AWSやAzure活用時のセキュリティチェックポイント

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

AWSやAzure活用時のセキュリティチェックポイント

2016/10/18


 「所有から利用へ」というキーワードがIT業界を賑わしてから早数年。周辺システムをIaaSへ移行する企業は増えてきたが、企業の多くは基幹システムをクラウド化できずにいる。その背景にはセキュリティに対するおぼろげな不安が見え隠れするのだ。今回はクラウド特有のセキュリティの考え方を整理してみよう。

クラウドセキュリティ

クラウドを利用しない理由はセキュリティ上の不安

 クラウドの活用が多くの企業で進んでいる。例えばメールインフラをクラウド化して社外からスマートフォンを使ってチェックできる体制を構築し、ビジネス上のやりとりのレスポンス向上などにつなげる企業も増えてきた。  

 また、ファイルサーバをクラウド化することで、ファイルを入手するためだけに帰社しなければならないといった無駄な移動時間を削減したり、取引先とのファイル交換をメール添付よりも安全に行えるようにしたりといった改善につなげることもできる。このようなSaaS(Software as a Service)としてのクラウド利用は一般的になったといえよう。  

 次に来るのは、「企業におけるインフラ自体もクラウドで」という潮流だろう。つまり、IaaS(Infrastructure as a Service)の検討/活用だ。アマゾンウェブサービスの「Amazon AWS」やマイクロソフトの「Microsoft Azure」といったパブリッククラウドを利用することで、サーバなどの資産を所有することなく必要な分だけリソースを「利用」できるメリットは大きい。  

 これによりサーバの調達やサイジングにかかる時間や工数が不要になるだけでなく、インフラ構築を自動化するなど物理的なサーバでは不可能だったことが可能になる。先進的な企業はオンプレミスシステムの代替手段ではなく「クラウドならでは」の活用方法を模索している。  

 それでもやはり不安要素はある。特にセキュリティを不安視する経営者や情報システム部は多い。総務省が2013年に発表した「情報通信白書 平成25年版」によれば、企業がクラウドサービスを利用しない理由として「情報漏えいなどセキュリティに不安がある」が34.4%を占めた

図1 クラウドサービスを利用しない理由
図1 クラウドサービスを利用しない理由
情報通信白書 平成25年版 http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h25/html/nc244140.html
出典:総務省

 しかし、この数年でクラウドに対するアレルギーも薄らいできたようだ。例えば、金融機関のような厳格なセキュリティを求める企業もIaaSを活用を視野に入れ始めている。そこで、今回はクラウド特有のセキュリティの考え方を整理することで、クラウド/IaaSに対する漠然とした不安を取り除いていきたい。


1

クラウド/IaaSの不安を分解する

 まず、想定できる「クラウドの不安」を列挙してみよう。

IaaS/クラウド運用のリスク

IaaS業者による情報漏えいのリスク

社外にデータを保管することのリスク

 利用者が抱えるこれらの不安をクリアするため、IaaS事業者はリスクを細分化し、事業者側で取り組むべきことと利用者側で取り組むべきことを明確化している。それぞれのリスク、不安をどう捉えるべきかを考えてみよう。

1-1

運用のリスクを明確化する「責任共有モデル」という考え方

 まず、社外にサーバがあることのリスクを考えてみる。基本的にIaaSという仕組みは、サーバの運営をクラウド事業者におまかせにできるという大きなメリットがある。ただし、「何もかも」をおまかせにできるわけではない。  

 ほとんどのIaaS事業者は「責任共有モデル」という考え方を掲げている。インフラを提供するに当たり、どこまでがIaaS事業者の責任で、どこからが利用者の責任となるかという分界点をあらかじめ明確に決めているのだ。これがあることで利用者は適切なセキュリティを施すことができる。  

 基本的には、IaaS事業者はインフラを構成するサーバ、ネットワーク、ストレージ、データベースを管理し、さらにそれを構成する物理的なハードウェアやデータセンターを管理するという「責任」を負う。利用者はその仕組みを使い、OSの管理、ネットワーク設定、アプリケーションやID、アクセスマネジメントの「責任」を持つことになる。IaaS事業者は「クラウドのセキュリティ」を担保する一方、利用者は「クラウドにおけるセキュリティ」を自らが考える必要がある。  

 アマゾンウェブサービスが公開している責任共有モデルに関するステートメントを引用してみよう。

  AWSがクラウドのセキュリティを管理している一方で、クラウドにおけるセキュリティはお客様の責任となります。お客様は、所有するコンテンツ、プラットフォーム、アプリケーション、システムおよびネットワークを保護するためにどのようなセキュリティを実装するかについて管理権限を保持しており、これはオンサイトのデータセンターのそれとなんら変わることはありません。

責任共有モデル – アマゾン ウェブ サービス(AWS)
https://aws.amazon.com/jp/compliance/shared-responsibility-model/

図2 AWSにおける「責任共有モデル」
図2 AWSにおける「責任共有モデル」
出典:AWS

 また、マイクロソフトのAzureも同様のステートメントを公開している。

 Microsoftクラウド サービスのセキュリティは、パートナーシップに基づくものであり、お客様とMicrosoftが共有する責任です。共有責任において、Microsoftは、Microsoft Azureおよびそのデータセンターの(入室にIDカードが必要なドア、フェンス、守衛などのセキュリティ保護の使用による)物理的なセキュリティの責任を負います。さらに、Azureのソフトウェアレイヤーには強力なレベルのクラウドセキュリティが備わっており、顧客が求めるセキュリティ、プライバシー、およびコンプライアンスの厳しいニーズを満たすことができます。

 お客様は、自分のデータとIDを所有し、それらとオンプレミスリソースのセキュリティ、および自分が制御しているクラウドコンポーネントのセキュリティを保護する責任を持ちます。Microsoftは、セキュリティ制御や、データとアプリケーションを保護するための機能をお客様に提供します。お客様のセキュリティの責任は、クラウド サービスの種類に応じて決まります。  

Azure セキュリティの管理と監視の概要 | Microsoft Azure
https://azure.microsoft.com/ja-jp/documentation/articles/security-management-and-monitoring-overview/

 2つのステートメントから読み取れることをまとめてみよう。利用者はサーバリソースの可用性確保やハードウェア故障の管理などを行う必要がなく、その部分はIaaS事業者に任せられる。しかし、OSのインストールやアップデートの作業、ネットワークセキュリティを確保するためのソフトウェア構築などの部分、さらにデータの保護などは利用者の責任となる。この責任共有モデルの理解こそがクラウドへの漠然と不安を取り除く第一歩だ。  

 では、利用者に責任のある部分をどう守るべきだろうか。この点に関してはセキュリティベンダーも対応を進めている。オンプレミス環境で利用しているセキュリティ関連ソフトウェアをクラウド上でそのまま適用できる製品も増えてきており、仮想環境におけるファイアウォール/WAFなどをオンプレミスと同様に運用することが可能だ。このような状況であれば、これまでの運用ポリシーで設置してきた機能をIaaS上でも利用するという方針を選択できる。

セキュリティ情報局にご登録頂いた方限定で「AWSやAzure活用時のセキュリティチェックポイント」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


クラウドセキュリティ/AWSやAzure活用時のセキュリティチェックポイント」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「クラウドセキュリティ」関連情報をランダムに表示しています。

クラウドセキュリティ」関連の製品

「CASB」製品の導入選定時にチェックしたいポイントを徹底解説 【サイバネットシステム】 「多層防御の運用」というセキュリティ対策の壁をどう乗り越える? 【シーティーシー・エスピー】 AWSにおけるセキュリティ対策の常識――システム移行時に検討すべき3つの要素 【トレンドマイクロ】
認証 UTM UTM
「CASB」製品の導入選定時にチェックしたいポイントを徹底解説 サイバー攻撃が高度化する昨今、企業ITには強固なセキュリティが必要だ。企業がセキュリティ製品を適切に選択して導入し、運用する負担も重くなっている。よい解決策は。 AWSにおけるセキュリティ対策の常識――システム移行時に検討すべき3つの要素

クラウドセキュリティ」関連の特集


 IT関連人材を専門に、各業務に関する実務能力基準の認定や教育コンテンツの提供を行う業界団体Comp…



シャドーITともいわれるWebサイトやスマホからクラウドサービスを「私用アカウント」で業務利用するオ…



アイデンティティ管理の難しさは、検討段階にある。そこで達成目標の設定や対象システムを絞り込み、導入時…


クラウドセキュリティ」関連のセミナー

高度サイバー攻撃対策セミナー 【主催:ヤマダ電機/共催:日本ユニシス/日立ソリューションズ/マクニカネットワークス/Project White/シャニム】  

開催日 12月7日(木)   開催地 東京都   参加費 無料

ランサムウェアや標的型メール攻撃、公開Webサーバーを狙った攻撃(Webアプリケーションの脆弱性をついた攻撃やDDoS攻撃等)は猛威を振るっており、増加の一途を…

JRCA登録CPDコース クラウドセキュリティ基礎知識コース 【BSIグループジャパン】  

開催日 11月15日(水),1月24日(水),3月9日(金)   開催地 東京都   参加費 有料 4万932円(税込)

BSIでは市場環境を加味し、既に情報セキュリティの知識をお持ちの方に向けたクラウドセキュリティの基礎的な知識を習得できるコースをスタートいたします。まずはクラウ…

CASBで実現!働き方改革×クラウドセキュリティ 【主催:マイナビ/協賛:マクニカネットワークス/シマンテック】  

開催日 12月6日(水)   開催地 東京都   参加費 無料

国を挙げて「働き方改革」が叫ばれている今、テレワークや在宅勤務を促進する企業が増えています。それに伴い、ビジネス基盤としてのクラウドサービス利用は急増しており、…

「データセンター」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30009155


IT・IT製品TOP > データセンター > IaaS/PaaS > IaaS/PaaSのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ