パブリッククラウド上のセキュリティを考える ~システムやデータの価値からセキュリティを定める~

ビジネスの変化に応じて、ITシステムを素早く簡単に、そして低コストで構築する手段の 1つとして、パブリッククラウドの利用や検討が進みつつあります。「日本情報システム・ユーザ協会(JUAS)」の「企業IT動向調査2013」によると、企業における IaaS環境でのパブリッククラウドの導入率は、準備中を含め全体の 14.5%、PaaS環境では同 14%に達しています。

パブリッククラウドは、「オンプレミス」や「データセンター」同様、IT環境の 1つに過ぎませんが、パブリッククラウド上に ITシステムを構築する際には、他の環境と異なり、その「セキュリティ」が特別なモノとして扱われる場合があります。しかしながら、パブリッククラウドのセキュリティは決して特別なものではなく、従来のオンプレミス環境でのセキュリティの考え方同様、構築するシステムの「情報資産(システムそのものやデータ)の価値に応じたセキュリティ」を検討することで、その対策を最適化することができます。

■何を守るかを明らかにする
そもそも、パブリッククラウド環境であろうとオンプレミス環境であろうと、守るべき対象の情報資産価値が判らない状態で適切なセキュリティを施すことはできません。そのためには、まずシステムにおいて最も守るべきものが何かを最初に検討し、確定させることが重要です。その上で、パブリッククラウドに必要な要件を検討し、必要な対策を追加すべきでしょう。

これは、「パブリッククラウドのセキュリティ」を一から検討するのではなく、従来のセキュリティと同様に「守るべきもの(情報資産)の価値に応じたセキュリティ」を、パブリッククラウドという「環境」に適応させることを意味します。

■パブリッククラウド環境ならではの対策を追加
オンプレミス環境との特性の違いを洗い出した結果、パブリッククラウドのセキュリティにおいて着目すべき考慮点は、「クラウドサービス事業者との対策の責任分担」と「仮想化技術の利用」という 2点です。

パブリッククラウドを利用することは、自社のシステムの運用をパブリッククラウド事業者にすべて委ねるということではありません。情報資産に対して、最終責任を持つのは利用者です。そのため、利用者はパブリッククラウド上でシステムを構築、運用する際、事業者に任せる部分のセキュリティ機能を正確に理解し、評価した上で、利用を選択すると同時に、自分達自身がセキュリティ要件に合わせて、オーナーシップを保つことができる対策手段を積極的に選択すべきです。

また、パブリッククラウドを含むクラウド環境は、必ず仮想化技術を利用します。仮想化技術の主な特性には、次のようなものがあります。パブリッククラウド環境では、これらの仮想化技術の特性を理解した上で、仮想OS上で稼働するシステムやデータをセキュリティ要件に合わせて守ることが必要です。

  1. インフラを複数の OS で共有すること
  2. 利用中の仮想OS の起動・停止や削除、複製の操作をコンソール越しにおこなうこと
  3. 仮想OS をイメージとして保存し、瞬時に複製、削除、および別の筐体への移動が可能なこと
  4. 仮想OS を管理するための仮想レイヤとしてハイパーバイザ(ホストOS)が存在すること

■実践的な対策のために
こうした考慮点を踏まえた際にパブリッククラウド上で利用者が実装すべき有効な対策の 1つが、「ホスト型セキュリティ」の採用です。仮想OS 単位でセキュリティ機能を実装するホスト型セキュリティの採用により、システムの重要度別にセキュリティレベルを変化させることができ、環境に応じた適切なセキュリティ投資を実現できます。また、マルチテナントを前提としたパブリッククラウド環境において、ユーザ自身のセキュリティに関するオーナーシップを明確にし、パブリッククラウド上のデータ保護要件を満たすことが可能になります。

また対策を実装する際には、それがビジネスの観点でバランスが取れているか、つまりセキュリティの実装にあたり、クラウド活用によるビジネスメリットをセキュリティ対策で損なうことのないように配慮することが重要です。

より具体的な検討のポイント、対策内容については、以下より「パブリッククラウドのセキュリティ検討ガイド」をダウンロードの上、ご一読ください。

・ パブリッククラウドのセキュリティ検討ガイド ~システムやデータの価値からセキュリティを定める~
  https://inet.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=81

パブリッククラウドは、低コストで耐障害性の高いシステム構築を可能にし、従来の調達速度よりはるかに速くコンピューティングリソースを提供できるなど、ビジネスの発展を下支えできる新たなITインフラです。本ガイドが、クラウドのメリットを損なうことなく、ビジネスの継続性を保ち、より最適なセキュリティの実装に役立てる対策の一助となれば幸いです。

パブリッククラウドのセキュリティ検討ガイド ~システムやデータの価値からセキュリティを定める~

Related posts:

  1. ネットワーク機器がホームページ改ざん幇助:ARPスプーフィングの脅威
  2. なぜ Windows XP を使い続けてはいけないのか? 2013年の攻撃事例から考える
  3. AWS環境の公開サーバに必要なセキュリティ対策とは?
  4. 2016年法人の三大脅威:法人の持つ情報を狙う「公開サーバへの攻撃」