OPS

パブリッククラウドのセキュリティ

2018.09.02

2018.09.02

本記事のポイント

クラウドの導入において、セキュリティは欠かすことのできない検討項目です。中でもパブリッククラウドは、不特定多数の企業や個人に対してネットワーク経由で提供される「共有」環境となります。そのため、多くの人がセキュリティに不安を覚えるのではないでしょうか。そこで今回は、パブリッククラウドを利用するうえで、オンプレミス環境と同様のセキュリティを担保するためにはどのようなことに気を付ければいいのかご紹介します。

管理対象の把握

外部の脅威から守る対象の情報資産価値を正しく理解しておくところからスタートしましょう。自社の情報資産の価値を把握していなければ適切なセキュリティ対策を取ることはできません。

すでに自社のセキュリティポリシーがあるとは思いますが、ここで改めて情報の価値を棚卸し、情報毎の重要度を把握しましょう。そしてその重要度によって対策のレベルを決定します。レベルが決まればデータを保管する場所は関係なくどのようなセキュリティ対策をすればよいかが見えてきます。すなわち、クラウドでもオンプレミスと同程度のセキュリティが担保されることになります。

【関連リンク】

パブリッククラウドならではの考慮点

とはいえ、オンプレミス環境とクラウド環境は当然環境が違うためクラウドならではで考慮する点があります。一つは 利用者とクラウド事業者との責任分界点を把握することです。

管理対象へのセキュリティ対策はオンプレミス同等の定義をしている前提ですのでクラウド事業者が責任を持つ部分についてどのようにセキュリティが担保されるのか考慮する必要があります。

IaaSであれば 「OSレイヤより下のレイヤ」、PaaSであれ「ミドルウェアまでのレイヤ」、SaaS であれば「アプリケーションまでのレイヤ」がクラウド事象者の責任分界となりますクラウド事業者で実施しているセキュリティ対策の詳細内容についてはホワイトペーパーなどで公開されているので、自社のセキュリティポリシーと照らし合わせて検討が必要です。

もちろん、責任分解で 利用者側に当たるレイヤについては、OS単位での対策やミドルウェア単位での対策、またはOSまで包括したセキュリティ対策ソフトウェアの導入など別途対策は必要になります。

二つめは、管理コンソールのセキュリティです。IaaSやPaaSの責任分界に関係は関係なく、クラウドリソースはクラウドの管理コンソールからアクセスされます。アカウント毎に権限を付与したり、接続できる端末を制限したり、パスワードのポリシーを設けるといったことを検討していきます。

【関連リンク】

まとめ

上記をまとめますとパブリッククラウドを利用する上で以下の点について考慮する必要があります。
・自社が保有する情報(データ)のセキュリティ要件について
・クラウド事業者と利用者のセキュリティの責任分界を理解した上で事業者の選定と 自社のセキュリティ対策をする。
・クラウド管理コンソールのセキュリティ対策をする。

【関連リンク】