政府も導入!クラウドサービスの導入に伴うセキュリティ上の注意点

政府も導入!クラウドサービスの導入に伴うセキュリティ上の注意点

2018年6月、政府は「政府情報システムにおけるクラウドサービスの利用に係る基本方針」において「クラウド・バイ・デフォルト」という原則を持ち出しました。すなわち、政府情報システムを構築するのにあたり、クラウドサービスを第一候補として検討するということです。

そして今年の2月14日には、その原則に従った「政府共通プラットフォーム」にAWS(Amazon Web Service)を採用すると明かしました。政府はその採用理由の一つに、AWSのセキュリティ対策が優秀であるという点を挙げていますが、果たしてクラウドサービスのセキュリティとはどんなものなのでしょうか。今日は、クラウドサービスのセキュリティに対する認識と、クラウド環境でのセキュリティ対策についてお伝えします。

 

クラウドサービスのセキュリティに対する認識

まず、政府の認識から見ていきましょう。

 

多くのクラウドサービスは、一定水準の情報セキュリティ機能を基本機能として提供しつつ、より高度な情報セキュリティ機能の追加も可能となっている。また、世界的に認知されたクラウドセキュリティ認証等を有するクラウドサービスについては、強固な情報セキュリティ機能を基本機能として提供している。多くの情報システムにおいては、オンプレミス環境で情報セキュリティ機能を個々に構築するよりも、クラウドサービスを利用する方が、その激しい競争環境下での新しい技術の積極的な採用と規模の経済から、効率的に情報セキュリティレベルを向上させることが期待される。

出典:「政府情報システムにおけるクラウドサービスの利用に係る基本方針」

 

つまり、政府は多数のクラウドサービスで既存のオンプレミス環境にほぼ等しい、またはそれ以上のセキュリティレベルが保障されていると判断しているのです。一方、企業のほうはどうなのでしょうか。政府は企業がクラウドサービスを導入する際の効果と課題について、次の様に論じています。

 

クラウドサービスを利用することにより初期投資や運用投資を削減する効果がある。…このことから、これまで費用面で情報システムに投資が難しかった中小企業やスタートアップにおいても情報システムの導入が進むこととともに、大企業においても新事業への参入や新製品・サービスの開発が容易になることが期待されている。
企業におけるクラウドサービスの利用には前述のような効果がある一方で、課題も存在する。例として、①セキュリティの担保、②改修コスト・通信コストの増加、③カスタマイズ性の不足の3点が挙げられる…特に日本企業においては他の項目と比較してセキュリティの不安に対する回答率が高く、API公開と同様にセキュリティ面への不安は依然強いことがわかる。

出典:総務省「平成30年版 情報通信白書」

 

これによると、クラウドサービスの導入には明確なメリットがあるが、セキュリティ面での不安で導入を躊躇しているという企業が数多く存在するということになります。その中で政府がセキュリティを理由にクラウドサービスの導入を掲げ、またAWSを選定したということは、セキュリティ面で不安を感じる企業にとって一つのシグナルになるでしょう。AWS及びそれに並ぶ数々のクラウドサービスが一定のセキュリティを確保した、というのを政府が保証しているといっても過言ではないのです。

しかし、すべてのセキュリティ対策をクラウドサービスのベンダーが保証してくれる、というわけではありません。前述した「政府情報システムにおけるクラウドサービスの利用に係る基本方針」でも「一定水準の情報セキュリティ機能を基本機能として提供しつつ、より高度な情報セキュリティ機能の追加も可能」という言及があるように、クラウドサービスの利用者が取らなければいけないセキュリティ対策もまた存在するのです。

 

クラウド環境でのセキュリティ対策

代表的なクラウドサービスのベンダーには、アマゾン、マイクロソフト、グーグル、オラクル、IBM等があります。どのベンダーも自身のインフラを保護するための対策をとっていますが、これは「クラウドのセキュリティ」に対する対策をとっているだけ、だと言えるでしょう。クラウドを利用するときに発生する、全てのセキュリティ脅威にベンダーが対応するわけではありません。「クラウド内のセキュリティ」は、利用者が直接取るようになっているのです。例えばAWSの場合、「クラウドのセキュリティ」と「クラウド内のセキュリティ」を次のように区別しています。

 

AWSの、「クラウドのセキュリティ」と「クラウド内のセキュリティ」の区別

出典:AWSホームページ

 

つまり、クラウドサービス自体がいかなるセキュリティ保証をしていたとしても、その利用者によって発生するセキュリティへの脅威及び実際の被害に、ベンダーは責任を取らないということになります。よって、利用者も一定の対策をとらなければいけないということです。実際、利用者側の責任と認識される代表的な事故には次のようなものがあります。

 

AWSの設定ミスによって、ベストウェスタンが所有するホテル利用者の個人情報が公開される

vpnMentorのセキュリティ研究者は、AWS上に構築された、Elasticsearchサーバーのデータが公開されており、そこには約179ギガバイトにも及ぶBest Western Internationalが所有するホテル利用者の個人情報が含まれていたことを発見した。公開されていたデータには、名前、生年月日、自宅の住所、電話番号、旅行の日付と費用、クレジットカードの詳細、チェックイン時間と部屋番号が含まれていた。更に、データベースの詳細の一部には、米国政府、軍隊、および国土安全保障省のメンバーが含まれていた。

引用:ZDnet

 

 もちろんこのような事故が続くのであれば、その問題が例え利用者側の責任だとしても、ベンダーもイメージ面での損傷を受けます。なので、各ベンダーは利用者が容易に各自のセキュリティ対策を取れるよう、クラウドサービス内のいわゆるマーケットで、利用者が自社または第3者のセキュリティ対策アプリケーションを購入できるようにしています。しかし、逆に数が多すぎる故に、どれを選択したらいいのか迷うこともあるでしょう。ここからは、クラウドサービスを利用する中で上の様な事故を防ぐため導入すべき、おすすめのセキュリティ対策を紹介します。

 

WAF

WAFとはWeb Application Firewallの略であり、その名の通りサイバー攻撃からWebアプリケーションを守ります。WAFは既存のファイアーウォールとは違い、Webアプリケーションのセキュリティに特化して作られたものです。そのため、普通のファイアーウォールの様に外部攻撃の遮断や悪性コードの挿入を防ぐだけではなく、コーディング方法やセキュリティ脆弱性などが露出されることをも防ぎます。ペンタセキュリティシステムズクラウド環境に適用できるWAFである、ソフトウェア型WAFの「WAPPLES SA」とクラウド型WAFである「Cloudbric」を提供しております。

 

暗号化

暗号化とは、データを外部から解釈できない暗号に変換し(エンコード)、受け取った側が暗号を再びデータに復号する(デコード)過程のことです。データベースにあるデータあるいはデータベースとの通信に使われるデータは、通常の状態だと暗号化されていません。なのでこれらが流出した場合は、上のような事故になりかねません。また、暗号化を済ませたとしても、その暗号に対する鍵が流出された場合には、データが復号される恐れがあります。なので、暗号化機能だけではなく、確実な鍵管理までを保証するアプリケーションを選択すべきです。ペンタセキュリティシステムズは、「D’Amo Cloud」及び「D’Amo KMS」を通じ、こうした懸案に対応しております。

 

その他にも二つ以上の認証手段を用いてユーザーを判別する多要素認証、アプリケーション潜む脆弱性をチェックするための脆弱性診断など、様々なセキュリティ対策があるので、状況に沿って一番適切なものを選定する必要があります。

 

最後に

クラウドサービスが次々導入される中、そこから事故が発生する頻度もまた高まっていくでしょう。ベンダーもまた、セキュリティ脅威に対策すべく対策を加速させるでしょうが、それでも利用者が気を抜いていいというわけではありません。クラウドサービスの利点を十分活用するためにも、専門的なセキュリティ企業の、専門的なソリューションを必要によって導入することをおすすめします。

 

www.pentasecurity.co.jp

 

www.pentasecurity.co.jp