特集
» 2020年03月04日 07時00分 公開

進むIaaS活用 強いセキュリティの実現術:いまこそ整理する“クラウドセキュリティ”、ユーザー側の責任を把握してますか?

政府がクラウドサービスの利用を第一とする「クラウド・バイ・デフォルト原則」が公表され、クラウド活用が進む中、セキュリティを理解しているだろうか。

[宮田健,ITmedia]

 「クラウド怖い」は過去の話。いまではあらゆる業種、業態でクラウドをいかに活用すべきか考えるステージに移行している。それとともに「クラウドを利用するならばセキュリティを考えなくてはならない」とも理解されつつある。

 しかし、クラウドセキュリティという言葉が指すものは曖昧だ。「Microsoft Azure」「Amazon Web Services」「Google Cloud Platform」などのクラウド事業者が考えるべきセキュリティといえば可用性のことで、私たちユーザー側が考えるべきものとは大きく異なる。では、ユーザーが考えるべきクラウドセキュリティとは、具体的にはどのようなものだろうか。

「セキュリティ=外部の攻撃から守るもの」、でもクラウドの外部って誰?

 「IaaS」(Infrastructure as a Service)、「PaaS」(Platform as a Service)を利用する場合のクラウドセキュリティを考えてみよう。これまでのオンプレミスのシステムは社内にシステムを構築し、社外からやってくるさまざまな脅威をネットワーク的に遮断することが「セキュリティ」といえた。しかし、クラウドを利用する場合、そもそもクラウドは社外にあるリソースのため、外部、内部を区切った守り方はできない。

 さらに、オンプレミスであればシステム開発は情報システム部門が中心となって管理してきた。一方、IaaSは数クリックでリソースを確保可能なため、ユーザー部門が簡単に構築できることがメリットだ。それだけに、ユーザー部門がセキュリティを無視した形でのシステムを作ってしまう可能性がある。

「クラウドセキュリティ」で考えるべき項目は多い(クラウドセキュリティアライアンス提供資料より)

 クラウドはスケーラビリティを確保しやすいことから、テスト環境はオンプレミスで、本番環境はクラウドでというスタイルが一般的になりつつある。このとき、テスト環境で設定していた曖昧なアクセス制御を、そのままクラウドの本番環境にデプロイしてしまう事例が少なくない。

 クラウドは外部からの攻撃よりも、設定ミスが大きなインシデントにつながる可能性がある。アクセスキーや認証情報を使い回す、ソースコードにそのまま記載しているなどの不注意により、第三者が勝手にクラウドのリソースを追加し、結果として多額の利用料金を請求される事例も報告されている。

 これらの問題の原因は、クラウド事業者とユーザーの間に存在する「責任分界点」への理解が足りないことが挙げられる。まずはシステムおよびデータにおける責任が利用者側にあることを理解し、IaaS利用における典型的なミスを知ることで、クラウド特有のトラブルを防げるだろう。

クラウドサービス内のデータ保護の責任がクラウド事業者/ユーザーのどちらにあるかを聞いた結果。経営幹部レベルを除く多くの役職では、責任共有モデルが明確に理解されていないことが分かる(マカフィー「クラウドの採用とリスクに関するレポート」より、2019年)

SaaSにおいても重要なことは「データの管理」

 「Office 365」や「G Suite」などのSaaS(Software as a Service)も多くの企業が活用している。マカフィーの調査では、日本の企業が平均52個のクラウドサービスを活用し、そこに上げられたデータをなんらかの形で共有しているという。これによりPCだけでなくスマートデバイスを用い、社内だけでなく社外からも安全に仕事できるようになった。

 課題になるのはそのデータの使い方だ。クラウドにアップしたデータのうち26%は「機密データ」で、共有ファイル全体の12%が機密データだという。また共有設定は細やかに設定できるものの、URLさえ分かれば誰もがアクセスできてしまうような全公開リンクで機密データを共有しているケースも9%存在しているという。SaaSを利用するシーンが増えているものの、正しい設定、望まれた利用方法なのかどうか、気にしなくてはいけない時期に来ている。

2019年には公開リンクを用いた「機密データ共有」が全体の9%に上った(マカフィー「クラウドの採用とリスクに関するレポート」より、2019年)

参考記事:「リンクを知っている全員が閲覧可」より安全で「特定のユーザーと共有」より簡単な方法とは(ITmedia エンタープライズ)

IaaSにおけるクラウドセキュリティの勘所は? そしてSaaSは?

 クラウドセキュリティにおいて、IaaSに関連するポイント、SaaSに関連するポイントは異なる。しかしその本質は「ネットワークによらず、大事なデータをどのように守るか」「可視化ができ、統一したポリシーを適用できるか」などに集約される。

 さらにいうと、クラウドセキュリティとはアジャイル開発ができるような下地を作り、プロセスを変化させることによって初めて実現できるものといえる。単に製品やソリューションを導入するだけでなく、ある程度のマインドチェンジも必要だ。

 本特集では、曖昧な「クラウドセキュリティ」という言葉を掘り下げ、特にIaaSにおけるセキュリティで必要な知識をアップデートし、識者の解説とともに入り口となるようなコンテンツをそろえる。クラウドに関する安全性を高めたい、クラウド利用を本格展開したいと考える多くの人の参考になれば幸いだ。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ