IaaSのセキュリティ対策とは？セキュアなアカウント管理の考え方

クラウドサービスにはさまざまな利用形態がありますが、その中でも高い自由度を提供してくれるのがIaaSです。手軽さが人気ですが、それだけにセキュリティ面における課題が多く、管理が行き届いていないと、情報漏洩や不正アクセスといったトラブルを引き起こしかねません。

そのためIaaSを利用する際は、セキュリティ対策の必要性を知っておくことが前提となります。今回はIaaSにおけるセキュリティの特質や、行うべきセキュリティ対策をご紹介します。

IaaSとは

IaaSとは、クラウドサービスにおける利用形態のひとつで、主にサーバーやストレージなどのパソコン本体が持つ機能を提供するサービスです。ユーザー自らが利用したいIaaSサービスを自由に選択し、ネットワークを経由して利用します。

クラウドにはIaaSの他にもPaaS・SaaSといった利用形態がありますが、OSやハードウェアといったプラットフォームを提供するPaaSやソフトウェアを提供するSaaSに対し、IaaSはパソコン本体が持つ機能を提供するという提供内容に違いがあります。

また、従来からあったプロバイダなどからサーバーをレンタルし、そこにメールやWebサービスと保管しておけるホスティングと比較した場合、大きな違いはありません。しかしIaaSでは、ホスティングではできなかったハードウェアなどの構成の変更を管理者が行えるという自由度の高さがあり、自社に合ったオーダーメイドなシステム環境を整えることができます。

ただし、その分管理や設計には専門的な知識が必要となるケースもあり、「自由＝使いやすい」ということではありません。IaaSの代表例としては、Amazon Web ServicesやGoogle Cloud Platformが挙げられます。

IaaSのセキュリティ上の特質

IaaSを利用する上で最も気になるのがセキュリティ面です。IaaSのセキュリティには、SaaSなどのクラウドサービスと比較してどのような特質があるのでしょうか？IaaSのセキュリティについて詳しく解説します。

利用者側の管理責任が大きい

クラウドサービスでは、ベンダー側がサービスを管理することが一般的とされていますが、IaaSではインフラ部分の提供・管理のみベンダー側が行うため、サービス運用からハードウェアやネットワーク以外のセキュリティ、システムの更新などはすべて利用者側が行うことになります。SaaSやPaaSと比較しても、利用者側が管理しなければいけない範囲が広くなります。

特に外部からシステムにアクセスできる場合はOSやファームウェアといったレベルから、データやコンテンツ、アプリケーションに至るまで、各領域にセキュリティ対策が求められます。IaaSではこれらのセキュリティ対策を利用者側が継続して実施しなければいけないため、利用者側の管理責任が大きいでしょう。また、日々発見される脆弱性に対応する必要があるという点からも、利用者側には高度なスキルが求められます。

アカウント流出の際の被害が大きい

IaaSではクラウドにアクセスできるアカウントの管理も、利用者自らで行うことになります。IaaSから直接付与されるアカウントにはOSレベルの権限があるため、すべての情報へのアクセスが可能となります。そのため、アカウントがひとたび流出すれば、あらゆる情報が危険にさらされ、攻撃者が引き起こす被害はとても大きいものとなりえるのです。

これほど重要な権限を持ったアカウントを常用していたり、設定ミスにより多くの人の目に触れる状態が続いていたりすると、アカウントが流出してしまう危険性を高めてしまうので注意が必要です。また、直接付与されるアカウント以外にも、ユーザーの役割に応じて個別のアカウントを作成・提供することが推奨されますが、これらもきちんと利用者側で管理しなければいけません。

IaaS上でのシャドーIT

IaaSを利用すると、サーバーやOS、ストレージといった機器の購入が不要となり、IaaS上で自由にアプリケーションを導入できるようになります。場所や設備にとらわれずサービスが利用できるというメリットがある反面、セキュリティ管理が行き届いていないと、企業側が許可していない社員所有のIT機器やサービスが個々の社員によって勝手に使用される「シャドーIT」という問題が発生するおそれがあります。

IaaSは手軽にシステムを構築できるという利便性から、許可なく試験環境や検証環境として活用してしまうケースも多々発生しています。たとえ試験的な使用とはいえ、アクセス制限設定や公開設定を誤っていると、情報漏えいの原因となるので注意を払う必要があります。

IaaSのアカウント管理

IaaSの特質をカバーするためにも、利用者側できちんとセキュリティ対策を行いましょう。ここからは、IaaSを強力なアカウントにするために、どのようなセキュリティ対策を施すべきかをご紹介します。

アカウントのセキュリティ強化

はじめにアカウントそのもののセキュリティを強化することが先決です。IaaSを利用する際に必要なIDやパスワードを企業側が管理することに加え、シングルサインオン（SSO）や多要素認証を取り入れ、ログインする際に行う認証の仕組みそのものを強化するのが望ましいでしょう。

シングルサインオン（SSO）は、1度の認証で異なるアプリケーションやシステムが利用できる方法で、複数のIDやパスワードの所持による情報漏えいを防止します。一方、多要素認証とは2種類以上の要素から本人確認を行うシステムのことで、不正アクセスやなりすましの抑制に効果的です。認証強化策として、シングルサインオン（SSO）と多要素認証を併用する企業も多いです。

権限の厳密なコントロールと監査

IaaSを利用する上で、複数のユーザーアカウントを作成する企業も多いでしょう。しかし、アカウント数が増えるほど、セキュリティ管理をしなければならない範囲が広がります。

そのため、権限が許可された利用者の確認と、各々がどのようにアカウント管理を行っているのかなどの利用状況の確認を厳密に行うとともに、制限・管理することが大切です。

さらに不正利用や権限喪失者などの検出・監査を定期的に実施するなどし、セキュリティ管理が行き届いているかについて継続的に確認するようにしましょう。また、IaaSのアカウントを所有する利用者に対し、自分がいかに重要な情報にアクセスできる権限を持っているかを認識させることも必要です。場合によっては、リテラシー向上を図るための社員教育を実施する必要もあります。

シャドーITの可視化と管理

現在、管理側の許可なく使用されているオンラインサービスの実態を知るべく、利用者が使用するデバイスと各種サービスへの経路を可視化し、管理しやすい状態にしましょう。リスクの高いサービスを発見した場合は、ファイアウオールやプロキシなどで対処することが可能です。多く利用されているサービスがあれば、社員のニーズと捉えて、自社で利用するサービスの1つとして取り入れるのも良いでしょう。

しかし、いきなりシャドーITを可視化し、システムにより対策を行うと、社員から反感を買ってしまう可能性もあります。許可を得ていないデバイスの利用状況の確認や、シャドーIT対策用システムの導入を前提としたヒアリングなど、事前調査を行うことで、シャドーITの可視化・管理がよりスムーズに行えるでしょう。

まとめ

利用者側にセキュリティ対策が求められるIaaSを利用するには、高度なスキルを持つ人員が求められます。しかし、企業によってはセキュリティ対策に特化した人材がおらず、自社で行うセキュリティ対策では不安を感じる方もいるでしょう。

HENNGEでは先ほどご紹介したシングルサインオンや多要素認証の機能を提供するIDaaSであるHENNGE Oneを提供しています。

セキュリティ対策の中でも、利用者・企業者双方での複数のIDやパスワードの管理リスクを減らすことのできるSSOソリューションを活用してIaaSのセキュリティを強化し、大切な企業情報を守りましょう。