1人では大変だなあ――クラウド上で安全なネットワークを構築・管理するために必要な基礎知識：親子の会話から学ぶクラウドセキュリティ（2）

親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。今回は、クラウド上で安全なネットワークを構築・管理するために必要な基礎知識について。

[青山桃子，株式会社日立ソリューションズ]

　親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する本連載「親子の会話から学ぶクラウドセキュリティ」。初回は、クラウドを始める前に覚えておきたいセキュリティの基礎知識について解説しました。今回は、クラウド上で安全なネットワークを構築・管理するために必要な基礎知識についてです。

安全なネットワーク構成って、どうやって考えるの？

おかあさん、Webアプリケーションの設計ができたよ！

よくできたわね。構築する前に、安全なネットワーク構成も設計しておきましょうね。

安全なネットワーク構成ってどうやって考えるの？

まずは、必要なセキュリティレベルに応じてゾーンを分けましょうね。例えば、インターネットからアクセスできるサーバと、そうではないサーバというようにね。

クラウドにあるのに、アクセスできないサーバもあるの？

おもちゃ屋さんで、値段の高いおもちゃの売り場に空箱が置いてあることがあるでしょ？　悪い人に盗まれないように、本物（大事なデータ）はお店の人にしか取れない（アクセスできない）ところにあるのよ。

　ネットワークにおいてセキュリティを考えるべきポイントには、アクセス制御、攻撃検知・防御、ログによるトレーサビリティー（いつ、どこで、何が起きたかを追跡すること）の確保、可用性の確保などがあります。

　ネットワーク構成を考えるとき、求められているセキュリティレベルごとにゾーンを分けておくとセキュリティ対策を講じやすくなります。

　ゾーン分けは、アクセス制御を行う単位として使える他、セキュリティ対策の優先度を検討するのに役立ちます。ゾーンを分けておけば、例えば「インターネットから直接アクセスできるサーバはサイバー攻撃を受けるリスクが高いため、優先的にセキュリティ対策を施す」ことが可能になります。同じゾーン内に異なるセキュリティ対策状況の機器が混在すると、セキュリティホールになり、横展開による攻撃の被害に遭いやすくなるというリスクがあります。

　Amazon Web Services（AWS）の場合、「Amazon Elastic Compute Cloud（EC2）」などのインスタンスは、「Amazon Virtual Private Cloud（VPC）」という、クラウド上の論理的にプライベートな領域に配置します。これは仮想的な1つのネットワークのようなイメージです。各インスタンスへのアクセス制御は、セキュリティグループの設定により行えます。

　また、インターネットとの通信可否はサブネットを使って区別することができます。Webサーバのようにインターネットから直接アクセスしたいものはPublic Subnetに、DBサーバのようにインターネットから直接アクセスできないようにしたいものはPrivate Subnetに配置します。

AWS上のネットワーク構成イメージ（アイコン：AWS）

サーバ以外にも必要なものがあるの？

Webサービスなら、WAF（Web Application Firewall）もあった方がよさそうね。

サーバ以外にも必要なものがあるの？

ネットワークのセキュリティ対策は、ネットワーク構成を考えるときに決めておいた方がいいよ。後からでも付けられるけど、手間がかかる場合があるからね。

　オンプレミスの場合、必要なセキュリティ対策を導入するために物理的な機器を設置することが多かったと思います。クラウドの場合、サービス・機能を追加することでセキュリティ対策を実施するのが主な考え方になります。

　オンプレミスのWebサービスの例として、Web／AP／DBサーバの3つが動いているものを考えてみましょう。ここに加えるべきセキュリティ対策機器としては何が考えられるでしょうか。また、それに対応するAWSのサービスを考えてみましょう。

（1）ファイアウォール（主な設置箇所：A、B）