こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
総務省は、「クラウドサービス利用・提供における適切な設定のためのガイドライン」および「ASP・SaaSの安全・信頼性に係る情報開示指針(ASP・SaaS編)第3版」を公表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】クラウドの適切な設定と、不備があった際のリスクについてまとめられた資料が公表されています。クラウドの設定は誰の責任で行うべきかの定義や、それでもクラウドの設定不備が発生する背景について説明します。
今回の資料は、クラウドの設定不備が発生しないよう、安全安心なクラウドサービスの利用・提供に資することを目的として、利用者・事業者双方において共通的に認識しておくべき事項および具体的な対策について整理し、取りまとめられています。ガイドラインでは、米国CISが発行する「CIS Benchmarks」で示されている主要なクラウド基盤の各プロダクトにおけるクラウドセキュリティ設定項目を比較し、分類しています。
例えば、IDとアクセス管理では、クラウドサービスの一般利用者と管理者等のユーザIDやパスワードを設定する際に、認証の設定・管理を明確に分離して行わないと、管理者権限の設定が甘いものとなり、外部からのハッキングにより簡単に情報漏えいしてしまうリスクがあります。
その他にも、オブジェクトストレージやインフラ管理、ネットワーク、IaaS/PaaSの集中管理機能、コンテナ等の設定について触れられています。
クラウドサービスの責任共有モデルとは、クラウドサービスの事業者と利用者が協力して、クラウドサービスに対する責任を共有するモデルです。クラウドサービスの種類ごとに双方の責任範囲が定められており、認識のずれによるセキュリティ対策の抜け漏れを防ぐことを目的としています。
例えば、Aさんが借りているマンションのエアコンが故障したとします。エアコンの管理責任がAさんであることが共有されていれば、日々のメンテナンスを含めてAさんが行うという認識を持っていただけると思います。一方で、エアコンの責任範囲が不明確であった場合に、日々のメンテナンスが行き届かないだけでなく、故障した際の対応が遅れるなどの影響も考えられます。
このように、あらかじめ関係者の責任範囲が明確でないと、セキュリティ対策が行き届かないだけでなく、インシデントが発生した際の対応まで遅れてしまう可能性があります。クラウドサービスの責任共有モデルでは、SaaSやIaaSなどクラウドサービスの種類ごとにその責任範囲が定められており、事業者と利用者で認識のずれによる設定漏れを防ぐことを目的としています。また、クラウドの設定作業を外注する場合は、その設定は利用者の責任となることも注意が必要です。
セキュリティと利便性は一般的に綱引きの関係にあるため、双方のバランスを取るためには技術と習慣をもって取り組む必要があります。
例えば、Aさんが引っ越しを検討している新しいマンションの入口にはオートロックがあったとします。確かにセキュリティは万全ですが、鍵を忘れて外出した際に部屋に戻ることができなくなるなど、少し面倒だと感じてしまい、引っ越しを躊躇するかもしれません。
このように、セキュリティと利便性は綱引きの関係になる場合があり、どちらかを優先する際にもう一方が損なわれる可能性があります。また、ビジネスの観点で、より多くの人に使ってもらいたいクラウドサービスでは、事業者側の判断で利便性を優先する一方で、デフォルトのセキュリティ設定が見送られる傾向があるかもしれません。
セキュリティと利便性のトレードオフを解消するためには、技術と習慣が必要です。例えば、先ほどのAさんのオートロックでは、顔認証のシステムが導入されていれば、鍵を忘れても部屋へ取りに戻ることができます。また、鍵をもって外出する習慣さえ身に付けば、オートロックを面倒と思うことはなくなるかもしれません。
今回は、クラウドサービスの責任共有モデルと、クラウドの設定不備が発生する背景についてお届けしました。全員参加のセキュリティが習慣になれば、クラウドのインシデントも減るかもしれません。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
