パブリッククラウドを利用する上で、セキュリティ面のリスクは常に存在します。実際に世界では情報漏洩などの事故が起きており、単純な漏れやミスから思わぬ事態に発展してしまうケースも考えられます。こういったセキュリティリスクの対策を行う上で、利用者側にどのくらい責任の範囲があるのか、あらかじめ把握しておく必要があります。
今回はパブリッククラウドで考えられるセキュリティのリスクや、利用者側とベンダー側における責任の範囲の違いについて詳しく解説します。
パブリッククラウドとは?
クラウドは大きく分けると「パブリッククラウド」と「プライベートクラウド」の2つがあります。
「パブリッククラウド」とは、業界・業種を問わずオープンにクラウドサービスを提供している形態のクラウドです。ベンダーが提供するサービスなので専用のハードウェアなども不要。Webから申し込むことで、誰でもすぐに使い始めることができ、必要な時に必要なだけサーバーやネットワークリソースを利用できます。初期費用がかからないことも多く、管理や更新もベンダー側が行うため、費用や運用コストを抑えられるのが大きな特徴です。
一方、「プライベートクラウド」とは、企業や組織が自社だけのためにクラウドサービスを構築し、社員やグループ会社のみが利用できる形態のクラウドです。自社開発し、企業内でシステムの設計や管理を行うため、企業に合わせた柔軟なサービスが提供できます。独自のセキュリティポリシーのもと運用するため、高度なセキュリティ環境を用意できる一方、構築や運用には専門的な知識が必要となり、担当者の運用・人的コストがかかりやすいです。
このように「パブリッククラウド」であるのか、「プライベートクラウド」であるのかは、その名称が表しているとおり、公か私的かということになります。
クラウド上におけるセキュリティ面でのリスクについて
パブリッククラウドにアクセスする際は、一般的なログイン方法の他に、APIを使用したログインなど、複数のアクセス方法が存在するので、自分が普段ログインする方法以外のアクセス管理にも十分に配慮しておくことが大切です。
以下ではパブリッククラウドを利用する際のセキュリティ面でのリスクについて解説します。
設定上のミスによる情報漏洩
クラウド上にあるデータのアクセス権限に設定ミスがあれば、情報漏洩につながる可能性があります。例えば、本端末で一部の人だけが閲覧できるようアクセス権限を設けたにも関わらず、設定ミスでアクセス権限者以外の人がアクセスできてしまう状態になってしまい、情報漏洩の原因となることもあります。実際に米国ではアクセス権限の設定ミスにより、数万規模の個人情報のデータが漏洩し、URLさえわかれば誰でもアクセスできてしまうというトラブルが発生しています。
このように単純な設定ミスから、機密情報が漏洩してしまう危険性が潜んでいます。
アカウントの乗っ取り被害
設定上のミスによって情報が漏洩するだけでなく、アカウントを乗っ取られるというリスクもあります。アカウントを乗っ取り仮想通貨のマイニングを行うという事例もあり、乗っ取った側の犯罪行為として認められますが、設定ミスさえなければ防げた可能性が高いトラブルです。また、パブリッククラウドにはWebログインをはじめSSHやAPIといった複数のアクセス方法があるため、利用者は個別に管理しておかなければなりませんが、設定ミスや管理漏れがあると、利用者の機密情報がプラットフォーム上に公開され、悪用されてしまうケースもあります。
普段自分が使わないアクセス手段だからといって管理を怠らず、きちんとセキュリティ対策を行うことが大切です。
パブリッククラウドを利用する際にはセキュリティに注意しよう
パブリッククラウドを利用する場合、サービスの運営や管理はベンダー側が行いますが、利用者側でも注意が必要です。パブリッククラウドでは利用者側がコントロールできる範囲が限られており、セキュリティ面を含むサービスの管理や運用をすべてベンダー側に一任することになります。よってベンダー側がどのようなセキュリティ対策を行い、どこまでの範囲を対象としているのかが不透明である部分も多く、予期せぬトラブルが生じた場合にもベンダー側が対応するまでは待つのみです。
しかし、パブリッククラウドを利用する場合の責任の範囲は、ベンダー側と利用者側で分かれており、例えば上記でリスクとしてあげられた設定ミスによるトラブルは自己責任となってしまいます。こういった問題に対する利用者側の意識は薄いのですが、それは、これまでデータ管理をすべて自社内で行うオンプレミス環境に置かれていたため、企業内のIT部門がセキュリティ管理をしてくれており、そういったトラブルを目の当たりにすることが少なかったからかもしれません。
しかしその責任が利用者側にも及ぶ以上、パブリッククラウドを利用するにあたり、ベンダー側と利用者側の責任の範囲を把握しておくことが大切です。以下では利用者でセキュリティ運用管理を行う必要のあるIaaSとPaaSに分けて、それぞれの責任の範囲について解説します。
利用者側の責任の範囲
はじめに利用者側の責任の範囲についてご説明します。
ネットワークまたはハードウェアなどのインフラ部分を提供するクラウドサービスであるIaaSでは、アプリケーション、データ、ランタイム、ミドルウェア、OSの5つにおける問題はすべて利用者側の責任とされています。つまり上記5つにおけるプライベートクラウドの管理や、ソフトウェアのアップデートまたは保護、ウイルス対策などは利用者側が注意すべき観点であり、設定等で対応する必要があるという見解です。
一方、アプリケーションを動かすためのプラットフォームを提供するクラウドサービスであるPaaSでは、アプリケーション、データの2つにおける問題のみが利用者側の責任とされます。IaaSよりも利用者側の責任の範囲が小さく、ベンダー側が責任を負うものが半数を占めています。
ベンダー側の責任の範囲
続いてベンダー側の責任の範囲についてご説明します。
IaaSでは、クラウドサービスにおける仮想化、サーバー、ストレージ、ネットワークの4つについての問題はすべてベンダー側の責任となります。一方PaaSでは、IaaSの責任の範囲にランタイム、ミドルウェア、OSを加えた計7つがベンダー側の責任の範囲となり、IaaSよりもベンダー側が責任を負う範囲が広いです。
IaaS、PaaSどちらにおいても基本的には利用者のデータやセキュリティトラブルには関与せず、クラウド側のインフラやサービスにおける技術的な問題にのみ責任を負うというのが、ベンダー側の主張となります。つまり、利用者側においてもIDやパスワードの管理、ネットワークトラフィックの保護、ファイヤーウォールの構成といったセキュリティ対策は必須であるということです。
マルチクラウド化を行う場合は管理に注意
企業によっては社内で部署や部門ごとに複数のクラウドを、その用途やシステムごとに分けて利用する場合があります。このように複数のクラウドを組み合わせて、それぞれのメリットを生かす利用方法をマルチクラウド化と呼びますが、それを行う際には管理方法に注意が必要です。
複数のクラウドを利用するごとにアカウントが増えますが、これを一括で監視・管理することは極めて厳しいため、部署や部門ごと、または個々で厳重な管理を行うことが大切です。さらにサービスごとに設定項目が異なるため、構成や設定も目的に合わせて変更する必要があります。社内外における情報漏洩を防ぐためにも、設定ミスを防ぐことはもちろん、利用者側ならではのセキュリティ対策を行い、管理漏れがないよう注意しましょう。
まとめ
本稿ではIaaS/PaaSのセキュリティ対策を見てきましたが、パブリッククラウドの形態にはSaaSも存在します。ソフトウェアまでベンダー側が責任を負いますが、一方で利用するSaaS毎にログイン認証部分のセキュリティレベルが統一されない問題も発生します。
HENNGE Oneを始めとするIAM(アイデンティティ&アクセス管理)サービスはデバイス証明書やワンタイムパスワードなど豊富な二要素認証機能を複数SaaSに対して適用することでセキュリティレベルを高いレベルで統一することができます。ぜひ活用を検討されてはいかがでしょうか。
