「入れたら動いた、めでたしめでたし」とはならない、クラウドセキュリティの課題(2/2 ページ)
デフォルトではセキュアに設定されているはずのクラウド環境で、なぜインシデントが発生してしまうのか。ユーザー企業が見落としがちなポイントを、セキュリティ企業のラックに取材した。設定変更時のミスや、アクセスキーの管理体制が原因になりがちだという。
「入れたら動いた、めでたしめでたし」はNG
クラウドは手軽に、小さく始めて試せる利点がある。「手探りで何となく使えて、動く。(ユーザーが)その感覚で全てを扱ってしまう上、クラウドのサービスや機能がどんどん増え、追い付いていないことも要因の一つではないか」と鷲尾氏は指摘した。
サービスを迅速に開発し、DXを実現していくため、開発と運用を一体化してスピーディーに回していくDevOpsを進め、Infrastructure as Code(IaC:ITインフラの構成をコードで管理し、再現可能な状態にしてミスを減らす取り組み)で構築する動きも広がり始めている。
その際に「AWSなどクラウド事業者が公開しているベストプラクティスやアクセスキーの扱いといったセキュリティのイロハを知らないまま構築してしまうと、大きなリスクを招くことになる」と尼子氏は警告した。手軽に利用できるからこそ、セキュリティを考慮しての構成が求められるという。
インフラ構成をコードベースで管理できるIaCは、小さな単位で成果物を作り、どんどん修正しながら開発を進めていくアジャイル開発ともなじみやすく、多くの利点がある。ただその際には「『root権限をどーんと渡してアクセスキーを発行してアプリを入れたら動いた。めでたしめでたし』ではなく、やっていい範囲をきちんと決めて何らかのガードレールを作り、その中で好きなだけ動かせる環境を提供していくべきだ。同時に、そのガードレールに沿っているかをきちんと監視し、監査することが重要だ」と尼子氏は述べた。
同時に、マルウェア感染や不正アクセスといったセキュリティインシデントへの対応に当たるCSIRT(Computer Security Incident Response Team)の体制強化も必要で、オンプレミス環境だけでなくクラウドでのインシデントに備えた準備を整えておくべきだという。
「クラウドの場合、データの保全自体はすぐできるのは事実」(初田氏)。ただ、データのダウンロードに時間がかかったり、デフォルトで保持されるログが90日間までに限られていたりと、いくつか制約があることに注意が必要だ。事業者側が用意している「AWS CloudTrail」「Azure Activity Log」などの監査機能も、広く使われているとは言い難い。そこで、今回ラックがレポートの中でまとめた方法などを参考に、有事に備えた対応体制を整え、インシデント発生時にうろたえないようにしてほしいという。
ただし、Dockerをはじめとするコンテナ技術を用いた環境では、何が起きたかを調査するフォレンジックやインシデントレスポンスはさらに困難になるとみられる。同社はこの部分について、引き続き研究を進めているとしている。
「クラウドはうまく使えばセキュアだが、人為的なミスや設定1つで容易に崩れる」と3氏は声をそろえる。かといって、クラウドを利用しないという選択肢はもはやナンセンスだ。クラウドが提供するサービスや監視機能をうまく活用し、セキュリティと利便性、両方の向上を図ってほしいとした。
関連記事
- 「クラウドは信頼できない」は本当か? AWS、Office 365、自治体IaaSの障害を経て、私たちが知っておくべきこと
2019年は国内外で、大規模なクラウドサービスの障害が相次いで発生した。それに伴い、「クラウドサービスは信頼できないのでは」といった議論も巻き起こった。だが、オンプレミスにも課題はある。メリットとデメリットを認識した上で、クラウドとうまく付き合っていくべきだろう。そのために必要な基礎知識と考え方を、ITジャーナリストの谷川耕一氏が解説する。 - クラウド上のデータを完全削除したくても、ストレージの物理破壊は不可能……どうする? AWSの説明は
神奈川県庁が富士通リースから借りていたサーバのHDDが不正に転売された結果、膨大な個人情報などが漏えいした事件が起きた。これをきっかけに、HDDなどのストレージをいかに安全に破棄すべきか、という点に世間の関心が高まっている。では、クラウドストレージに保存したデータはどうなのか? AWSジャパンが公式ブログで説明している。 - Microsoftのクラウドサービス、新型コロナ外出禁止地域での利用が775%増
Microsoftが、新型コロナ対策が同社のクラウドサービスに与えている影響について説明した。外出禁止令が出ている地域での利用が775%増加し、「Windows Virtual Desktop」の使用量は3倍以上になった。 - 「Zoom」の「Web会議をエンドツーエンドで暗号化している」表記は誤解を招くと専門家
新型コロナ対策でユーザーが急増中のWeb会議サービス「Zoom」。公式サイトには「すべてのミーティングに対するエンドツーエンドの暗号化」とあるが、実際にはそうではないとInterceptが報じた。
Copyright © ITmedia, Inc. All Rights Reserved.