総務省調査の令和得元年通信利用動向の「クラウドサービス利用状況」からみると、国内企業の64.7%がクラウドサービスを利用していると答え、導入効果については「非常に効果があった」又は「ある程度効果があった」のような応答が8割を超えています。企業システムのクラウドシフトによって変化しつつあるIT環境に必要とされるセキュリティ対策にも変化があるはずです。そのため、クラウド中心に変化したIT環境に最も適切なセキュリティ対策は何かを把握することが、クラウド導入の前後を問わず解決すべき課題だと言えるでしょう。そこで今回は、従来のIT環境とは違うクラウド環境の特殊性を理解し、クラウド環境に適切なセキュリティとは何かをお伝えしたいと思います。
クラウド環境の特殊性を理解したセキュリティ
Accenture の調査によると企業のクラウド移行を妨げる障壁として「セキュリティ」が挙げられています。
企業はクラウド導入の際、新たなIT環境がサイバー攻撃者の浸透経路にならないよう、クラウド環境に適切なセキュリティ対策に取る組む必要があります。そのためには、まず従来のIT環境とは違う「クラウド環境のみの特殊性」を理解しなければりません。
責任共有モデル
AWS、Azure等のCSP(Cloud Service Provider、クラウドサービス企業)は安全なクラウド環境のために、様々なセキュリティポリシーやサービスをビルトインさせました。
しかしそれだけでセキュリティが担保できるとは言い切れません。CSPの提供するセキュリティサービスはクラウドセンター自体を守ることに限定され、クラウドにて仮想的に結合された顧客のシステムやデータまで保護するものではありません。
AWSをはじめとしたCSPは、クラウドの情報セキュリティに関して一般的に「責任共有モデル」という考え方を採用しています。これは、CSPとユーザ(顧客)で責任範囲を明確にし、全体のセキュリティを担保しようという考え方です。こちらのイメージをご覧ください。
引用:AWS 責任共有モデル
こちらのイメージは、AWSの「責任共有モデル」を示した図であります。イメージの上半分はユーザ(顧客)が担う責任部分、下半分のオレンジ色の範囲はクラウド提供企業(AWS)が責任を負うクラウドのセキュリティ分担です。ネットワークやコンピューティングなどクラウドプラットフォームに対するセキュリティの責任はCSPにあり、クラウド内部のデータ、OS、トラフィックなどに対するセキュリティの責任は顧客にあります。
つまり、クラウドにて結合されたシステムやデータなどにおけるセキュリティの主導権はユーザ側にあるため、ユーザ自らセキュリティ対策を厳重に点検し、どのようなセキュリティ対策を導入するかを決定する義務があるとのことです。
仮想化と分散処理技術
クラウド環境もオンプレミス環境と同じくアプリケーション、システム、ネットワークレベルに分けられます。そして、クラウドといっても実は、クラウド環境にて使用されているデータは最終的に物理的サーバ上に保存されます。このように、クラウドの基本的な構造はオンプレミスと類似ていますが、「仮想化と分散処理技術」によってユーザビリティを高め、更に柔軟性の高い環境にてデータを活用できるというクラウドならではの特殊性もあります。
つまり、クラウド環境は従来のオンプレミス環境に仮想化・分散処理技術を加えたもので、セキュルティ対策もクラウド環境の特殊性に対応できる形態が求められます。WAF導入の例を挙げて
簡単に言いますと、「仮想化と分散処理」ができるWAFが、クラウド環境に最も適切なWAFであることです。
WAFの他にも、クラウド環境のために考慮すべきセキュリティ要素は多い、これらもまたクラウド環境のみの特殊性を理解してからセキュリティ対策構築に取り組む必要があります。
クラウド環境に必ず必要なクラウド型WAFサービス
それでは、クラウド導入の際に、どのような領域のセキュリティを優先すべきでしょうか。こちらはクラウドをアプリケーション、システム、ネットワーク3つのレベルで分類し、レベルごとにセキュルティ重要度のランクをつけた表です。
この表をみると、アプリケーションレベルは最も脆弱で、最も攻撃されやすい領域であることが分かります。そのため、アプリケーションレベルのセキュリティを最優先し、クラウド環境の基本的な安全性を確保しなければなりません。
情報セキュリティ専門企業ペンタセキュリティはクラウド環境の特殊性に対する理解を基にクラウドセキュリティを実現する「Cloudbric WAF+」を提供しております。
Cloudbric WAF + : 5つの必須セキュリティサービスをクラウド環境にて提供
安全なクラウドシフトのために、多くの企業がクラウド環境のセキュリティに投資していますが、セキュリティ担当者不在、コスト、クラウドに対する理解不足などによって対策に踏み切れない問題を抱えています。このようなセキュリティ課題を解決できる簡単かつ安全なセキュリティ対策がCloudbric WAF+です。
Cloudbric WAF + はクラウド型でWAFサービスを提供するSaaS型WAFサービスであります。該当サービスにはWAF機能のみならず、DDoS保護、SSL証明書、脅威IP遮断、悪性ボット遮断まで、必須的なセキュリティサービスを1つのクラウドプラットフォームにて統合し、ユーザのクラウドセキュリティをサポートします。特に全ての要素がクラウドにて起動するため、別途の設置や、メインテナンス過程の必要なく、簡単に利用できるというメリットがあります。
最後に
企業のクラウドシフトは、今までより拡大していくと見込められますが、セキュリティに対する十分な理解のないITシステムシフトは、サイバー攻撃者らの浸透を簡単に許すリスクを抱えています。クラウドセキュリティのリスクをカバーするためには、クラウド導入に先立ち従来のIT環境とは違うクラウド環境の特殊性への理解を基に、必要なセキュリティ要素は何かを把握することが最重要ポイントだと言えるでしょう。