AWSやAzure活用時のセキュリティチェックポイント:セキュリティ強化塾(2/3 ページ)
周辺システムをIaaSへ移行する企業は増えたが、企業の多くは基幹システムをクラウド化できずにいる。その不安を解消するには?
クラウド/IaaSの不安を分解する
まず、想定できる「クラウドの不安」を列挙してみよう。
- IaaS/クラウド運用のリスク
- IaaS業者による情報漏えいのリスク
- 社外にデータを保管することのリスク
利用者が抱えるこれらの不安をクリアするため、IaaS事業者はリスクを細分化し、事業者側で取り組むべきことと利用者側で取り組むべきことを明確化している。それぞれのリスク、不安をどう捉えるべきかを考えてみよう。
運用のリスクを明確化する「責任共有モデル」という考え方
まず、社外にサーバがあることのリスクを考えてみる。基本的にIaaSという仕組みは、サーバの運営をクラウド事業者におまかせにできるという大きなメリットがある。ただし、「何もかも」をおまかせにできるわけではない。
ほとんどのIaaS事業者は「責任共有モデル」という考え方を掲げている。インフラを提供するに当たり、どこまでがIaaS事業者の責任で、どこからが利用者の責任となるかという分界点をあらかじめ明確に決めているのだ。これがあることで利用者は適切なセキュリティを施すことができる。
基本的には、IaaS事業者はインフラを構成するサーバ、ネットワーク、ストレージ、データベースを管理し、さらにそれを構成する物理的なハードウェアやデータセンターを管理するという「責任」を負う。利用者はその仕組みを使い、OSの管理、ネットワーク設定、アプリケーションやID、アクセスマネジメントの「責任」を持つことになる。IaaS事業者は「クラウドのセキュリティ」を担保する一方、利用者は「クラウドにおけるセキュリティ」を自らが考える必要がある。
アマゾンウェブサービスが公開している責任共有モデルに関するステートメントを引用してみよう。
AWSがクラウドのセキュリティを管理している一方で、クラウドにおけるセキュリティはお客様の責任となります。お客様は、所有するコンテンツ、プラットフォーム、アプリケーション、システムおよびネットワークを保護するためにどのようなセキュリティを実装するかについて管理権限を保持しており、これはオンサイトのデータセンターのそれとなんら変わることはありません。
また、マイクロソフトのAzureも同様のステートメントを公開している。
Microsoftクラウド サービスのセキュリティは、パートナーシップに基づくものであり、お客様とMicrosoftが共有する責任です。共有責任において、Microsoftは、Microsoft Azureおよびそのデータセンターの(入室にIDカードが必要なドア、フェンス、守衛などのセキュリティ保護の使用による)物理的なセキュリティの責任を負います。さらに、Azureのソフトウェアレイヤーには強力なレベルのクラウドセキュリティが備わっており、顧客が求めるセキュリティ、プライバシー、およびコンプライアンスの厳しいニーズを満たすことができます。
お客様は、自分のデータとIDを所有し、それらとオンプレミスリソースのセキュリティ、および自分が制御しているクラウドコンポーネントのセキュリティを保護する責任を持ちます。Microsoftは、セキュリティ制御や、データとアプリケーションを保護するための機能をお客様に提供します。お客様のセキュリティの責任は、クラウド サービスの種類に応じて決まります。
2つのステートメントから読み取れることをまとめてみよう。利用者はサーバリソースの可用性確保やハードウェア故障の管理などを行う必要がなく、その部分はIaaS事業者に任せられる。しかし、OSのインストールやアップデートの作業、ネットワークセキュリティを確保するためのソフトウェア構築などの部分、さらにデータの保護などは利用者の責任となる。この責任共有モデルの理解こそがクラウドへの漠然と不安を取り除く第一歩だ。
では、利用者に責任のある部分をどう守るべきだろうか。この点に関してはセキュリティベンダーも対応を進めている。オンプレミス環境で利用しているセキュリティ関連ソフトウェアをクラウド上でそのまま適用できる製品も増えてきており、仮想環境におけるファイアウォール/WAFなどをオンプレミスと同様に運用することが可能だ。このような状況であれば、これまでの運用ポリシーで設置してきた機能をIaaS上でも利用するという方針を選択できる。
Copyright © ITmedia, Inc. All Rights Reserved.