「入れたら動いた、めでたしめでたし」とはならない、クラウドセキュリティの課題（2/2 ページ）

[高橋睦美，ITmedia]

「入れたら動いた、めでたしめでたし」はNG

　クラウドは手軽に、小さく始めて試せる利点がある。「手探りで何となく使えて、動く。（ユーザーが）その感覚で全てを扱ってしまう上、クラウドのサービスや機能がどんどん増え、追い付いていないことも要因の一つではないか」と鷲尾氏は指摘した。

　サービスを迅速に開発し、DXを実現していくため、開発と運用を一体化してスピーディーに回していくDevOpsを進め、Infrastructure as Code（IaC：ITインフラの構成をコードで管理し、再現可能な状態にしてミスを減らす取り組み）で構築する動きも広がり始めている。

ラック サイバー救急センター長の鷲尾浩之氏

　その際に「AWSなどクラウド事業者が公開しているベストプラクティスやアクセスキーの扱いといったセキュリティのイロハを知らないまま構築してしまうと、大きなリスクを招くことになる」と尼子氏は警告した。手軽に利用できるからこそ、セキュリティを考慮しての構成が求められるという。

　インフラ構成をコードベースで管理できるIaCは、小さな単位で成果物を作り、どんどん修正しながら開発を進めていくアジャイル開発ともなじみやすく、多くの利点がある。ただその際には「『root権限をどーんと渡してアクセスキーを発行してアプリを入れたら動いた。めでたしめでたし』ではなく、やっていい範囲をきちんと決めて何らかのガードレールを作り、その中で好きなだけ動かせる環境を提供していくべきだ。同時に、そのガードレールに沿っているかをきちんと監視し、監査することが重要だ」と尼子氏は述べた。

　同時に、マルウェア感染や不正アクセスといったセキュリティインシデントへの対応に当たるCSIRT（Computer Security Incident Response Team）の体制強化も必要で、オンプレミス環境だけでなくクラウドでのインシデントに備えた準備を整えておくべきだという。

　「クラウドの場合、データの保全自体はすぐできるのは事実」（初田氏）。ただ、データのダウンロードに時間がかかったり、デフォルトで保持されるログが90日間までに限られていたりと、いくつか制約があることに注意が必要だ。事業者側が用意している「AWS CloudTrail」「Azure Activity Log」などの監査機能も、広く使われているとは言い難い。そこで、今回ラックがレポートの中でまとめた方法などを参考に、有事に備えた対応体制を整え、インシデント発生時にうろたえないようにしてほしいという。

　ただし、Dockerをはじめとするコンテナ技術を用いた環境では、何が起きたかを調査するフォレンジックやインシデントレスポンスはさらに困難になるとみられる。同社はこの部分について、引き続き研究を進めているとしている。

　「クラウドはうまく使えばセキュアだが、人為的なミスや設定1つで容易に崩れる」と3氏は声をそろえる。かといって、クラウドを利用しないという選択肢はもはやナンセンスだ。クラウドが提供するサービスや監視機能をうまく活用し、セキュリティと利便性、両方の向上を図ってほしいとした。