クラウドセキュリティの
学び場

最近では、リモートワークや在宅勤務が進み、クラウドの利用を進めている、若しくは検討されているかたも多いのではないかと思われます。

総務省が発行した令和2年の情報通信白書では、「企業におけるクラウドサービスの利用動向」(*1)として、クラウドサービスを一部でも利用している企業の割合は2019年の調査時で58.7％であるのに対し、2020年時点では64.7％と6.0ポイント上昇しており、年々増加傾向を示しています。

しかし、そうしたなかでクラウドを導入する事によるセキュリティリスク等、懸念や不安をお持ちの方もいらっしゃるのではないでしょうか。

今回はクラウドを導入する前に気を付けるべきチェックポイントについて紹介します。

クラウド導入時に気を付けるポイント

クラウドを導入することで、自社内のオンプレミスで運用していたサーバーやネットワーク機器、またはアプリケーション等のリソースをインターネットを経由したクラウド環境内で運用する事が可能になります。しかし、オンプレミスとクラウドではいくつか相違点があり移行に際しては注意が必要です。相違点としては大きく分けて以下の三つが挙げられます。

１）責任分界点

クラウドを利用する上でユーザーが負うべきセキュリティの責任範囲はSaaS、PaaS、IaaS等のサービス形態によって異なります。クラウドだからすべてベンダーが責任持ってくれるというのは誤りです。

・SaaSの場合
管理コンソールでの各種設定や、ユーザのパスワード、多要素認証(MFA)といった認証周りはユーザ側で管理していく必要があります。

・PaaSの場合
仮想端末(VM)に実装したアプリケーションはユーザでセキュリティを担保する必要があります。

・IaaSの場合
ネットワーク構成等ユーザが責任を負うべき範囲となります。

ベンダー側は各サービス形態毎にユーザの責任範囲外を管理する責任があり、その責任分界点は明確に分かれておりますので、クラウドサービスを利用の際には、自身の責任範囲を確認する事が必要です。

２）変化のスピード

クラウドサービスではベンダー毎に様々なサービスが用意されております。そうしたサービスは多岐にわたり、また定期的に更新され各機能の仕様も変化していきます。その中で、ユーザはそれら膨大なサービスと設定項目を把握し、適切に設定する事が求められます。

また、クラウドでは端末の増設や、ネットワーク構成の変更等、管理コンソール上でクリック数回で実施出来る高いスケーラビリティを持っています。これらの機能は運用時の負担やコストを抑える意味ではメリットとなりますが、一方で設定ミスや、攻撃にあった場合に被害が広がりやすい一面もありますので、注意が必要です。

３）可視化

クラウドではオンプレミスと違い、実際のサーバーやネットワーク機器はサービスベンダーが管理している為、物理的に確認する事はできません。管理コンソール上で情報として見ることができますが、実態が見えないことでオンプレミスの場合より、経路や構成の把握が難しい場合があります。また、企業や組織で管理している以外のサービスやアプリケーションの利用に気が付きにくいという、所謂、シャドーITといった問題もあります。こうした組織の管理外でのサービスによる設定不備や、重要情報のやりとりによるセキュリティリスクが内在している事もクラウドを利用する上では注意する必要があります。

クラウドのセキュリティリスクへの対策

クラウドコンピューティング（特にパブリッククラウド）を導入するメリット・デメリットについて以下のポイントが挙げられます。

このようにクラウドを利用する上では、オンプレミスとの相違点から生じるセキュリティリスクに対応する必要があります。有効な対策として、プロダクトやセキュリティモデル、コンセプトの活用といった事が挙げられます。

例えば、クラウドの各種設定で誤った設定がなされていないかチェックする為にCSPM（Cloud Security Posture Management）を利用する。またはシャドーITの制御にCASB（Cloud Access Security Broker）を利用し、クラウド利用の可視化・リスク評価・制御を行うといった対策が考えられます。

しかし、プロダクトを購入しても運用できる人がいないといった状況も多くあります。その場合は、いわゆるMSS（Managed Security Service）等の運用を含めた監視セキュリティサービスを活用することも考えられます。クラウド導入時にはこのようにクラウドのセキュリティを担保する事が重要です。