サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 技術や仕組み クラウド導入前のチェックポイント

クラウド導入前のチェックポイント

クラウド導入前のチェックポイント
目次
  • クラウド導入時に気を付けるポイント
  • クラウドのセキュリティリスクへの対策

最近では、リモートワークや在宅勤務が進み、クラウドの利用を進めている、若しくは検討されているかたも多いのではないかと思われます。

総務省が発行した令和2年の情報通信白書では、「企業におけるクラウドサービスの利用動向」(*1)として、クラウドサービスを一部でも利用している企業の割合は2019年の調査時で58.7%であるのに対し、2020年時点では64.7%と6.0ポイント上昇しており、年々増加傾向を示しています。

しかし、そうしたなかでクラウドを導入する事によるセキュリティリスク等、懸念や不安をお持ちの方もいらっしゃるのではないでしょうか。

今回はクラウドを導入する前に気を付けるべきチェックポイントについて紹介します。

*1 企業におけるクラウドサービスの利用動向 https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r02/html/nd252140.html

クラウド導入時に気を付けるポイント

クラウドを導入することで、自社内のオンプレミスで運用していたサーバーやネットワーク機器、またはアプリケーション等のリソースをインターネットを経由したクラウド環境内で運用する事が可能になります。しかし、オンプレミスとクラウドではいくつか相違点があり移行に際しては注意が必要です。相違点としては大きく分けて以下の三つが挙げられます。

1)責任分界点

クラウドを利用する上でユーザーが負うべきセキュリティの責任範囲はSaaS、PaaS、IaaS等のサービス形態によって異なります。クラウドだからすべてベンダーが責任持ってくれるというのは誤りです。

・SaaSの場合
管理コンソールでの各種設定や、ユーザのパスワード、多要素認証(MFA)といった認証周りはユーザ側で管理していく必要があります。

・PaaSの場合
仮想端末(VM)に実装したアプリケーションはユーザでセキュリティを担保する必要があります。

・IaaSの場合
ネットワーク構成等ユーザが責任を負うべき範囲となります。

ベンダー側は各サービス形態毎にユーザの責任範囲外を管理する責任があり、その責任分界点は明確に分かれておりますので、クラウドサービスを利用の際には、自身の責任範囲を確認する事が必要です。

2)変化のスピード

クラウドサービスではベンダー毎に様々なサービスが用意されております。そうしたサービスは多岐にわたり、また定期的に更新され各機能の仕様も変化していきます。その中で、ユーザはそれら膨大なサービスと設定項目を把握し、適切に設定する事が求められます。

また、クラウドでは端末の増設や、ネットワーク構成の変更等、管理コンソール上でクリック数回で実施出来る高いスケーラビリティを持っています。これらの機能は運用時の負担やコストを抑える意味ではメリットとなりますが、一方で設定ミスや、攻撃にあった場合に被害が広がりやすい一面もありますので、注意が必要です。

3)可視化

クラウドではオンプレミスと違い、実際のサーバーやネットワーク機器はサービスベンダーが管理している為、物理的に確認する事はできません。管理コンソール上で情報として見ることができますが、実態が見えないことでオンプレミスの場合より、経路や構成の把握が難しい場合があります。また、企業や組織で管理している以外のサービスやアプリケーションの利用に気が付きにくいという、所謂、シャドーITといった問題もあります。こうした組織の管理外でのサービスによる設定不備や、重要情報のやりとりによるセキュリティリスクが内在している事もクラウドを利用する上では注意する必要があります。

クラウドのセキュリティリスクへの対策

クラウドコンピューティング(特にパブリッククラウド)を導入するメリット・デメリットについて以下のポイントが挙げられます。

このようにクラウドを利用する上では、オンプレミスとの相違点から生じるセキュリティリスクに対応する必要があります。有効な対策として、プロダクトやセキュリティモデル、コンセプトの活用といった事が挙げられます。

例えば、クラウドの各種設定で誤った設定がなされていないかチェックする為にCSPM(Cloud Security Posture Management)を利用する。またはシャドーITの制御にCASB(Cloud Access Security Broker)を利用し、クラウド利用の可視化・リスク評価・制御を行うといった対策が考えられます。

しかし、プロダクトを購入しても運用できる人がいないといった状況も多くあります。その場合は、いわゆるMSS(Managed Security Service)等の運用を含めた監視セキュリティサービスを活用することも考えられます。クラウド導入時にはこのようにクラウドのセキュリティを担保する事が重要です。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 櫻林 賢治

前職では大手電機メーカーのグループ会社にて、主にWebアプリケーションのシステム開発業務に従事。
2016年より3年間、独立行政法人 情報処理推進機構(IPA)に派遣され、標的型サイバー攻撃の被害に遭われた企業・団体に対する、 インシデント初動対応の支援業務に従事する。
IPAでの業務経験により、サイバーセキュリティの業界に関心を持ち、2020年4月より、 株式会社SHIFT SECURITYに入社。同社ではクラウド環境の脆弱性診断、監視業務に従事。

\ 記事をシェアする /

サービスに関する
お問い合わせ