いまこそ整理する“クラウドセキュリティ”、ユーザー側の責任を把握してますか?:進むIaaS活用 強いセキュリティの実現術
政府がクラウドサービスの利用を第一とする「クラウド・バイ・デフォルト原則」が公表され、クラウド活用が進む中、セキュリティを理解しているだろうか。
「クラウド怖い」は過去の話。いまではあらゆる業種、業態でクラウドをいかに活用すべきか考えるステージに移行している。それとともに「クラウドを利用するならばセキュリティを考えなくてはならない」とも理解されつつある。
しかし、クラウドセキュリティという言葉が指すものは曖昧だ。「Microsoft Azure」「Amazon Web Services」「Google Cloud Platform」などのクラウド事業者が考えるべきセキュリティといえば可用性のことで、私たちユーザー側が考えるべきものとは大きく異なる。では、ユーザーが考えるべきクラウドセキュリティとは、具体的にはどのようなものだろうか。
「セキュリティ=外部の攻撃から守るもの」、でもクラウドの外部って誰?
「IaaS」(Infrastructure as a Service)、「PaaS」(Platform as a Service)を利用する場合のクラウドセキュリティを考えてみよう。これまでのオンプレミスのシステムは社内にシステムを構築し、社外からやってくるさまざまな脅威をネットワーク的に遮断することが「セキュリティ」といえた。しかし、クラウドを利用する場合、そもそもクラウドは社外にあるリソースのため、外部、内部を区切った守り方はできない。
さらに、オンプレミスであればシステム開発は情報システム部門が中心となって管理してきた。一方、IaaSは数クリックでリソースを確保可能なため、ユーザー部門が簡単に構築できることがメリットだ。それだけに、ユーザー部門がセキュリティを無視した形でのシステムを作ってしまう可能性がある。
クラウドはスケーラビリティを確保しやすいことから、テスト環境はオンプレミスで、本番環境はクラウドでというスタイルが一般的になりつつある。このとき、テスト環境で設定していた曖昧なアクセス制御を、そのままクラウドの本番環境にデプロイしてしまう事例が少なくない。
クラウドは外部からの攻撃よりも、設定ミスが大きなインシデントにつながる可能性がある。アクセスキーや認証情報を使い回す、ソースコードにそのまま記載しているなどの不注意により、第三者が勝手にクラウドのリソースを追加し、結果として多額の利用料金を請求される事例も報告されている。
これらの問題の原因は、クラウド事業者とユーザーの間に存在する「責任分界点」への理解が足りないことが挙げられる。まずはシステムおよびデータにおける責任が利用者側にあることを理解し、IaaS利用における典型的なミスを知ることで、クラウド特有のトラブルを防げるだろう。
クラウドサービス内のデータ保護の責任がクラウド事業者/ユーザーのどちらにあるかを聞いた結果。経営幹部レベルを除く多くの役職では、責任共有モデルが明確に理解されていないことが分かる(マカフィー「クラウドの採用とリスクに関するレポート」より、2019年)SaaSにおいても重要なことは「データの管理」
「Office 365」や「G Suite」などのSaaS(Software as a Service)も多くの企業が活用している。マカフィーの調査では、日本の企業が平均52個のクラウドサービスを活用し、そこに上げられたデータをなんらかの形で共有しているという。これによりPCだけでなくスマートデバイスを用い、社内だけでなく社外からも安全に仕事できるようになった。
課題になるのはそのデータの使い方だ。クラウドにアップしたデータのうち26%は「機密データ」で、共有ファイル全体の12%が機密データだという。また共有設定は細やかに設定できるものの、URLさえ分かれば誰もがアクセスできてしまうような全公開リンクで機密データを共有しているケースも9%存在しているという。SaaSを利用するシーンが増えているものの、正しい設定、望まれた利用方法なのかどうか、気にしなくてはいけない時期に来ている。
参考記事:「リンクを知っている全員が閲覧可」より安全で「特定のユーザーと共有」より簡単な方法とは(ITmedia エンタープライズ)
IaaSにおけるクラウドセキュリティの勘所は? そしてSaaSは?
クラウドセキュリティにおいて、IaaSに関連するポイント、SaaSに関連するポイントは異なる。しかしその本質は「ネットワークによらず、大事なデータをどのように守るか」「可視化ができ、統一したポリシーを適用できるか」などに集約される。
さらにいうと、クラウドセキュリティとはアジャイル開発ができるような下地を作り、プロセスを変化させることによって初めて実現できるものといえる。単に製品やソリューションを導入するだけでなく、ある程度のマインドチェンジも必要だ。
本特集では、曖昧な「クラウドセキュリティ」という言葉を掘り下げ、特にIaaSにおけるセキュリティで必要な知識をアップデートし、識者の解説とともに入り口となるようなコンテンツをそろえる。クラウドに関する安全性を高めたい、クラウド利用を本格展開したいと考える多くの人の参考になれば幸いだ。
特集:進むIaaS活用 強いセキュリティの実現術
第1回:その“クラウドセキュリティ”とは何を指している? いまこそ整理しよう(本記事)
第2回:過去に学べ? IaaSにおける“クラウドセキュリティ”の勘所
第3回:マルチクラウド時代のセキュリティ第一歩「責任共有モデル、線引きはどこ?」
第4回:「クラウド=絶対安全」ではない――IaaS使用時に知っておくべき2つのこと
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
ITmediaはアイティメディア株式会社の登録商標です。