クラウドファーストのセキュリティを改めて考える─
今こそ再確認、クラウドの安全対策

クラウド活用は今やエンタープライズITの新常識と言えるほど、クラウドサービス活用は進展を見せる中、そのセキュリティ対策が改めて問われ始めた。果たして、何をどうするのが適切なのか。ここでは、IaaS(Infrastructure as a Service)の活用を想定しながら、クラウドセキュリティの要諦を再確認したい。

IaaSのセキュリティにおけるユーザの責任範囲

ご存じのとおり、「Amazon Web Services(AWS)」に代表されるIaaSでは、サービスプロバイダとユーザが分担してセキュリティを確保するのが一般的だ。
例えば、AWSの場合、ネットワークから仮想化基盤(ハイパーバイザ)までのセキュリティをAWSが担い、OS(ハイパーバイザ上のゲストOS)以上のレイヤのセキュリティはユーザが責任を持つという「責任共有モデル」が採用されている(図1)。

図1 AWSの責任共有モデルに基づくユーザ側での対策ポイント

このモデルにおいて、ユーザが講じるべき基本的なセキュリティ対策は、次のとおりとなる。

アプリケーションに対する定期的な脆弱性診断
ゲストOSに対するファイアウォールの設定
OS/ミドルウェアに対する脆弱性修正プログラム(パッチ)の漏れのない適用
OS以上のレイヤに対するアクセス管理

また、IaaS上のシステム/サービスのサイバーリスクを低減するうえでは、ウイルス対策だけではなく、ファイル/レジストリの改ざん監視、ログ監視、ホスト型のWAF(Webアプリケーションファイアウォール)/ IPS(侵入防御システム)などによって脅威の検出力を高めたり、脅威の侵入リスクを低減したりすることも必要と言える。

さらに、OSより下位のレイヤのセキュリティについても、ユーザが一切かかわる必要がないかと言えばそうではない。AWSの場合、ネットワークセキュリティを実現する機能として、AWS上にプライベートネットワークを仮想的に構成できる「Amazon VPC」やファイアウォール機能「セキュリティグループ」などを提供している。こうしたAWSの責任範囲の中で提供されているセキュリティ機能に関して、その適切な設定はユーザ側に委ねられている。

ミドルウェアの脆弱性は攻撃者の標的に

ユーザ側の重要な対策の一つが脆弱性対策だ。IaaSは公開系のWebサイト/ Webサービスの構築・運用にも用いられるケースが多くあり、それらを支える公開サーバのセキュリティ侵害の多くで脆弱性が攻撃されている。なかでもミドルウェアで深刻な脆弱性が発見されており、サイバー攻撃者に悪用されるリスクがある。2014年にオープンソースの暗号化フトウェア「OpenSSL」、Linux/UNIXのシェル「Bash」など、重要なミドルウェアの脆弱性が相次ぎ発覚し、世界各国の公開サーバに深刻な影響を与えたが、2015年以降も、さまざまなミドルウェアの脆弱性が攻撃の対象になっている(表1)。これは、あらゆるソフトウェアの脆弱性が攻撃の標的となることを示唆する。すべてのWebサイト/ Webサービスに潜在する脆弱性を洗い出し、必要な施策が講じられているか確認することが重要だ。

表1 ここ最近確認された主なOS、ミドルウェアの脆弱性

(2016年上半期トレンドマイクロ調べ)

※1 SSL 3.0 の脆弱性「POODLE 」についてはこちら
※2 ケータイキット for Movable Type に OS コマンドインジェクションの脆弱性については こちら(JPCERT/CC)

脆弱性に関しては、正式なパッチがリリースされるまでの間隙を突く「ゼロデイ脆弱性」攻撃も問題だ。仮にパッチが提供されても、サービスの運用上、すぐに適用できないといった課題もある。こうした状況に対しては仮想パッチの仕組み─脆弱性が発見された時点で、ルールに基づいて脆弱性攻撃のパケットをIPSで検知・ブロックする─などによって、応急措置を講じられるようにしておくことが肝心だ。

IaaS活用のメリットを損なわないために

IaaSでのセキュリティ対策では、IaaS活用の本来目的・本来メリットを損なわないようにすることも重要だ。この点を考慮し、製品選定の際にポイントとなる点を以下に示したい。

 クラウドのスピード、柔軟性に合わせて適応できるセキュリティ

IaaSには、オンデマンドでの迅速なITリソース調達を可能にし、ビジネスや顧客要求に対するITの対応スピードが上げられるというメリットがある。ところが、IaaS上のサービス/システムをサイバー攻撃から守るには、上で示したような数多くのセキュリティ対策をサーバに講じていかなければならない。それに手間取れば、セキュリティ対策が本来の目的を阻害しかねない。そのような事態を回避するには、クラウドのスピード、柔軟性を損なうことなく、必要なセキュリティ対策を即座にサーバに適用できるような仕組みが必要とされる。

 必要となる基準をシステムごとに選択できるセキュリティ

IaaS上で新たに開発されるシステムにすべて同じセキュリティ対策が必要になるとは限らない。したがって、IaaS上で一定水準のセキュリティレベルを確保しながら、システムごとの対策に幅を持たせられるようにすることも重要になる。加えて、セキュリティ対策の運用負荷を最小限に抑えることも大切だ。というのも、セキュリティ対策の負荷が大きければ大きいほど、IT運用管理の手間が削減できるというIaaS活用のメリットを損なわせることにつながるからである。

クラウドサービスを活用する動きは今後もさらに進展を見せるだろう。クラウド活用の推進のためには、セキュリティ対策に万全を期し、サイバーリスクを低減していく取り組みが欠かせない。クラウド活用の目的やメリットを阻害しないかたちで遂行できる─。そんなセキュリティソリューションが求められている。

 より詳細な情報はこちら

記事公開日 : 2016.12.13
 この記事は、公開日時点での情報です