はじめに
昨今、クラウド環境にビジネスのシステムを構築する企業が増えています。しかし、全ての企業が必ずしもクラウド環境でのセキュリティ対策について、万全の体制を整えているわけではありません。なかにはセキュリティ対策が軽視されていると見受けられる例もあります。
クラウド環境でのセキュリティ対策を適切に実施するためには、クラウドプロバイダーが定める「責任共有モデル」に沿った対策が求められます。
本コラムでは、クラウドセキュリティの概要と、責任共有モデルに沿う形で、クラウドセキュリティを実践する2つの方法を紹介します。
クラウドセキュリティの原則「責任共有モデル」
クラウドセキュリティとは、クラウド環境におけるデータやアプリケーション、インフラを保護するためのセキュリティ ポリシーや手法、技術、手順、ツールなどを指します。
はじめにクラウドセキュリティにおける大原則である「責任共有モデル」について説明します。
責任共有モデルとは、クラウドサービスに関して、クラウドプロバイダーとクラウド利用者それぞれの責任の範囲を示したものです。
AWS(Amazon Web Services)やGCP(Google Cloud Platform)、Microsoft Azureをはじめとするパブリッククラウドを提供する各クラウドプロバイダーが責任共有モデルを定めていますが、それらの内容には共通する部分も多くあります。
多くの責任共有モデルにおいて、クラウド利用者が責任を負う主なポイントは次の通りです。
● クラウド環境に保存したデータの保護
● ネットワークやサーバーの設定
● アカウント管理
一方、クラウドサービスとして提供されるさまざまな機能については、クラウドプロバイダーが責任を負うケースがほとんどです。つまり、クラウドセキュリティを実践するためには、上述の3つのポイントにおける対策を整える必要があります。
クラウドセキュリティを実践する2つの方法
次に、クラウドセキュリティを実践する方法を紹介します。
クラウドセキュリティを実践するにはさまざまな方法がありますが、次の2つに大別できます。
● ①サービスやソリューションを導入し、設定した項目における問題の有無を可視化する方法
● ②ガイドラインを策定して、セキュリティ対策を施した状態で開発および構築する方法
①の具体的な方法には、CSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)などがあります。設定した項目の現在の状態を確認するものであり、生じた問題を修復するものではない点に注意が必要です。
一方、②の具体的な方法は、社内でセキュリティポリシーや手順、禁止事項等を定め、ルールに則った開発および構築を行なうというようなものです。サービスやソリューションを導入する場合と比較して、安価で対応できる場合があります。
当社の場合は、クラウドセキュリティベンダーとしてガイドラインを策定しています。これを参考にしながら、クラウドの内製化支援の一部として、お客様のためのガイドライン作成も支援しています。
これらの2つの方法は、どちらも自社のセキュリティを担保しながらクラウドの設定を適切なものにすることを目的としています。
例えば、すでに多くのワークロードがクラウド環境で動作している企業は、それらを可視化するのが難しいため、設定が問題ないか確認するために、①の方法を選択した方が効率的な場合があります。
一方、クラウドの利用が少ない企業や、新たな環境でセキュリティを整備する企業は、一律のガイドラインを策定し、ルールに則った運用を徹底することでてリスクを回避できるため、②の方法を選択した方が効率的な場合があります。
このように企業の状況や環境によって、クラウドセキュリティの実践のために選択すべき方法は異なります。
クラウドセキュリティは、各ユーザーの権限を設定したうえでルールに則った開発および構築を行い、生じた問題にソリューションで対処していく方法が有効です。しかし、予算の問題もあるため、このような状態を実現することは容易ではありません。
本コラムでは2つの方法を紹介しました。自社に合った方法を選択し、クラウドセキュリティを実践していきましょう。
セキュリティ対策を行う範囲の決め方
前述した通り、クラウドセキュリティを実現することは決して容易ではありません。そのため、自社に適した形でクラウドセキュリティ対策を行う範囲を定める必要があります。つまり、守るべき範囲に優先順位を付けて対処していきます。
このような優先順位付けは、次のような要素をもとに行います。
● リスクが顕在化したときの損失の大きさ
● 保有しているデータの価値
例えば、ECビジネスが事業の中核である企業であれば、ECサイトのセキュリティを優先します。サイバー攻撃を受けてECサイトの運営が中断した場合、発生する損失が大きくなるためです。また、ECサイトには、氏名や住所、電話番号をはじめとする個人情報も保存されているため、保有データの価値の観点からも優先してセキュリティを整えるべきでしょう。
個人情報の漏えいは、企業の信用にも大きな影響を与えます。また、実際に漏えいした場合、対応に膨大なコストがかかります。そのため、一般的には個人情報の保護を第一に重視する形でセキュリティを整えるケースが多くなっています。
クラウドセキュリティの領域における典型的な3つのリスク
クラウドセキュリティの領域における典型的な3つのリスクを説明します。
いずれもクラウドセキュリティが不十分であるがために生じるリスクであり、ビジネスの運営に重大な影響を与える可能性があるものです。
設定の誤りによるリスク
以前のクラウドサービスではオープンな環境を維持する設定が、デフォルトになっていました。この設定を変更していない場合、自社の環境が外部からアクセスしやすくなっている可能性があります。
クラウド環境とオンプレミス環境で自由に通信できるリスク
クラウド環境とオンプレミス環境をつなぐ通信が自由に行われる設定になっている場合、クラウド環境への入口を構築するだけでオンプレミス環境にも自由にアクセスできるようになります。クラウド環境への入口は比較的容易に構築できるため注意が必要です。
アカウント管理に関連するリスク
IDおよびパスワードは窃取される前提でセキュリティを構築する必要があります。
攻撃者は、ユーザーをフィッシングサイトに誘導してIDとパスワードを記入させます。また、キーロガーを使用して、キーボードの操作ログからIDやパスワードを取得します。そしてIDとパスワードを窃取できれば、それらを利用して攻撃に使用する新しいアカウントを作成できます。
このような場合に備えて、企業は仕組みやルールを検討する必要があります。例えば、システムを一時的に利用する場合であっても多要素認証(MFA)の導入を必須にしたり、どのリソースにアクセスする作業なのかを確認したうえでアクセスできる対象を絞ったりすることが考えられます。そうすることで、アカウントが窃取されても、受けるダメージを最小限にできます。
まとめ
本コラムでは、クラウドセキュリティの概要と、クラウドセキュリティを実践する2つの方法を紹介しました。
クラウドセキュリティを実践するためには、第一に守るべき範囲を定めて、自社に合った方法を導入する必要があります。
富士ソフトでは、個々の企業に適したセキュリティ戦略の立案からサポートしております。また、クラウド内製化支援の中で、セキュリティ強靭化支援も行っています。お客様の社内に分析チームを編成して、自社の環境を監視し、問題が生じた場合には当社の運用サービス「FujiFastener」を活用して対処する形もおすすめです。
現在、サイバー攻撃は増加を続けており、攻撃者が優位な状況です。ぜひ、セキュリティサービスを活用して自社のビジネスを守りましょう。
クラウドセキュリティに関連するサービスの詳細を、ぜひご確認ください。
内製化支援の内容について
内製化支援サービス|AWS 導入支援サービス|アマゾン ウェブ サービス(AWS) |富士ソフト株式会社 (fsi.co.jp)
執筆者の事例について
日星電気株式会社様(AWS内製化支援サービス)|アマゾン ウェブ サービス(AWS) |富士ソフト株式会社 (fsi.co.jp)
