パブリッククラウドのセキュリティー対策

パブリッククラウドにはセキュリティー対策が必要なのか?どのようなリスクがあるのか?
をご説明します。

  1. パブリッククラウドのセキュリティー対策

パブリッククラウド導入時、最大の不安要素「セキュリティー」

パブリッククラウド利用者でもセキュリティー対策は必要

柔軟な拡張ができ、コスト・運用工数を抑えられるパブリッククラウド。一方で、クラウドへの移行に漫然とした不安を抱える企業も多いようです。

パブリッククラウドを利用する際、まず念頭に置くべきことは「ITインフラを自社で所有しているのではなく、サービス事業者の環境を利用している」ということです。AWS、Azureなどのサービスのセキュリティー管理・サーバーメンテナンスは、サービス事業者側で実施されていますが、ユーザー自らが担保しなければいけない範囲もあります。

パブリッククラウドでも、オンプレミス環境と同様にユーザーがセキュリティー対策を行うべき範囲をしっかりと認識し、脅威に対応できる対策を実施する必要があるのです。

ユーザー側でセキュリティーの対策が必要な範囲

ユーザー自らがセキュリティーを担保しなければいけない範囲は、各サービス形態IaaS/PaaS/SaaSそれぞれのサービスが提供される範囲によって異なります。
ここでは、ユーザー自身でセキュリティー運用管理を行う必要のあるIaaSとPaaSについてご説明します。

「IaaS/PaaS」のセキュリティー対策範囲

IaaSとは?

ネットワーク/ハードウエア(CPU・メモリー・ハードディスク)などのインフラ部分を事業者が提供するクラウドサービスです。

何もインストールされていないクラウドのサーバー環境が事業者より提供され、ユーザー自身で必要なミドルウエアや、アプリケーションソフトウエアをインストールして利用します。

PaaSとは?

IaaSのサービスにOSやミドルウエアを加えたもので、アプリケーションを稼働させるための基盤(プラットフォーム)を事業者が提供するクラウドサービスです。

Webアプリケーションを動かすためのソフトウェアや、プログラムの環境設定やデータベース等も用意されています。

IaaS/PaaSにおける「ユーザーが行うセキュリティー対策」「サービス事業者が行うセキュリティー対策」の範囲は下記になります。

セキュリティー対策内容
IaaS PaaS
アプリケーション
  • プライベートクラウドの管理
    • セグメンテーションとファイアウォール
    • パブリッククラウドリソースへのアクセス管理
  • ソフトウェアのアップデート、保護
  • セキュリティーログの収集、管理
  • データの暗号化
  • ウイルス対策 etc…
  • ソフトウェアのアップデート、保護
  • セキュリティーログの収集、管理
  • データの暗号化
  • ウイルス対策 etc…
データ
ランタイム
  • サービス事業者が対策
ミドルウェア
OS
仮想化
  • サービス事業者が対策
サーバー
ストレージ
ネットワーク

セキュリティー対策範囲の凡例

ユーザー対策範囲

サービス事業者対策範囲

考慮すべき仮想化技術の特性

念頭に置くべきもう1つポイントが「クラウドは仮想化技術を利用しているため、それを踏まえた対策が必要である」ということです。
パブリッククラウドの仮想化の特性を基に、以下のようなリスクが起こる可能性を考えておくことは重要です。従来のオンプレミス環境と同等、またはそれ以上のセキュリティーをパブリッククラウドで実現することがユーザー側に求められます。

パブリッククラウド利用者は、あらゆる攻撃から回避するためにパブリッククラウド対応のセキュリティー対策を用意していなければなりません。

パブリッククラウドで想定されるリスクの一例

仮想化技術の特性 発生し得るリスク
インフラを複数の仮想OSで共有
(=マルチテナント環境)
  • 異なる組織間で利用する際のリソース分離やデータの保護が徹底できない懸念が残る
  • リソースを動的に変化させ各OSに配分するため、仮想OS単位でパフォーマンスが維持できない
仮想OSの操作をコンソール越しに一元でおこなう
  • 管理コンソールの権限奪取により、仮想OS自体の起動、停止、削除などの操作がされてしまう
仮想OSをイメージとして保存し、容易に複製が可能
  • マスターイメージが侵害されると、複製全てのセキュリティーが低下
  • 停止中の仮想OSのセキュリティー機能が更新されず次回起動時にセキュリティーが低下

クラウド向きのセキュリティー対策が可能な
「Deep Security as a Service」

DSaaS (Deep Security as a Service)は、トレンドマイクロが管理サーバーをクラウド上で提供する、サーバー向けクラウド型セキュリティーサービスです。
サーバー保護に必要なセキュリティー機能を一元的に提供します。また、インスタンスの増減に対しても柔軟に対応が可能な「必要なときに必要なだけ」というクラウド向きの対策が可能が商品です。

お役立ち資料ダウンロード

イメージ:社内システムのAWS移行時におけるセキュリティー検討ガイド

社内システムのAWS移行時におけるセキュリティー検討
ガイド・DSaaS製品資料

AWS、Azure上で構築するサーバーのセキュリティー対策の検討方法をご紹介します。

資料請求・お問い合わせ