【目次】
-
1. オンプレミスと同じ点
クラウドセキュリティの基本について、まず、オンプレミスでのセキュリティと同じ点を記載します。
-
a) 機密性、完全性、可用性
情報セキュリティとは、「機密性、完全性、可用性を守ること」といわれており、これはオンプレミスでもクラウドでも変わらない、基本的な考え方です。機密性、完全性、可用性は以下のように定義されます。
・機密性:情報が、許可されていない人に対して漏れることがないこと。
・完全性:情報が常に正確であり、破壊や改ざん等されていないこと。
・可用性:情報に対し、許可された人がいつでもアクセス可能であること。わかりやすく『家』に例えると、以下のようになります。
・機密性:家の中が勝手に侵入されたり、のぞかれたりしないこと。
・完全性:家や家具が壊れていないこと。
・可用性:家族であればいつでも家にはいれること。したがって、「機密性、完全性、可用性を守ること」は家でも、オンプレミスでも、クラウドでも、変わらない基本的な考え方になります。
-
b) セキュリティ対策のフロー
クラウドセキュリティでは、セキュリティ対策のフローもオンプレミスと同様です。ISO27001と呼ばれる、情報セキュリティに関する国際規格では、以下の①~④ようにセキュリティ対策を行うとされています。
① セキュリティ対策の適用範囲を決定する。
② セキュリティ事故が起きた際のリスクについて考える。
③ セキュリティ対策を考え、実行する。
④ 監査を行い、改善する。 -
2. オンプレミスと異なる点
クラウドセキュリティの基本について、オンプレミスでのセキュリティと異なる点を記載します。クラウドセキュリティ特有の考え方であり、特に注意すべき内容です。
-
a) 責任範囲を理解する
クラウドセキュリティの基本として、クラウドサービス提供者と利用者とでは、担当するセキュリティ対策の責任範囲が異なります。大抵のクラウドサービスは、サービスの提供者が自分の責任範囲と、利用者の責任範囲を明示しています。たとえば、クラウドサービス最大手のAWSは「責任共有モデル※」を公開し、責任範囲を明確にしています。以下に責任範囲についての例を記載します。
IaaS PaaS SaaS アプリケーション 利用者 利用者 利用者 ミドルウェア 利用者 利用者 サービス提供者 OS 利用者 サービス提供者 サービス提供者 ネットワーク サービス提供者 サービス提供者 サービス提供者 ハードウェア サービス提供者 サービス提供者 サービス提供者 データセンター サービス提供者 サービス提供者 サービス提供者
一般的には上記のような責任範囲となっている場合が多いですが、詳細は利用するクラウドサービス提供者に確認を行ってください。そして、利用者としてどの部分が責任範囲なのかを正しく理解し、適切な対策を練ることが重要です。※AWSにおける責任共有モデル
https://aws.amazon.com/jp/compliance/shared-responsibility-model/ -
b) データの特性を理解する
クラウドにデータを配置するということは、その分データ漏洩のリスクが増加することつながります。したがって、クラウドに配置するデータについて分類し、データ漏洩のリスクについて正しく見積もりを行うことが必要です。データの重要度が大きければ大きいほど、データの漏洩、改ざん防止に必要な対応も多くなります。また、漏洩するリスクが高いデータであれば、クラウドにデータを配置しない、という選択肢も考える必要があります。例えば、以下のような整理ができます。
データの種類 データの重要性 漏洩時のリスク 必要な対策 外部公開している会社の所在地など 低 小 改ざん防止などが必要。 会社の手続き書類など外部公開していないもの 中 中 改ざん防止、暗号化、アクセス権の限定などが必要。 顧客のクレジットカード番号など、機密情報 高 大 PCIDSSなど、業界団体や法律等で定められた、厳しい対策が必要。場合によってはセキュリティ監査を受ける必要もある。 -
c) 問題ないサービス提供者を選択する
オンプレミスと違い、クラウドはAWSなどのサービス提供者と契約を行い、サービスを利用します。サービス提供者が、きちんとデータセンターを運用しているか、見極める必要があります。AWSなどのサービス提供者は、ユーザーに、きちんとデータセンターを運用していることを証明するため、外部の公的機関から以下のような認証を受けます。サービス提供者が、どのような認証を取得しているか事前に確認が必要です。
例:
・ISO27001(情報セキュリティに関する国際的な認証)
・ISO27017(クラウドセキュリティに関する国際的な認証)
・PCIDSS(クレジットカード情報のセキュリティに関する国際的な認証)
・NIST(米国国立標準技術研究所によるセキュリティ認可) -
d) 法律を確認する
日本でオンプレミスを運用する場合は、日本の法律が適用され、万が一サイバー攻撃を受けた場合は日本の裁判所と法律で裁判を行うことができます。ただしクラウドの場合はそうとは限りません。どこの国の法律が適用されているか、可能であれば確認しましょう。また、サービス提供者によっては、適用される法律を変更することができます。
例:AWSの場合は以下のように手続き行えます。
https://aws.amazon.com/jp/blogs/news/how-to-change-aws-ca-by-artifact/
-
-
3. 注意すべきポイント
実際にクラウドを利用していくうえで注意すべきポイントについて記載していきます。
-
a) アクセス経路
例えばサーバなどのIaaSに接続する際にはインターネットを利用します。そのため、アクセス経路がSSLやSSH等のセキュアなプロトコルで保護されているか、どのように設定すれば保護されるかを確認する必要があります。
-
b) データの配置先
クラウド上の外部ストレージにデータを配置する際には、配置したデータが暗号化されているか、またはデータを配置する際にSSLなどのデータが盗聴できないプロトコルを利用しているかを確認する必要があります。また、データ配置先のストレージで利用される暗号化カギのローテーションが行えるかも重要です。加えて、データの完全性、可用性を考慮し、データのバックアップとリストアがきちんと行えるかも検証をしましょう。
-
c) 操作権限
クラウドを利用する際は、大抵の場合ブラウザを利用し、ログイン画面でユーザIDとパスワードを入力して利用すると思います。その際に、ワンタイムパスワードや二段階認証を実装でき、操作権限が流出しないことはもちろん、操作権限の流出がなされても操作できないように設定が行えるかが重要です。また、ログインユーザごとに操作権限を設定できる場合は、可能な限り最低限度の権限を設定してきましょう。
ちなみに、インターネット上では認証情報が流出していないか探し回るBOTプログラムが稼働しています。その場合、二段階認証等が設定されていない時に認証情報が流出すれば、最短30分程度で不正アクセス等の被害にあいます。
-
4.まとめ
クラウドセキュリティの基本は、オンプレミスと大きく変わりません。ただし、プラスアルファとして、追加で考慮が必要な部分があります。安全なクラウド業者を選択し、クラウドに配置するデータの特性や利用経路を考えて利用することが大切です。
※下記のブログもご覧ください。
【クラウドとは?】初心者にもわかりやすく解説 -
-