AWSやAzureのセキュリティは万能か?

ハードウェアやソフトウェアの調達が不要で、すぐにアプリケーション開発・実行できるクラウドサービス。Amazon® Web Services(以降AWS)やMicrosoft® Azure(以降Azure)に代表されるこのサービスは、すでに多くの企業で利用され、もはや一般的なITインフラとなりました。従来はIT部門が主体となり進められてきたIT活用ですが、クラウドサービスの登場は、その手軽さから導入の主導がIT部門ではなく、事業企画や事業部門といった非IT部門となることも増えてきました。

ビジネスに精通した事業部門が主体となることは、サービスを迅速に導入、活用できるという点で大きなメリットがあります。しかし、そこには大きなリスクも生まれました。事業部門にはセキュリティに関して深い知識をもった担当者が不在であるケースがあり、企業コンプライアンス上許されないデータ運用が発生し、情報漏えいを始めとした重大事故が起きる可能性が出てきたのです。これは企業経営の観点で大きなセキュリティリスクといえます。

多くのクラウド利用者は、セキュリティに関してはAWSやAzureを提供しているアマゾン ウェブ サービスやマイクロソフトなど、世界的なIT企業が対策しているので大丈夫だと思っているでしょう。それこそが、クラウドサービスを利用する上でのセキュリティの落とし穴になっているのです。

オンプレミスとクラウドにおける
セキュリティ役割分担の違い

オンプレミス環境におけるITシステムでは、IT部門がセキュリティ対策を立案・実施してシステム全体を防御していました。エンドポイントやサーバーセキュリティ、ネットワークセキュリティ、ファイアウォールなどのセキュリティ製品利用とソフトウェアのセキュリティアップデートなど施策の実施により、システム全体を脅威から守っていたわけです。

クラウドサービスにおいては、これらの対策をクラウド事業者が行うわけではありません。クラウド利用では「責任共有モデル」という概念を理解し認識しておく必要があります。クラウド事業者がサービスを提供するデータセンター内(物理ホスト、物理ディスク、ネットワーク、仮想インフラ等)のセキュリティ及び運用についてはクラウド事業者が責任を持ちますが、クラウドインフラの上で構築されるオペレーティングシステム(OS)やミドルウェア、アプリケーションに関してのセキュリティは利用者の責任範囲となります。クラウド事業者が全範囲をカバーしているわけではなく、その誤解がセキュリティリスクを一気に高めるのです。

「責任共有モデル」とは、責任をクラウド事業者と利用者の両者で役割分担して共有するスキームです。セキュリティをマイクロソフトやアマゾン ウェブ サービスにすべて任せられないことに留意が必要です。

アプリケーションやデータのセキュリティ確保は
利用者の責任範囲

利用者のクラウドサービスへのセキュリティ懸念は、マルチテナント型によるデータの取り扱いや、サイバー攻撃など外部からの攻撃などに関することに限りません。脅威は外部からの攻撃だけではなく、社内からクラウドへ感染するという事態もあります。適切なセキュリティ対策が施されれば、情報漏えいやサービス停止など重大なインシデントを防ぎ、ブランド毀損や機会損失を避けることができます。

セキュリティ事故によるインパクトが大きくなった現在、「ゼロトラスト」という考え方が注目されています。これは「社内すら信頼しないことを前提とし、全てのトラフィックを検査してログ取得を行う」という性悪説のアプローチです。クラウド上で運用されるリソースには、主に社内 IT として利用されるシステムと、B2C/B2B で利用される外部公開向けのリソースの二つに分かれます。社内ITとして利用されるシステムはAWS Direct ConnectやAzure ExpressRouteのような閉域網で接続されるパターンが多く、外部からの脅威の侵入に対しては対策されている場合においても、閉域網からの脅威の侵入の可能性が懸念されます。また、外部公開向けのリソースについては、商用環境のセキュリティ対策はされているものの、検証・開発環境でのセキュリティ対策が不十分であることも考えられます。

システムアップデート(パッチ管理)はクラウドサービス利用においても欠かせません。特にOSやミドルウェアの脆弱性を狙った攻撃に対しては有効な対策です。脆弱性を残したままクラウドサービスを利用していると公開サーバーを攻撃され、サイト改ざんやサイバー攻撃の踏み台にされるといったインシデントへとつながります。最悪の場合には、個人情報やクレジットカード情報の漏えいという重大事故を招くことになります。 OS、ミドルウェア、アプリケーションの部分に関しては利用者責任範囲のため、重大インシデントが起きたとしてもクラウド事業者の責任ではなく、すべて利用者の責任なのです。

クラウドセキュリティの利用者責任対策に有効な
セキュリティツール

では、利用者の責任範囲においてどのようセキュリティ対策を講じればよいのでしょうか。ヒントとなるのはオンプレミスでのセキュリティ対策と同様にセキュリティ製品を活用することです。パロアルトネットワークスの製品を利用すれば簡単にセキュリティ対策を実現できます。

いま、脆弱性防御に有効なネットワーク監視やネットワーク遮断、脅威を素早く検知するウイルス・マルウェア対策など、クラウド利用における利用者責任範囲のセキュリティ確保を簡単に実現できる、クラウドサービスに最適なセキュリティツールの利用が求められています。

パロアルトネットワークスのツールでは、企業・組織のセキュリティポリシーに沿った構成を標準化し、構成の展開を自動化できます。自動化にはInfrastructure as Code と呼ばれる手法を用いて、クラウド利用のメリットである迅速な展開や、展開にかかるコストを削減することが可能です。セキュリティのノウハウに長けているIT部門が標準化された構成を定義し、事業部門のニーズに応じて自動化による展開を行うことで、企業がとるべきセキュリティ対策への負荷は大きく削減されるでしょう。

共通基盤化がもたらす防御とインシデント対応の効率化に関する
詳しい資料のダウンロードはこちら




フォームの送信をもって、お客様は当社の利用条件に同意したものとみなされます。
プライバシーポリシーの表示