セキュリティ対策かビジネスのミッション達成か――。これまで中堅・中小企業が抱えていた課題を解決するためにAWSが有効なワケとは。
この記事は会員限定です。会員登録すると全てご覧いただけます。
本連載は「オンプレミス環境でセキュリティに課題がある」「セキュリティの不安からクラウド移行に踏み切れない」「クラウドに移行したいが経営層を説得できない」といった悩みを持つ中堅・中小企業に向けて、クラウド移行がもたらす「セキュリティメリット」を解説する企画だ。
連載第2回では米国国立標準技術研究所(以下、NIST)の「サイバーセキュリティフレームワーク」(以下、NIST CSF)に基づいた「識別」機能の紹介に加え、パブリッククラウドのデファクトスタンダードである「Amazon Web Services」(以下、AWS)に移行することで「識別」機能のセキュリティ対策がどのように変わるのかについて解説した。
第3回となる本稿は、NIST CSFで定義される5つの機能のうち、「防御」に分類されるセキュリティ対策について、AWS移行で得られるセキュリティメリットを解説する。
本連載は、クラウドのセキュリティに不安を感じている中堅・中小企業に向けて、全5回にわたってクラウドのセキュリティメリットや注意点を紹介する。クラウド移行を考える際に参考にしてほしい。
NIST CSFにおける「防御」機能の役割は、「サービスを確実に提供するための保護対策を検討し、実施すること」だ。「防御」機能は情報セキュリティの三要素(機密性、完全性、可用性)に直接関わる部分であり、情報セキュリティ対策の根幹といえる。具体的には以下のサブカテゴリーに該当する対策が分類される。
「防御」機能における「アクセス制御」の例としては、ファイル共有システムを運用する際、ユーザーの所属部門や職位といった情報に基づいて閲覧できる領域を制限する、などが挙がる。また、ユーザー端末のIPアドレスによって接続できるネットワークを制御しているケースもあるかもしれない。
「防御」機能における「データセキュリティ」に分類されるものには、定期的なバックアップや複数ディスクを組み合わせたレイド構成、重要なデータを喪失させない為の障害対策などがある。
前回紹介した「識別」機能は、システムや人、資産、データ、役割を理解し、守るべき対象が何かを定義するものだった。それに対し、「防御」機能には「識別」で定義した守るべき対象を“実際に守るためのセキュリティ対策”がまとめられている。
情報セキュリティ対策の根幹を担う「防御」機能だが、これをオンプレミスでシステム運用する中堅・中小企業が徹底することは困難だ。「防御」機能のセキュリティ対策は領域によって規模が大きくなるからだ。
「防御」機能の目的は以下の「情報セキュリティの三要素」を守ることにある。
企業で情報システムを構成する際、多かれ少なかれ情報漏えい対策やデータベースの更新権限の制限、災害に備えてのバックアップなどを検討するだろう。突き詰めて考えるとこれらは全てシステムの機密性や完全性、可用性を守るために実施される。
この三要素のうち、機密性や完全性はある程度技術や運用でカバーできるが、可用性への対策はさまざまなコストの増大に直結するため困難だ。例えば機器故障に備えようとした場合、各機器を複数そろえる必要がある。地震などの災害対策を検討する場合はデータセンターそのものを複数用意する必要がある。設備が変われば内部で使われる技術も複雑になり、運用には多くの人員が必要だ。
これらを背景に、予算や人員などの制約が厳しい中堅・中小企業では自社のセキュリティ対策とビジネスミッションをてんびんにかけ、後者に注力しながら前者は後回しにされがちだ。
Copyright © ITmedia, Inc. All Rights Reserved.