技術解説
オンプレミスのセキュリティ要件をクラウドで実現するには
総務省では、国内のデジタル技術についての現状や動向をまとめた「情報通信白書」を毎年、発行しています。
「令和2年版 情報通信白書における企業におけるクラウドサービスの利用動向」を見ると、クラウドサービスを利用している企業の割合は約60%となっており、その利用内訳は「ファイル保管・データ共有」が最も多く、続いて「電子メール」となっています。つまり、過半数の企業がクラウドサービスを利用しているにもかかわらず、基幹システム・業務システムのようなミッションクリティカルなシステムで利用しているケースは少数派であることが見て取れます。
また、「クラウドサービスを利用しない理由」として(「必要がない」を除いて)、最も多いのが「情報漏洩などセキュリティに不安がある」となっています。クラウドサービスが日本で利用され始めてからすでに10年が経過しようとしていますが、この「セキュリティに対する不安」は依然として根強く残っており、本格的な基幹システムや業務システムへのクラウド導入を阻む、大きな要因となっています。
昨今の新型コロナウイルス感染症対策において、日本企業のIT化の遅れが大きな課題として認識され始めました。この遅れを取り戻し、いわゆる「デジタルトランスフォーメーション(DX)」を推進するためには、クラウドの活用は必要不可欠と言えるでしょう。しかし、日本においては、心理的な「漠然としたセキュリティへの不安」でクラウドの活用が進んでいないのが現実です。
こうしたクラウドに対する「漠然としたセキュリティへの不安」を取り除き、クラウドの活用をより促進するためにはどうすればよいでしょうか。そのためには、まずオンプレミスとクラウドのセキュリティの考え方の違いを理解し、実際にどのような問題があるのか、そして、各組織・企業で必要とされるセキュリティ要件は、どうすれば満たせるのかを考える必要があるでしょう。
本記事では、クラウドとオンプレミスにおけるセキュリティの考え方の違いとクラウドを利用した場合のセキュリティ対策を解説します。
本記事をご覧いただいた方向けに、おすすめの記事をまとめました。こちらもあわせてご確認ください。
クラウドはセキュリティが不安・・・。でも、オンプレミスなら安心?
クラウドの特長の1つがサーバーなどのインフラを意識することなく、場所を問わずに利用できることです。これはハードウエアの調達コストを低く抑えられたり、調達にかかるリードタイムを短くできたりといったメリットに繋がります。しかし、自社保有のハードウエアではなく、クラウド事業者が用意したインフラ上にシステムを構築することになるため、「業務上の機密情報を自社の管理外の場所に置くのは心理的に抵抗がある」という不安を感じる声も存在します。
これに対してオンプレミスには、「大事なものをすべて自社の管理下に置く」というイメージがあるため、心理的に安心を感じやすいようです。実際にオンプレミスであれば、予算やリソースを割いた分だけセキュリティを強化できる(どこまでやるかを自分でコントロールできる)のも、より安心を感じやすい一因だと言えるでしょう。
人間の心理として、自分の目の届く範囲ならば安心できるというのは事実でしょう。ですが、これはあくまで気持ちの問題でしかありません。オンプレミスがクラウドに比べ、本当に安全であるとは一概には言えません。
オンプレミスでデータを保管する場合、設置されている建屋の電源や立地の保全、サーバーの運用はもとより、セキュリティ対策の構築から管理・更新まで、すべて自分たちの責任で行わなければなりません。大規模で複雑なシステムを安全に保つためには、非常に専門的な知識やスキルが要求されるでしょう。また、現在ではコロナ禍によるテレワークの推進により、自宅や外出先から社内のデータへアクセスすることも一般的となっています。こうなるとセキュリティを確保するためのVPNや情報漏えいへの対策なども必要になってきます。セキュリティに対する脅威は日に日に巧妙化していくため、システムだけに限らず、運用フローや知識、スキルなども含めた運用体制の定期的なアップデートも重要です。
こうした部分をきちんと抑えられるのであれば、「オンプレミスだから安心」と言えるかもしれません。しかし、これらの作業は運用担当者にとって、非常に大きな負担となってしまうでしょう。また、セキュリティに完璧はないため、どれだけコストをかけて対策したとしても絶対の安全が保証されるわけではありません。
オンプレミスとクラウドにおけるセキュリティの考え方の違い
クラウドでは、クラウドベンダーとユーザーがそれぞれの責任範囲において役割を分担し、さまざまな作業を実施するという考え方(共同責任モデル)があります。セキュリティ対策もこの考え方の下で実施されるため、「クラウドベンダーがどのようなセキュリティ対策を実施しているか」と「ユーザーがクラウド上でどのようなセキュリティ対策を実施するか」の双方を考慮する必要があります。
共同責任モデルの考え方に基づいて、クラウドベンダーとユーザーのそれぞれが管理する範囲を定めた境界を「責任分界点」と呼んでいます。例えば、IaaSにおいてはサーバーやネットワークといった物理基盤から仮想サーバーを動かす仮想化基盤までの責任をクラウドベンダー、OS・ミドルウエアからアプリケーションまでの責任はユーザーが負うのが一般的でこの間が責任分界点となります。そのため、ユーザーが強固なセキュリティ対策を実装したとしても、クラウドベンダーが管理するデータセンターのセキュリティが不完全であれば、システムがセキュアに運用されているとは言えません。逆にクラウドベンダーのセキュリティが厳しく管理されていたとしても、ユーザーが適切な対策を実施していなければ、システムのセキュリティを担保することは難しくなるでしょう。
クラウドベンダーでは、ベンダーの担当範囲におけるサービスの品質を保証するため、「SLA(サービス品質保証)」を定めています。また、「SLO(サービスレベル目標)」を公開しているベンダーも存在します。SLAで保証された品質が自社のシステムの要求を満たすのであれば、クラウドベンダーが責任を負う範囲については、可用性・完全性にかかわる運用コストを削減可能になります。もちろん、セキュリティ要件に関しては、クラウドベンダーの公開しているセキュリティホワイトペーパーやセキュリティチェックリストを確認する必要があります。しかし、情報セキュリティの3要素は可用性・完全性・機密性ですが、可用性・完全性に関して、自社の責任範囲を小さくすることができるのです。
クラウドでセキュリティを向上させるためには
情報セキュリティには、「情報セキュリティの3要素」と呼ばれる基本的な考え方があります。これは情報にアクセスできる者を制限する「機密性(Confidentiality)」、情報が改ざんや破壊されていない状態を保つ「完全性(Integrity)」、必要な時は常に情報にアクセスできる「可用性(Availability)」の3つでそれぞれの頭文字を取って、「CIA」と呼ぶこともあります。
この3要素に沿ってセキュリティ対策を行うという点では、オンプレミスでもクラウドでも違いはありません。ここでは、クラウドでどのようにセキュリティ対策を行えばよいか、IaaSを例に解説します。
物理基盤/仮想化基盤
前述の通り、IaaSでは責任分界点に基いて、物理基盤/仮想化基盤のセキュリティ対策はクラウド事業者の責任で実施されます。ニフクラのデータセンターは、さまざまな脅威を考慮した設計となっており、物理基盤には自動フェイルオーバー(HA)機能の標準実装、構成コンポーネントの二重化などの対策を行っています。また、仮想化基盤では、仮想サーバー単位で設定できる「ファイアウォール」の機能を無料で利用することができます。ニフクラでのセキュリティの考え方についての詳細は、「ニフクラのセキュリティ」を参照してください。
繰り返しになりますが、SLAで保証されている累計障害時間や自動フェイルオーバー(HA)機能によるサーバー再起動の時間などが許容できるのであれば、物理基盤/仮想化基盤における対応は、クラウドベンダー任せで問題ありません。しかし、わずかな停止も許容しがたいエンタープライズの基幹システムや高い可用性が必要となるサービスなど、SLA以上の品質が要求される場合は、ユーザー側で別途、可用性を向上させるための対策を実施する必要があります。クラウドベンダーが提供する機能・サービスを利用して可用性を上げる方法については、「可用性を向上させるクラウドでのデザインパターン」をご確認ください。
OS/ミドルウエア
OSやミドルウエアは、責任分界点によって、ユーザー自身がセキュリティ対策を行わなければなりません。しかし、ユーザー側でセキュリティ関連のソリューションを独自に導入するのは手間がかかるため、セキュリティ関連の機能を提供しているクラウドベンダーも多く存在します。
具体的な機能の例としては、「IDS/IPS」があります。これは不正なアクセスを検知して、アラートを発信したり、通信を遮断する機能で大量のトラフィックを送りつけてサーバーへ負荷を与えるDDoS攻撃やワームなどに対して有効な対策となります。IDS/IPSの詳細については、「IDS/IPSとは?それぞれのセキュリティ対策における役割と効果、違いについて」をご確認ください。FJcloud-V(旧ニフクラ)では、「IDS」を提供しています。
ミドルウエア/アプリケーション
アプリケーションに対するセキュリティ対策もユーザーの責任で行わなければなりません。Webサイト上のアプリケーションへの攻撃・不正アクセスを防御するには、Webアプリケーションに特化したファイアウォールである「WAF」の導入が有効です。WAFについての詳細は、「WAFとは」をご確認ください。ニフクラでは、「WAF(攻撃遮断くん)」や「WAF(Scutum)」を提供しています。オンプレミスから移行したばかりのユーザーには、「統合ネットワークサービス(IPCOM VE2シリーズ)」のような統合ネットワークアプライアンスの利用もお勧めです。
一般的なPC向けのアンチウイルスソフトのように、サーバーにインストールして利用する「ウイルス・スパイウエア対策ソフト」も存在します。ニフクラでは、「サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)」や「ウイルス・スパイウエア対策(ESET Server Security)」を提供しています。ウイルスやマルウエアからサーバーを守るためには、非常に有効です。
データ
万が一、攻撃を受けてしまった場合は、すみやかに復旧を行わなくてはなりません。また、攻撃の起点となったセキュリティリスクを改善し、再び同様の攻撃が行われないよう、防御を強化することも必要です。そのためには、攻撃を受けた事実を検出できなければなりません。
例えば、サイトの改ざんの有無を定期的にチェックしていれば、改ざんの被害にあったとしても、いち早く発見でき、ユーザー保護と再発防止に役立ちます。ニフクラでは、「Web改ざん検知(GREDセキュリティサービス)」を提供しています。
脆弱性診断
自社でのセキュリティ対策に不安がある場合は、第三者のセキュリティの専門家にアプリケーションやシステムの脆弱性の診断を依頼するのも有効な選択肢となります。ニフクラでは、「脆弱性診断サービス Powered by GMOイエラエ」を提供しています。
まとめ
クラウドはデジタルトランスフォーメーション(DX)を推進する上で必要不可欠であり、より積極的に利用していくことが求められています。そのため、正しい知識を持たずに「なんとなく不安」という思い込みや心理的な理由だけでその利用を避けるのは好ましくありません。
セキュリティについての不安も正しい知識があれば、必要以上に恐れることはありません。メリットとリスクを理解した上で、積極的にクラウドを利用しましょう。