IaaSの定義

IaaSはInfrastracture as a Serviceの略で、直訳すれば「サービスとしてのインフラストラクチャー」となります。いわゆるクラウドの1サービスですが、同じクラウドのSaaSが「ソフトウェア」を、PaaSが「プログラム（の実行環境）」を提供するのに比べて、IaaSは「コンピューティングリソース」をクラウド上で提供します。

具体的には、仮想サーバー、ストレージ、ネットワークなどのインフラを、インターネット経由でオンデマンドで利用することができるようにするサービスです。あたかもクラウドサービスに自分のデータセンターを持っているかのように、様々なコンピューティングリソースを組み合わせ、独自のインフラを構築することができます。

主要なクラウドプロバイダーはIaaSのサービスをそれぞれ提供しています。例えばAWSであればEC2、AzureであればAzure IaaS、GCPであればGoogle Computing Engineです。

クラウド特有の課題とリスク

では、自社のデータセンターにインフラを構築するのに比べ、IaaSのようなクラウドを利用するにあたって課題はないでしょうか。わかりやすいリスクとしてはインターネットを経由するため、外部からの攻撃にさらされやすいということがあります。また、IaaSをはじめとしたクラウドは高い自由度があるため、誤った設定によりセキュリティリスクが高まる可能性もあります。このような課題やリスクを管理しリスクに直面したときに素早く対応を行うには、セキュリティ監視が有効です。

基本的な監視項目

IaaSの監視には複数のアプローチがあります。
一つは各クラウドベンダーやサードパーティが提供するクラウド監視システムを用いる方法。これらが監視する対象としては、例えば次のものが挙げられます。

もう一つはオンプレの監視と同じようなやり方で、仮想マシンなどに監視エージェントを仕込んでそれを監視ソフトウェアで見ていく方法。監視ソフトの仕様にも依りますが、サーバーやネットワーク機器、データベースなどの情報を幅広く細かく収集できます。

IaaS監視の導入プロセス

クラウド監視システムとオンプレ向け監視は無論併用できますが、どちらかといえばクラウド監視から手を付けるのがよいと考えられます。

クラウド監視はクラウドならではのリスクに重きを置いたものになっていますし、オンプレ向け監視は情報が細かすぎることもあり、監視対象を絞り込んで管理可能にするのが難しいところがあるからです。

一般論として、監視項目は多ければ多いほど良いというものではなく、実際のユーザーやビジネスにインパクトがある監視項目を選択し、場合によっては作り出す、いわゆる「監視設計」とでもいった工程が必要です。これはIaaS監視においても同様です。

IaaS監視の注意点

監視設計については専門書がいくつも出版されている程度には難しいものです。ありがちなのは深く考えずに多くの監視項目を有効にし、それらにアラートを設定することにより担当者がアラートに埋もれてしまい、本当に重要な事象に気づけなくなってしまうことがあります。

例えばオンプレでは重要な「CPU使用率」を考えてみましょう。クラウドの場合は「オートスケール」という手段がありますので、CPU使用率が高くなった場合人間にアラートを出すよりも、オートスケールを有効にするほうがサービスの継続という意味では重要です（もちろん、オートスケールによって追加で必要となるコストは別途見ていく必要があります）。そしてオートスケールが働いている分には「CPU使用率」についてのアラートは単なるノイズとなる可能性すらあります。

クラウド監視システムを活用するというのはクラウドならではのリスクにしぼり、監視設計をシンプルにするという意味で効果的です。また、監視設計について専門家の知見を借りることもよい選択肢です。セキュリティという視点であれば、SOC（セキュリティ オペレーション センター）と組み合わされたサービスを活用することも有用でしょう。

SHIFT SECURITYでは「IaaS監視」として監視設計から運用までを提供しています。こちらもぜひ、参考にしてください。