こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
日本ゼオン株式会社は8月23日、同社サーバ機器への不正アクセスによる個人情報流出の可能性について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】サーバへの不正アクセスにより、個人情報が漏えいした可能性があるということです。システムのレイヤーごとに受けるセキュリティの影響や、オンプレとクラウドにおけるセキュリティの違いについて説明します。
今回のインシデントは、アカウント管理システムへの不正アクセスの形跡があり、個人情報の一部が外部へ流出した可能性が判明したというものです。原因として、サーバ機器への外部からの攻撃が挙げられています。
対策として、サーバー機器の保守ベンダーと連絡を取り、ネットワークからの切り離しなどの対策を実施しています。再発防止策として、外部専門機関の協力のもと原因究明を進めるとともに、厳重な情報セキュリティ体制の構築と強化徹底を図り、再発防止に取り組むということです。
プラットフォームとミドルウェアとアプリケーションをキッチンに例えると、プラットフォームはコンロ、ミドルウェアは鍋やフライパン、アプリケーションは料理に置き換えることができます。
まず、プラットフォームはキッチンで言うと、ガスコンロやIHコンロなど、料理をするために必要とされる基本的な構造になります。プラットフォームであるコンロは、メーカーによって異なりますが、ガスやIHなど共通の規格やインターフェースが存在します。
次に、ミドルウェアはキッチンで言うと、鍋やフライパンなど、料理で便利に使える道具になります。ミドルウェアである鍋やフライパンは、プラットフォームであるガスやIHに対応していれば、様々なコンロで使うことができます。
最後に、アプリケーションはキッチンで言うと、作る料理そのものになります。アプリケーションである料理は、ミドルウェアである圧力鍋やテフロン加工のフライパンなどを使って、短時間に作れたり、上手に調理できたりします。
それぞれの関係性がわかったところで、システムにおけるプラットフォームはOS、ミドルウェアはデータベース、アプリケーションはECサイトなどになります。プラットフォームであるOS上で、ミドルウェアであるデータベースを使うことで、アプリケーションであるECサイトが効率よく運用できるわけです。
サーバ機器など物理的に存在するオンプレミス環境とクラウド環境では、ユーザの責任範囲が異なります。具体的には、オンプレミス環境では、ユーザがすべての責任を持つことになりますが、クラウド環境では、責任の一部をクラウド事業者が持ってくれます。
クラウドには主に、IaaS、PaaS、SaaSの3種類があります。IaaSの場合は、プラットフォーム、ミドルウェア、アプリケーションのすべてにおいて、ユーザが責任を持ちます。PaaSの場合は、アプリケーションに対して、ユーザが責任を持ちます。SaaSの場合は、プラットフォーム、ミドルウェア、アプリケーションのすべてにおいて、クラウド事業者が責任を持ちます。
IaaS、PaaS、SaaSで共通するのは、物理的なインフラについてはクラウド事業者が責任を持ち、クラウドで作成された固有のデータについては、ユーザが責任を持つことです。これはクラウドを利用する際の責任共有モデルとしてとても重要な考え方なので、リスナーの皆さんもぜひ覚えておいてください。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
