セキュリティの
学び場

クラウド環境のセキュリティについて考えよう

ＡＷＳやＡｚｕｒｅに代表されるクラウド基盤は簡単にクラウド上にシステムを構築できるため、多くの人が使っているのではないでしょうか？かく言う私も公私ともにクラウド基盤を利用している一人です。

クラウド基盤のメリット／デメリットはさまざまな考え方がありますが、従来のオンプレと比べて以下のような特徴があると考えます。

やはり、クラウド環境は便利ですね。一方で、便利であるが故のセキュリティの注意点もあります。

例えば「構成の変更が早い・容易」であることは便利な反面、攻撃者にとっても攻撃が容易になるリスクも生じます。「初期コストが小さい、規模が可変」は意図しない課金リソースによって膨大なコストが生じるリスクに繋がります。近年ではクラウド上の計算資源を乗っ取り、暗号資産のマイニングに利用されて多額の費用が請求されるなどの被害も発生しています。

このように、クラウドにおいてもセキュリティは重要な関心事になりますが、本稿では特に「クラウド利用者が責任を負う範囲」と「従来の脆弱性診断でカバーされないセキュリティ」に観点を絞って説明をしたいと思います。

クラウド利用者が責任を負う範囲

「SaaSを利用してるからセキュリティはサービス提供者が担保してくれる」や「クラウド基盤のマネージドサービスでシステムを構築してるからセキュリティは大丈夫」と考えている方はいませんか？これは本当でしょうか？

クラウドの利用で注意すべき事に「責任分界点」が挙げられます。これはクラウド利用者とクラウド事業者の間で「誰がどこまで責任を負うか」を定めたものです。

多くのSaaSでは「設定の管理」や「アカウント管理」は利用者の責任の元で行われます。同様に、クラウド基盤のマネージドサービスを利用した際にも、「ユーザが責任を持つセキュリティ範囲」が必ず生じます。

クラウドを利用する際には「クラウドだから、マネージドサービスだから大丈夫」とせず、しっかりと「クラウド利用者として責任を負う範囲」を認識し、対策と診断を実施することが重要です。

従来の脆弱性診断でカバーされないセキュリティ

「クラウド基盤は使ってるけど、脆弱性診断を受けてるから大丈夫だよ」と考えている方はいませんか？これは本当でしょうか？クラウドの利用で注意すべきことに「既存の脆弱性診断ではカバーされないセキュリティ」が挙げられます。

例えば、多くのクラウド基盤ではログやデータを保管するためのストレージサービス（AWSのS3など）が提供されています。このサービスでは保存されたデータに「クラウド基盤のＡＰＩやＵＲＬ」を通してアクセスする機能があります。この「クラウド基盤のＡＰＩやＵＲＬ」はユーザが構築するＷｅｂサービスなどとは独立してクラウド基盤から提供されるため、一般的には ＩＰ／ＦＱＤＮベースのＷｅｂ／プラットフォーム診断の対象にはなりません。

このため、「脆弱性診断を受けていたけど、保存先のストレージが公開設定になっていた」などの被害が生じる場合があります。

このような「クラウド基盤の注意すべき設定」は「ＣＩＳベンチマーク」等やベンダ提供のプラクティスにまとめられています。クラウドを利用する際には「脆弱性診断を受けたから大丈夫」とせず、「適切な設定が行われているか」を網羅的に確認することが重要です。