提とした運用は物理的にセキュリティゾーンとセキュリティレベルを分類します。攻撃者は物理的にサーバーが置かれた場所にまで出向く必要があるため、ネットワーク内にいるユーザーは物理的になりすましができないことを理由に、信頼された存在として扱われます。

しかしクラウド内のネットワークにおいてその前提は大きく崩れます。世界中どこからでもアクセスできるという意味で、ネットワーク内にいるユーザーが例え信頼されたアカウント情報を持っていたとしても、それが本当に信頼されたユーザーであるかどうかを物理的に証明する術はありません。また重要度の高い情報についても、これまでは物理的に閉じられたネットワークに置かれていたものが、クラウドを利用することによって、一個手順を間違えると世界中に公開された状態になるリスクを抱えたことになります。

クラウド事業者によるセキュリティ対策

世の中的にはオンプレミス型からクラウド型への移行が推奨される一方、領域によってはオンプレミス型の閉じられたネットワークの方がセキュリティリスクが低いという見方もされます。しかし前述したようにクラウド型とオンプレミス型では情報漏洩リスクのあり方そのものが異なるため、どちらの形式を採用するのが適切かは、サービス利用者の目的によって大きく変化します。そのためクラウドの導入にあたっては、自社でデータセンターを持つ場合の運用とコストについて、クラウド事業者との比較を行うことが有用と考えられます。

運用体制とコストの比較

オンプレミス型のシステム運用を行っている企業と、クラウド事業者が行うセキュリティ対策は本質的には変わりません。

障害体制

データセンターを自社で持つ場合のリスクとしては、テロや自然災害などによる物理デバイス自体の故障、不正侵入による破壊行為などが考えられます。そのため金融など、常時サービスの動作保証が求められる領域においては、ディザスタリカバリ(予防措置)として災害時用のデータセンターを物理的に離れた場所に設置しておきます。

アリババクラウドでは、データセンターを地域、国単位で設置・保有しており、サービス利用者は利用時にどの地域、国データセンターの環境を利用するか選択します。そのため利用しているデータセンター自体がフェイルオーバーしてしまうと、その環境上で運用されているアプリケーションも一緒にダウンするリスクはあるものの、最近ではディザスタリカバリの機能自体を仮想環境上で提供しており、サービス利用者のリスクは軽減されつつあります。

オートスケーリング

ソフトウェア上での災害という意味では、DDoS攻撃による短時間に急激なトラフィックの増加が代表的なセキュリティリスクとして挙げられます。近年では回線速度の急激な発展により、これまでネットワーク越しにファイアウォールで防げていたDDoS攻撃も、ネットワークの回線自体が先にダウンしてしまい、対策として十分ではありません。そのためデータセンターではこのようなDDoS攻撃に対応できるだけの冗長化を行いつつ、攻撃自体をアプリケーションレイヤーで検知してアクセス制限を行うなど、複数の技術を組み合わせた対策が有効とされています。しかしそのような対策は冗長化が前提となるため、オンプレミス型のシステム運用では常にサービスの運営に必要以上のサーバーを待機させておく必要があります。その点、クラウド型のサービスでは仮想化が行われているので、状況に応じて必要な分だけのリソースを柔軟に確保する体制が整えられています。

ロギング

セキュリティ対策は攻撃者に対する防御体制を作るだけが全てではありません。有事の際にスムーズに問題の原因究明を行う上でもシステムの状況把握が非常に重要になります。ロギングはシステムへのアクセスや利用状況について記録する技術で、有事の際にシステム状況を把握する重要な手がかりとして機能します。

脆弱性調査

アリババクラウドでは定期的に自社サービスに対する脆弱性調査を行い、その結果をレポートとして公表しています。大手ベンダーは数多くの著名企業のインフラを担っているだけに、常に攻撃者の的として危険にさらされています。万全な対策というものはありませんが、常日頃から自社サービスに対しても脆弱性調査を行うことで、クラウド事業者はできる限りのリスク軽減に努めています。

クラウドサービス利用者が行うべきセキュリティ対策

クラウドサービス利用者が行うべきセキュリティ対策

情報資産の重要度の分類

クラウドを利用する企業ではアプリケーションで扱われるユーザーのデータから、社員の個人情報まで様々なデータをクラウド上で扱います。これらのデータについてより強固かつ安全な運用を行うという点では、各種データに対して重みづけを行い、そのデータに対するアクセス権限を仕切ることが一般的です。ISO27001(情報セキュリティマネジメントシステム)においても情報資産台帳の作成は最も重要な項目として義務付けられています。これらのデータに対しては機密性、可用性、完全性の3点それぞれについて1~5のランク付を行い、リスク評価を行います。

アクセス権限の分離・IDの管理

クラウドを利用する企業では、使っているサービスが一つということはありません。SaaS型のチャット、メール、ファイル共有から、アリババクラウドをはじめとするIaaSまで様々なクラウド製品が社内で利用されているケースが大半です。利用料金の把握という意味でもこれらを管理することは大事ですが、情報漏洩を防ぐという意味でも、これらサービスの利用状況を正確に把握することは重要な要素となっています。

情報資産台帳を用いて企業が扱う情報に重み付けが行われても、それを企業の誰もがアクセスできる状態となっていては、企業のセキュリティリスクは高いままです。誰がいつどのようにデータを扱うことができるのか、それを一定の範囲で制御することで、情報漏洩や情報消失を最小限に留める努力が求められています。

セキュアなアプリケーションの実装

クラウドを用いている以上、提供されるサービスが攻撃者の対象となる可能性はゼロにはできません。クラウド事業者がどんなに強固なセキュリティシステムを提供していても、その上で動いているアプリケーションに脆弱性が存在する限り、データは常に危険にさらされた状態となります。SQLインジェクション、XSS、セッションハイジャックなど、攻撃者はあらゆる手段でアプリケーションに攻撃を試みて、サービス利用者の個人情報や管理者権限を盗み取ろうとしてきます。

アプリケーション開発者は個人情報や通信の暗号化を始めとして、様々な角度からアプリケーションが攻撃者から守られていることを実証する必要があります。場合によっては外部業者による脆弱性調査やペネトレーションテストを通じて実証する必要性もでてきます。

まとめ

セキュリティリスクは人的リスクを伴うだけに、際限なく対策を施せてしまうという面でも、その見極めが非常に難しい分野であります。クラウドはオンプレミス型のサーバーに比べると金額面でのコストは抑えられますが、セキュリティ対策の方針や運用が異なってきます。企業のセキュリティに責任を持つ担当者はその違いを理解した上で、どこまでセキュリティ対策を行えば自社としてのリスクを十分に抑えられるのか、その見極めをより一層求められています。