サービスに関する
お問い合わせ

0120-142-117
お電話でご相談 / 平日10:00〜18:00
※ タップして今すぐお電話

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。 ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 技術・仕組み クラウドセキュリティについて考え始めたらまず知ってほしいこと

クラウドセキュリティについて考え始めたらまず知ってほしいこと

クラウドセキュリティについて考え始めたらまず知ってほしいこと
目次
  • クラウド環境のセキュリティについて考えよう
  • クラウド利用者が責任を負う範囲
  • 従来の脆弱性診断でカバーされないセキュリティ

クラウド環境のセキュリティについて考えよう

AWSやAzureに代表されるクラウド基盤は簡単にクラウド上にシステムを構築できるため、多くの人が使っているのではないでしょうか?かく言う私も公私ともにクラウド基盤を利用している一人です。

クラウド基盤のメリット/デメリットはさまざまな考え方がありますが、従来のオンプレと比べて以下のような特徴があると考えます。

  クラウド オンプレ
構成の変更 早い・容易
ウェブ上から変更可能
遅い
初期コスト
設備・機材購入不要
規模 可変
論理的にスケール可能
物理構成に依存

やはり、クラウド環境は便利ですね。一方で、便利であるが故のセキュリティの注意点もあります。

例えば「構成の変更が早い・容易」であることは便利な反面、攻撃者にとっても攻撃が容易になるリスクも生じます。「初期コストが小さい、規模が可変」は意図しない課金リソースによって膨大なコストが生じるリスクに繋がります。近年ではクラウド上の計算資源を乗っ取り、暗号資産のマイニングに利用されて多額の費用が請求されるなどの被害も発生しています。

このように、クラウドにおいてもセキュリティは重要な関心事になりますが、本稿では特に「クラウド利用者が責任を負う範囲」と「従来の脆弱性診断でカバーされないセキュリティ」に観点を絞って説明をしたいと思います。

クラウド利用者が責任を負う範囲

「SaaSを利用してるからセキュリティはサービス提供者が担保してくれる」や「クラウド基盤のマネージドサービスでシステムを構築してるからセキュリティは大丈夫」と考えている方はいませんか?これは本当でしょうか?

クラウドの利用で注意すべき事に「責任分界点」が挙げられます。これはクラウド利用者とクラウド事業者の間で「誰がどこまで責任を負うか」を定めたものです。

多くのSaaSでは「設定の管理」や「アカウント管理」は利用者の責任の元で行われます。同様に、クラウド基盤のマネージドサービスを利用した際にも、「ユーザが責任を持つセキュリティ範囲」が必ず生じます。

クラウドを利用する際には「クラウドだから、マネージドサービスだから大丈夫」とせず、しっかりと「クラウド利用者として責任を負う範囲」を認識し、対策と診断を実施することが重要です。

従来の脆弱性診断でカバーされないセキュリティ

「クラウド基盤は使ってるけど、脆弱性診断を受けてるから大丈夫だよ」と考えている方はいませんか?これは本当でしょうか?クラウドの利用で注意すべきことに「既存の脆弱性診断ではカバーされないセキュリティ」が挙げられます。

例えば、多くのクラウド基盤ではログやデータを保管するためのストレージサービス(AWSのS3など)が提供されています。このサービスでは保存されたデータに「クラウド基盤のAPIやURL」を通してアクセスする機能があります。この「クラウド基盤のAPIやURL」はユーザが構築するWebサービスなどとは独立してクラウド基盤から提供されるため、一般的には IP/FQDNベースのWeb/プラットフォーム診断の対象にはなりません。

このため、「脆弱性診断を受けていたけど、保存先のストレージが公開設定になっていた」などの被害が生じる場合があります。

このような「クラウド基盤の注意すべき設定」は「CISベンチマーク」等やベンダ提供のプラクティスにまとめられています。クラウドを利用する際には「脆弱性診断を受けたから大丈夫」とせず、「適切な設定が行われているか」を網羅的に確認することが重要です。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 中村 丈洋

形式手法および高信頼ソフトウェアの研究に従事、博士号(工学博士)を取得。2013年より株式会社SHIFTにてソフトウェアテスト支援ツール開発および非機能テストに従事。SHIFT SECURITY の設立に携わる。同社では脆弱性診断手法とツール開発、およびセキュリティコンサルティング業務に従事。2018年よりSHIFT SECURITY 執行役員に就任。現在に至る。

\ 記事をシェアする /

サービスに関する
お問い合わせ

0120-142-117
お電話でご相談 / 平日10:00〜18:00
※ タップして今すぐお電話