AWSやAzure活用時のセキュリティチェックポイント

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

AWSやAzure活用時のセキュリティチェックポイント

2016/10/18


 「所有から利用へ」というキーワードがIT業界を賑わしてから早数年。周辺システムをIaaSへ移行する企業は増えてきたが、企業の多くは基幹システムをクラウド化できずにいる。その背景にはセキュリティに対するおぼろげな不安が見え隠れするのだ。今回はクラウド特有のセキュリティの考え方を整理してみよう。

クラウドセキュリティ

クラウドを利用しない理由はセキュリティ上の不安

 クラウドの活用が多くの企業で進んでいる。例えばメールインフラをクラウド化して社外からスマートフォンを使ってチェックできる体制を構築し、ビジネス上のやりとりのレスポンス向上などにつなげる企業も増えてきた。  

 また、ファイルサーバをクラウド化することで、ファイルを入手するためだけに帰社しなければならないといった無駄な移動時間を削減したり、取引先とのファイル交換をメール添付よりも安全に行えるようにしたりといった改善につなげることもできる。このようなSaaS(Software as a Service)としてのクラウド利用は一般的になったといえよう。  

 次に来るのは、「企業におけるインフラ自体もクラウドで」という潮流だろう。つまり、IaaS(Infrastructure as a Service)の検討/活用だ。アマゾンウェブサービスの「Amazon AWS」やマイクロソフトの「Microsoft Azure」といったパブリッククラウドを利用することで、サーバなどの資産を所有することなく必要な分だけリソースを「利用」できるメリットは大きい。  

 これによりサーバの調達やサイジングにかかる時間や工数が不要になるだけでなく、インフラ構築を自動化するなど物理的なサーバでは不可能だったことが可能になる。先進的な企業はオンプレミスシステムの代替手段ではなく「クラウドならでは」の活用方法を模索している。  

 それでもやはり不安要素はある。特にセキュリティを不安視する経営者や情報システム部は多い。総務省が2013年に発表した「情報通信白書 平成25年版」によれば、企業がクラウドサービスを利用しない理由として「情報漏えいなどセキュリティに不安がある」が34.4%を占めた

図1 クラウドサービスを利用しない理由
図1 クラウドサービスを利用しない理由
情報通信白書 平成25年版 http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h25/html/nc244140.html
出典:総務省

 しかし、この数年でクラウドに対するアレルギーも薄らいできたようだ。例えば、金融機関のような厳格なセキュリティを求める企業もIaaSを活用を視野に入れ始めている。そこで、今回はクラウド特有のセキュリティの考え方を整理することで、クラウド/IaaSに対する漠然とした不安を取り除いていきたい。


1

クラウド/IaaSの不安を分解する

 まず、想定できる「クラウドの不安」を列挙してみよう。

IaaS/クラウド運用のリスク

IaaS業者による情報漏えいのリスク

社外にデータを保管することのリスク

 利用者が抱えるこれらの不安をクリアするため、IaaS事業者はリスクを細分化し、事業者側で取り組むべきことと利用者側で取り組むべきことを明確化している。それぞれのリスク、不安をどう捉えるべきかを考えてみよう。

1-1

運用のリスクを明確化する「責任共有モデル」という考え方

 まず、社外にサーバがあることのリスクを考えてみる。基本的にIaaSという仕組みは、サーバの運営をクラウド事業者におまかせにできるという大きなメリットがある。ただし、「何もかも」をおまかせにできるわけではない。  

 ほとんどのIaaS事業者は「責任共有モデル」という考え方を掲げている。インフラを提供するに当たり、どこまでがIaaS事業者の責任で、どこからが利用者の責任となるかという分界点をあらかじめ明確に決めているのだ。これがあることで利用者は適切なセキュリティを施すことができる。  

 基本的には、IaaS事業者はインフラを構成するサーバ、ネットワーク、ストレージ、データベースを管理し、さらにそれを構成する物理的なハードウェアやデータセンターを管理するという「責任」を負う。利用者はその仕組みを使い、OSの管理、ネットワーク設定、アプリケーションやID、アクセスマネジメントの「責任」を持つことになる。IaaS事業者は「クラウドのセキュリティ」を担保する一方、利用者は「クラウドにおけるセキュリティ」を自らが考える必要がある。  

 アマゾンウェブサービスが公開している責任共有モデルに関するステートメントを引用してみよう。

  AWSがクラウドのセキュリティを管理している一方で、クラウドにおけるセキュリティはお客様の責任となります。お客様は、所有するコンテンツ、プラットフォーム、アプリケーション、システムおよびネットワークを保護するためにどのようなセキュリティを実装するかについて管理権限を保持しており、これはオンサイトのデータセンターのそれとなんら変わることはありません。

責任共有モデル – アマゾン ウェブ サービス(AWS)
https://aws.amazon.com/jp/compliance/shared-responsibility-model/

図2 AWSにおける「責任共有モデル」
図2 AWSにおける「責任共有モデル」
出典:AWS

 また、マイクロソフトのAzureも同様のステートメントを公開している。

 Microsoftクラウド サービスのセキュリティは、パートナーシップに基づくものであり、お客様とMicrosoftが共有する責任です。共有責任において、Microsoftは、Microsoft Azureおよびそのデータセンターの(入室にIDカードが必要なドア、フェンス、守衛などのセキュリティ保護の使用による)物理的なセキュリティの責任を負います。さらに、Azureのソフトウェアレイヤーには強力なレベルのクラウドセキュリティが備わっており、顧客が求めるセキュリティ、プライバシー、およびコンプライアンスの厳しいニーズを満たすことができます。

 お客様は、自分のデータとIDを所有し、それらとオンプレミスリソースのセキュリティ、および自分が制御しているクラウドコンポーネントのセキュリティを保護する責任を持ちます。Microsoftは、セキュリティ制御や、データとアプリケーションを保護するための機能をお客様に提供します。お客様のセキュリティの責任は、クラウド サービスの種類に応じて決まります。  

Azure セキュリティの管理と監視の概要 | Microsoft Azure
https://azure.microsoft.com/ja-jp/documentation/articles/security-management-and-monitoring-overview/

 2つのステートメントから読み取れることをまとめてみよう。利用者はサーバリソースの可用性確保やハードウェア故障の管理などを行う必要がなく、その部分はIaaS事業者に任せられる。しかし、OSのインストールやアップデートの作業、ネットワークセキュリティを確保するためのソフトウェア構築などの部分、さらにデータの保護などは利用者の責任となる。この責任共有モデルの理解こそがクラウドへの漠然と不安を取り除く第一歩だ。  

 では、利用者に責任のある部分をどう守るべきだろうか。この点に関してはセキュリティベンダーも対応を進めている。オンプレミス環境で利用しているセキュリティ関連ソフトウェアをクラウド上でそのまま適用できる製品も増えてきており、仮想環境におけるファイアウォール/WAFなどをオンプレミスと同様に運用することが可能だ。このような状況であれば、これまでの運用ポリシーで設置してきた機能をIaaS上でも利用するという方針を選択できる。

セキュリティ情報局にご登録頂いた方限定で「AWSやAzure活用時のセキュリティチェックポイント」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


クラウドセキュリティ/AWSやAzure活用時のセキュリティチェックポイント」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「クラウドセキュリティ」関連情報をランダムに表示しています。

クラウドセキュリティ」関連の製品

ビジネス向けグループチャット TopicRoom 【NTTテクノクロス】 安心・安全・快適認証ソリューション 「YubiOn」 【ソフト技研】 セキュリティとパフォーマンスを両立するクラウド型セキュリティ対策とは? 【アカマイ・テクノロジーズ】
社内SNS ワンタイムパスワード WAF
「安心」で「安全」な「信頼」できる国産のビジネスチャット。 さまざまな認証のシーンにワンタイムパスワードを追加し、セキュアな二要素認証を実現可能にする。新たなハードウェアの購入やシステムの変更を行わずに導入可能。 セキュリティとパフォーマンスを両立するクラウド型セキュリティ対策とは?

クラウドセキュリティ」関連の特集


IT業界の世の中はクラウドの全盛期に「オンプレミス最高!」といった話をすると、「おいおいおい、何いっ…



 「情報セキュリティ対策をしているか?」と聞かれれば、多くの企業のセキュリティ担当者は「しています」…



 前回は、クラウドコンピューティングによる新しいウイルス対策の手法を紹介した。今回はウイルス対策ベン…


クラウドセキュリティ」関連のセミナー

Email Security Conference 2017 大阪 【ナノオプト・メディア】 締切間近 

開催日 9月26日(火)   開催地 大阪府   参加費 無料

    既知・未知の脅威に対抗するための、最新セキュリティ対策とは?           〜事例とデモから紐解く、今すぐできる対策に迫る〜       ■□ 基…

クラウドセキュリティと情報リスクを踏まえたCASB検討の必要性 【マクニカネットワークス】 締切間近 

開催日 9月26日(火)   開催地 東京都   参加費 無料

ビジネス基盤としてのクラウドサービス利用が近年急激に増加しております。それに伴いクラウドサービスをいかに安全に使うか、安全でないクラウドサービスをいかに使わせな…

JRCA登録CPD ISO 27017に基づくクラウドセキュリティ解説コース 【BSIグループジャパン】  

開催日 8月2日(水),10月16日(月),12月6日(水)   開催地 東京都   参加費 有料 4万932円(税込)

ISOより2015年新たにクラウドサービス利用のための情報セキュリティマネジメントガイドラインISO/IEC 27017が発行されました。ISO/IEC 270…

「データセンター」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30009155


IT・IT製品TOP > データセンター > IaaS/PaaS > IaaS/PaaSのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ