クラウドセキュリティの考え方入門
クラウド普及の背景
2006年にAmazon Web Services(AWS)がクラウドコンピューティングサービスの提供を開始しました。それ以降、GoogleやMicrosoftなどの世界的IT企業が相次いで同事業に参入し、徐々に「クラウド」というキーワードと概念が広まりました。
これら世界的IT企業は、クラウドサービスをインターネット経由で不特定多数の利用者へオープンに提供し、規模を拡大してきました。そして、これまで何カ月も要していたIT基盤調達を「数分~数時間」で可能にするというインパクトをもたらしました。
クラウドを利用することの大きなメリットは、各種企業が独自に設備を調達する方法と比べ、「初期投資コストを抑制し、素早く、柔軟にIT基盤を調達することができる」ということです。
デジタル技術の急速な進化により、経済市場はめまぐるしく変化しています。その中で事業活動のスピードとアジリティはますます重要視されており、クラウドはその一翼を担っているといえます。
総務省が発行している「情報通信白書」によると、「日本においてクラウドサービスを一部でも利用している企業の割合」は、2010年では15%以下でしたが、2017年に50%を超えました。2018年には政府情報システム整備においてクラウド利用を第一候補として検討するという「クラウド・バイ・デフォルト」の原則が日本政府から示されました。その後も利用率は増え続け、2021年時点で70%を超えています。
こうした背景から、クラウドの普及と社会インフラ化は今後も進んでいくものと予想されています。
クラウドセキュリティの概要
クラウドのセキュリティは一般的に「責任共有モデル」という考え方に基づいており、以下のように責任が分けられています。
・クラウドサービスを提供する事業者が責任を持つ部分
・サービス提供を受ける利用者、あるいはクラウドを利用して自社サービスを提供する事業者(調達者)が責任を持つ部分
利用者・調達者は、責任分界点を適切に把握し、自らの役割を認識する必要があります。そして、事業者と利用者・調達者がそれぞれの役割を適切に果たし、セキュリティリスクを最小化するために共に協力することが望ましいとされています。
まず前提として、セキュリティの三要素「機密性、完全性、可用性」に代表される原理原則はこれまでと変わるものではなく、「何を、どの程度、何から守るのか」は各企業のポリシーによります。その上で、クラウド利用において特に注意すべき点に留意するということになります。
参考として総務省では、以下のガイドライン等の情報を公開しています。
<利用者・調達者向け>
・クラウドを利用したシステム運用に関するガイダンス(内閣官房内閣サイバーセキュリティセンター)*2
・テレワークセキュリティガイドライン「クラウドサービスの活用の考え方」章(総務省)*3
<事業者向け>
・クラウドサービス提供における情報セキュリティ対策ガイドライン(総務省)*4
適切な設定のためのガイドライン
これまでのガイドラインに加え、総務省により2022年10月に「クラウドサービス利用・提供における適切な設定のためのガイドライン」(*5)が策定されました。これは、従来のガイドラインをベースにしつつ、「適切な設定を促進するための対策」に焦点を絞ったものとなっています。
この背景として、「利用者・調達者の設定不備によるセキュリティ事故の増加」があると述べられています。独立行政法人情報処理推進機構(IPA)によると、届け出のあったセキュリティ被害のうち不正アクセスの原因別比率では、「設定の不備」が全体のおよそ 17.7%を占め第3位となっています。
参照:「コンピュータウイルス・不正アクセスの届出状況[2021年(1月~12月)]」(IPA) *6
ベストプラクティスやサービスの活用
総務省のガイドラインでは幅広い視点からみた基本的な考え方が示されていますが、「どうやって(How to)」にあたる具体的な設計・設定の方法については、各クラウドサービス事業者から提供されるガイドやサービスを活用することができます。
例えばAWSでは、「AWS Well-Architected フレームワーク」(*7)というクラウドアーキテクチャ設計のベストプラクティスに関する資料が公開されています。この中の「セキュリティの柱」という章で、セキュリティ上望ましい設計がどのようなものかについて説明されています。
この資料では概念だけでなく、実際に利用可能な機能やサービスとあわせて提示されています。そのため、利用者・調達者が要件に即して必要なセキュリティ対策方法を選ぶ際の指針となります。
ここでは一例としてAWSが提供するサービス「AWS Security Hub」をご紹介します。
AWS Security Hubはベストプラクティスに沿った設定がなされているかどうかをチェックし、結果を可視化します。チェックは定期的に行われるため、継続的な経過観察が可能となっています。
(サンプル画面)
詳細まで的確に理解するには専門知識を要しますので、クラウドエンジニア以外の利用者にとっては少しハードルが高く感じるかもしれません。しかしながら、概要が可視化されるだけでも、関係者間で認識を共有しやすくなるのではないでしょうか。
そしてAWS Security Hubの本領は、単なるチェックに留まらず、「セキュリティ対策状況を集約、整理、優先順位付けし、一元的に管理する」というところにあります。名前の通り「セキュリティのHUB(=中心地、拠点)」として、脆弱性やマルウェア、脅威の検出といった別サービスと連携させることでより高度な運用が可能となります。
最後に
あらゆる事業領域のスピード感が加速する中、クラウドは社会インフラとしてますます普及すると予想されています。クラウドでは、インターネット上の管理画面を数クリックすることで素早く設定できるという便利さがあります。その反面、構成や仕様をしっかり把握できていなくても操作できてしまい、意図せずセキュリティ設定の不備を発生させてしまうというリスクも持ち合わせています。
『よく分からないけれど動けばヨシ!』の裏には、見えない落とし穴が潜んでいるかもしれません。利用者・調達者は自らの責務を認識し、各種ガイドラインやサービスを活用して適切な利用に努めることが求められています。
弊社では、クラウドを利用したお客さまのシステム環境についてセキュリティ監査を実施しているほか、クラウド上で稼働するアプリケーションのセキュリティ診断サービスを実施しております。クラウド以外でも、ITシステムやセキュリティに関するお悩み・ご相談は個別に対応させていただきますので弊社営業までご連絡ください。
※2022年12月時点の情報です。名称およびサービス仕様は変更になる可能性があります。正式な情報は総務省およびAWSの公式Webサイトをご参照ください。
筆者紹介
矢内 実由樹(Yanai Miyuki)
2006年、東北インフォメーション・システムズ株式会社(現:株式会社トインクス)入社。
主に東北電力様や東北電力グループ企業様向けの情報インフラ業務に従事。
メインフレーム、サーバ(Linux、Windows、AIX)、ネットワーク、ストレージ等を活用した情報インフラ基盤における設計、構築、更改、維持保守の業務経験を有する。
2019年よりクラウドを活用した情報システムの設計構築業務に従事、2022年より新事業企画およびDX推進業務を担当。
保有資格は、AWS認定ソリューションアーキテクトプロフェッショナル、AWS認定SysOpsアドミニストレーターアソシエイト、マイクロソフト認定Azure Fundamentals、TOEICスコア795等。
