Discover Performance

 

 


今すぐ登録する

「HP Software Discover Performance」日本語版

クラウド時代のセキュリティ対策-その1
クラウドサービス提供者から見たセキュリティとは?

一口にクラウドのセキュリティといっても、大きく分けると、「クラウドを提供する側が配慮すべきセキュリティ」と「クラウドを利用する側が考慮するセキュリティ」 の二つがある。 本稿ではまず「クラウドを提供する側が配慮すべきセキュリティ」について触れたいと思う。

クラウド提供者がクラウドに対して付与すべきセキュリティとは?

ここにも二つの異なる要素が存在する。それは以下の二つだ。

  • クラウド基盤自体を保護する目的のセキュリティ
  • クラウド利用者が利用できるセキュリティ機能

クラウド基盤自体を保護する目的のセキュリティ

クラウド基盤自体を保護する目的のセキュリティとは、自分達のクラウドインフラを保護し、安全するためのセキュリティ施策のことで、今までのオンプレミスのシステムに対して適用してきたセキュリティ施策と大きな違いはない。構成要素としては以下のようなものがある。主にインバウンド、外部(インターネット)から内部(クラウド全体)への脅威に対応するもの、さらにインフラ自体のパッチ管理があることが分かる。

  • ファイアウォール
  • 不正侵入検知防御
  • アンチウィルス
  • 脆弱性管理

クラウドとして提供するレベルに応じて、セキュリティの責任範囲が変わっていくルための注意しなければならない。

サービスタイプ

クラウド提供者のセキュリティ責任範囲

IaaS

IaaSインフラになる仮想OS基盤自体のセキュリティ対策

PaaS

PaaSとして提供するデータベース、Webサーバーなどのミドルウェアに対するセキュリティ対策

SaaS

提供するサービス自体のセキュリティ対策


ここで過去発生した事件の例を挙げてみよう。2009年に、仮想OSを基盤としたWebホスティング会社VAservで発生した事件だ。VAservではHyperVMという安価な仮想OSインフラを使用して仮想Webホスティング環境を提供していた。このHyperVMに脆弱性が存在し、攻撃者によってVAserv がホスティングしている100,000ものサイトが削除されてしまったのだ   
HyperVMを提供していたソフトウェア会社の社長が自殺するまでに至っている。ちなみに現在HyperVMはオープンソース化されている。

この事件からも分かるように、クラウド提供者は提供する基盤のセキュリティは確保しなければならない。そのため定期的な脆弱性診断とパッチ適用を含む、「脆弱性管理」と、攻撃の影響を緩和する脅威対応を実施する必要がある。

加えてクラウド基盤のセキュリティ運用自体もセキュリティに配慮しなければならない。クラウド提供者ではないが、仮想OSインフラの運用者に関わる事件の例を挙げよう。2011年に塩野義製薬の米国子会社で発生した事件   がそれだ。レイオフされた元社員が腹いせに特権アカウントでログインし、そのアカウントで管理可能な複数のVMWare上の仮想OSを削除してしまった。その結果物流や社内業務に数日間の大混乱を来した。

実際の事件としては特定の企業内の仮想インフラで発生したことだが、クラウドを提供する側としも、仮想OS環境管理者の実質的な権限の拡大と、それが悪用されないように運用面のセキュリティをも強化しなければならないことを示唆している。

クラウド利用者が利用できるセキュリティ機能

クラウド提供者がインフラを保護するためのセキュリティ施策を十分実施していても、それだけでは十分ではない。クラウド利用者自身もさまざまなセキュリティ監査基準の影響下にあり、セキュアだと信じているだけでは監査をパスすることができない。監査をパスするためには、セキュリティ施策が適用されている、設定が確認できる、正しく動作していることをモニタできる、等を確認できなければならない。「クラウド提供者がセキュアだと主張している」というだけではいけないのだ。

つまりクラウド提供者は、インフラ自体を保護する施策だけではなく、利用者が望むセキュリティ施策の提供とそれをモニタできる環境を提供する必要があることになる。

まずセキュリティ機能であるが、要求されるものによって実現性などが変わってくる。

  • ファイアウォール、不正侵入検知防御、アンチウィルス
    これらの機能は、クラウド利用者が個別に設定、制御できる必要がある。つまりポリシー設定およびログの確認は、クラウド利用者が自由に実施できる必要がある。機能の実装に際しては、マルチテナント機能を持つ機器を使用して複数の利用者を収容しても、個別に機器を使用してもかまわない。
  • 脆弱性管理
    脆弱性管理は、ファイアウォールなどの機能提供に比べ、特別な機能を追加するものではない。クラウド提供者が実施している脆弱性管理の状況を、クラウド利用者が確認できる、ということを意味している。これはファイアウォール等のセキュリティ機能を提供するよりも障壁が大きいだろう。クラウド提供者のインフラ脆弱性を公開してしまうことになりかねないからだ。当面個別の対応をせざるを得ないものとなるだろう。

最後に、今回はクラウド提供者側から見た「クラウドセキュリティ」について説明をした。本稿はおおざっぱな概念のみを取り上げているに過ぎないが、大枠を捉える開始点としてはよいレベルではないだろうか。

次回はクラウド利用者の視点に立ち、どのようなセキュリティを要求すべきなのか、について説明したい。