はじめに
企業にとってクラウドサービスの利用が当たり前となり、その利便性と柔軟性から今やなくてはならないものになりつつあります。しかし、国内外でクラウドサービスにおけるセキュリティ事故は依然として発生しています。
その原因のひとつとして、クラウドサービス普及以前のセキュリティ対策では対応できないリスクが存在していることがあげられます。クラウドサービスを安全に利用するためにクラウドサービス特有のリスクを把握して、対策をとっていくことが重要です。
本記事では、総務省が公開している『クラウドサービス利用のための情報セキュリティマネジメントガイドライン(通称:クラウドセキュリティガイドライン)』を要約して、検討すべきセキュリティリスクと対策例をご紹介します。
クラウドサービスを利用するにあたって、適切なセキュリティ対策がとれているか確認してみましょう。
クラウドセキュリティガイドラインとは?
クラウドセキュリティガイドラインとは、経済産業省が2011年4月に公開したクラウドサービスの利用者およびクラウドサービス提供者向けのガイドラインです。
正式名称は「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」で、多くの企業が情報セキュリティの指針として活用しているJIS Q27002の構成を基に作成されました。
クラウドセキュリティガイドラインには、クラウドサービスを安全に利用するために、クラウドサービス利用者が気をつけることやクラウドサービス提供者が開示すべき情報が記載されています。
クラウドセキュリティガイドラインが策定された背景
クラウドセキュリティガイドラインが策定される以前にはクラウドサービスの運用に関する明確なルールがなく、国内では不正アクセスによる情報漏洩や機密情報の流出、大規模な障害などのインシデントが相次ぎました。
このような事態からクラウドサービス運用のルールが必要となり、2011年4月にクラウドセキュリティガイドラインが策定されたのです。
また、日本企業が安全に海外のクラウドサービスを利用するために、クラウドセキュリティガイドラインを国際標準化すべく、日本は2010年10月に開催されたベルリン会合で、英訳されたクラウドセキュリティガイドラインを提案しました。
そして、2015年12月には、クラウドセキュリティガイドラインをベースとした国際規格「ISO/IEC27017」が作成され、クラウドセキュリティの国際標準化に至りました。
2014年3月にはクラウドセキュリティガイドラインの改訂があり、情報セキュリティマネジメントの最重要点をとりまとめた国際規格(ISO/IEC27002:2005)を参照したセキュリティ構築におけるクラウドサービス提供者、利用者のそれぞれが検討すべきリスクが盛り込まれました。この改定と同時に対策の具体例や事例を知りたいという要望をうけ、新たに活用ガイドブックが作成されました。活用ガイドブックには、クラウドサービスの構造やセキュリティの考え方、ガイドラインを利用したリスク分析方法がクラウドセキュリティガイドラインの参照箇所と紐付けて解説されています。
クラウドサービス利用時に検討すべきセキュリティリスクと対策例
クラウドセキュリティガイドラインおよび、活用ガイドブックにはクラウドサービス提供者や利用者が検討すべきセキュリティリスクと対策が解説されています。
次にあげる8項目はクラウドサービスの利用者、提供者という視点ではなく、クラウドサービス全体として検討すべきセキュリティリスクと対策例です。
クラウドサービスの利用者、提供者の双方がクラウドサービス全体を取り巻くリスクを正しく認識し、万が一のトラブルに備えておく必要があるでしょう。
- インフラ
- 仮想化基盤
- サービス基盤
- 統合管理環境
- データ管理
- データ分類
- ID管理
- 人員
インフラ
インフラに関するリスクは主にデータ流出やなりすまし、サービス停止があります。
| 検討すべきセキュリティリスク | 対策例 |
|---|---|
| 通信の傍受 | 暗号通信の標準化 |
| 中間者攻撃やなりすまし | 証明書などを活用した認証 |
| 内部ネットワーク管理の不備 |
|
| VLAN上のトラブル | ネットワーク機器の構成管理・キャパシティ管理 |
| データセンタへの不正な入退館 | 建物および敷地への入退室管理 |
| 機器への直接的な攻撃 | 重要な機器への多層防御 |
| 意図しない操作ミス |
|
| 内部関係者による意図的な攻撃 | 建物への入退出や機器へのアクセスの認可レベルの明確化 |
| 電源喪失よるサービス停止 | バックアップ電源の確保と定期的なテスト実施 |
仮想化基盤
仮想化基盤に関するリスクは主に障害対応の不備やサービス停止があります。
| 検討すべきセキュリティリスク | 対策例 |
|---|---|
| 事故に備えた対応の不備 |
|
サービス基盤
サービス基盤に関するリスクは主に単一障害点となる認証サービスや、決済サービスへの攻撃があります。
| 検討すべきセキュリティリスク | 対策例 |
|---|---|
| 単一障害点となるサービスに関する脅威(認証サーバへの攻撃) |
|
| 共有サービスに関する脅威(決済サーバ、ストレージサーバ、マルチテナントで提供されているサービスへの攻撃) |
|
統合管理環境
統合管理環境に関するリスクは主に全てのリソースに攻撃者がアクセスできる可能性があることです。
| 検討すべきセキュリティリスク | 対策例 |
|---|---|
| 統合管理環境に関する脅威(コントロールパネル) |
|
| 監視環境に関する脅威 | IDS(不正侵入検知システム)などを利用したホストレベルでの監視 |
データ管理
データ管理に関するリスクは主に管理方針が徹底されていないことです。
| 検討すべきセキュリティリスク | 対策例 |
|---|---|
| データ管理におけるガバナンスの喪失 |
|
| 不正なデータの取得によるウイルス感染 |
|
データ分類
データ分類に関するリスクは主に適切にデータを分類できないことで適切なアクセス権の設定ができないことです。
| 検討すべきセキュリティリスク | 対策例 |
|---|---|
| 適切なアクセス権の設定不能 |
|
| データ管理におけるライフサイクル管理の欠如 | データの作成、保管、利用、共有、廃棄手順の明確化 |
| データ漏洩・流出 | 適切なアクセス管理 |
ID管理
ID管理に関するリスクは主にネットワークからの攻撃とIDフェデレーションのトラブルによって他のサービスにもアクセスできなくなることです。
| 検討すべきセキュリティリスク | 対策例 |
|---|---|
| ネットワークからの攻撃 | 二要素認証や二段階認証の実装(単体のパスワードの強度に依存しない) |
| IDフェデレーションサービスのトラブル |
|
人員
人員に関するリスクは主に利用者のリテラシー不足やサービスの内容や機能を理解していないことによって発生するセキュリティインシデントです。
| 検討すべきセキュリティリスク | 対策例 |
|---|---|
| クラウド利用者のリテラシー不足 |
|
| クラウド構築・運用・管理に関するリテラシー不足 |
|
経済産業省│クラウドサービス利用のための情報セキュリティマネジメントガイドライン
経済産業省│クラウドセキュリティガイドライン活用ガイドブック
まとめ
今回はクラウドセキュリティガイドラインを要約して、検討すべきリスクと対策例をご紹介しました。
クラウドサービスを利用しているからクラウドサービス提供者が全てのセキュリティ対策を行ってくれると思っていませんでしたか?
クラウドセキュリティガイドライン、および活用ガイドブックにはクラウドサービスを安全に利用するためにクラウドサービス提供者、利用者の双方が協力して、セキュリティ対策に取り組むことの重要性を示しています。
情報漏洩、不正アクセスによるサービス停止などに陥った場合、企業の信用、事業継続に大きな影響を与えます。クラウドサービス利用者も適切なセキュリティ対策がなされていなければ、それは明日にも起きてしまう可能性があるのです。
クラウドサービスよる利便性と柔軟性を正しく享受するため、改めて自社のセキュリティ対策が万全か見直してはいかがでしょうか。
また、セキュリティ対策を適切に実行、運用できる人材がいないといった場合はセラクにお任せください。セラクは、Microsoft Azure、AWSなどのクラウドサービスを対象に、運用・保守・監視の全体を管理する充実したサービスを提供しております。また、専門性を持つセキュリティ技術者によるSOC(セキュリティ・オペレーション・センター)運用やセキュリティ診断などを通じて、お客様のIT資産を強固に守ります。システムにより、必要なセキュリティ対策の種類・レベルは異なります。お客様のセキュリティ対策は、外部からの攻撃対策も含めた多種多様なシステムの運用実績を持つセラクにお任せください。
