デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストを構成する上で必要となるクラウドセキュリティ技術について解説する。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
コロナ禍における働き方の変化は、「働き方改革」や「DX(デジタルトランスフォーメーション)」におけるデジタル化の取り組みをしのぐスピードで進みました。脱オフィスの動きから、テレワークとともにクラウドサービスの活用が急速に進んでいます。
従来、社内ネットワーク内に設置されたオンプレミスサーバで管理されていた機密データは、いまやSaaSやIaaS、PaaSといったクラウドサービスを提供する企業が運用するインフラ上で管理されています。機密データを保護するために、社内ネットワークへの侵入を強固に守り、多層防御によって侵入者を発見、排除するアプローチのセキュリティ対策には、クラウドサービスの活用により新たな対策が求められています。
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする本連載『働き方改革時代の「ゼロトラスト」セキュリティ』。今回は、ゼロトラストを構成する上で必要となる「ワークロード保護」(データを取り扱うアプリケーションやサーバなどのシステム)としてクラウドサービスに対するセキュリティ対策を解説します。なお「ワークロード(Workload)」とは、データを提供するためのサービスやアプリケーションを実行する環境、アプリそのもののことです。
オンプレミス環境では、企業や組織が管理するネットワークの中にサーバを構築し、その上でシステムやアプリケーションを実行します。多くの場合、システムそのもののセキュリティは組織のネットワーク全体のセキュリティ対策による保護を前提としています。
対してクラウドサービスでは、IaaS、PaaS、SaaSといった提供形態によってセキュリティ対策の責任範囲が異なります。
インフラストラクチャを利用者が自由に構成して利用できるIaaSモデルは、クラウド利用者の責任が最も幅広いクラウド利用形態です。ハードウェアやネットワーク、クラウドインフラOSそのものはクラウド事業者がセキュリティ対策の責任を負いますが、その上で動作する仮想マシンのOSやミドルウェア、アプリケーション、データについてはクラウド利用者がセキュリティ対策を講じる必要があります。
アプリケーション構築環境を利用できるPaaSモデルは、クラウド事業者が提供した実行環境にクラウド利用者がアプリケーションを構築、運用できるサービスです。クラウド事業者はハードウェアやネットワーク、仮想マシンのOS、ミドルウェアの責任を負い、クラウド利用者はアプリケーションとデータのセキュリティに責任を負います。Webアプリケーションなら、ログインなどのユーザー認証・認可、SQLインジェクションやクロスサイトスクリプティングなどのセキュアコーディングに基づく実装が求められます。
アプリケーションそのものがクラウドで提供されるSaaSモデルでは、そのセキュリティ対策の大部分はクラウド事業者が講じます。利用者はSaaSのアプリケーションで設定可能な範囲においてデータ保護に対する責任を負います。しかし、近年SaaSにおける設定ミスによる情報漏えいが課題となっており、SaaSの機能について深い理解や機能アップデートへの追従が求められます。
IaaSやPaaSで構築した公開サービスや情報システムに適用されるセキュリティ対策は、従来オンプレミスで使用されていた技術や考え方が有効です。従来同様クラウドでも公開WebアプリケーションにはファイアウォールやIDS/IPS(不正侵入検知システム/不正侵入防御システム)といった侵入検知防御対策とともにWAF(Web Application Firewall)を設置し、防御します。
単体のアプリケーションやサービスに対するセキュリティ対策はこれまで通りの方法論が利用できる一方で、クラウドが利用される範囲は多岐にわたります。オンプレミスからクラウドへの移行がさまざまな場面で検討され、個人でも容易にクラウドサービスが利用できる状況では、組織全体で利用しているクラウドサービスの実態を把握することすら難しいのが現状です。
利用場面の増え続けるクラウドサービスに対し、責任範囲に応じたセキュリティ対策が適切かどうか、アカウント運用は正しいかどうかを一元的に管理する必要が出てきました。
クラウドサービスの利用はいまや企業や組織にとって欠かせない必須要件です。
しかし、増え続けるクラウドサービスの利用に対して、全て個別に対処し続けるのは現実的ではありません。ゼロトラストにおいても、クラウド上で運用されるデータやアプリケーションはリソースと見なし、個別のセキュリティ対策とともに「Always Verify, Never Trust.(信頼せず常に検証する)」のコンセプトに基づいてアクセスを制御する対象となります。
Copyright © ITmedia, Inc. All Rights Reserved.