検索
連載

1人では大変だなあ――クラウド上で安全なネットワークを構築・管理するために必要な基礎知識親子の会話から学ぶクラウドセキュリティ(2)

親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。今回は、クラウド上で安全なネットワークを構築・管理するために必要な基礎知識について。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する本連載「親子の会話から学ぶクラウドセキュリティ」。初回は、クラウドを始める前に覚えておきたいセキュリティの基礎知識について解説しました。今回は、クラウド上で安全なネットワークを構築・管理するために必要な基礎知識についてです。

安全なネットワーク構成って、どうやって考えるの?

おかあさん、Webアプリケーションの設計ができたよ!


よくできたわね。構築する前に、安全なネットワーク構成も設計しておきましょうね。


安全なネットワーク構成ってどうやって考えるの?


まずは、必要なセキュリティレベルに応じてゾーンを分けましょうね。例えば、インターネットからアクセスできるサーバと、そうではないサーバというようにね。


クラウドにあるのに、アクセスできないサーバもあるの?


おもちゃ屋さんで、値段の高いおもちゃの売り場に空箱が置いてあることがあるでしょ? 悪い人に盗まれないように、本物(大事なデータ)はお店の人にしか取れない(アクセスできない)ところにあるのよ。


 ネットワークにおいてセキュリティを考えるべきポイントには、アクセス制御、攻撃検知・防御、ログによるトレーサビリティー(いつ、どこで、何が起きたかを追跡すること)の確保、可用性の確保などがあります。

 ネットワーク構成を考えるとき、求められているセキュリティレベルごとにゾーンを分けておくとセキュリティ対策を講じやすくなります。

 ゾーン分けは、アクセス制御を行う単位として使える他、セキュリティ対策の優先度を検討するのに役立ちます。ゾーンを分けておけば、例えば「インターネットから直接アクセスできるサーバはサイバー攻撃を受けるリスクが高いため、優先的にセキュリティ対策を施す」ことが可能になります。同じゾーン内に異なるセキュリティ対策状況の機器が混在すると、セキュリティホールになり、横展開による攻撃の被害に遭いやすくなるというリスクがあります。

 Amazon Web Services(AWS)の場合、「Amazon Elastic Compute Cloud(EC2)」などのインスタンスは、「Amazon Virtual Private Cloud(VPC)」という、クラウド上の論理的にプライベートな領域に配置します。これは仮想的な1つのネットワークのようなイメージです。各インスタンスへのアクセス制御は、セキュリティグループの設定により行えます。

 また、インターネットとの通信可否はサブネットを使って区別することができます。Webサーバのようにインターネットから直接アクセスしたいものはPublic Subnetに、DBサーバのようにインターネットから直接アクセスできないようにしたいものはPrivate Subnetに配置します。


AWS上のネットワーク構成イメージ(アイコン:AWS)

サーバ以外にも必要なものがあるの?

Webサービスなら、WAF(Web Application Firewall)もあった方がよさそうね。


サーバ以外にも必要なものがあるの?


ネットワークのセキュリティ対策は、ネットワーク構成を考えるときに決めておいた方がいいよ。後からでも付けられるけど、手間がかかる場合があるからね。


 オンプレミスの場合、必要なセキュリティ対策を導入するために物理的な機器を設置することが多かったと思います。クラウドの場合、サービス・機能を追加することでセキュリティ対策を実施するのが主な考え方になります。

 オンプレミスのWebサービスの例として、Web/AP/DBサーバの3つが動いているものを考えてみましょう。ここに加えるべきセキュリティ対策機器としては何が考えられるでしょうか。また、それに対応するAWSのサービスを考えてみましょう。

(1)ファイアウォール(主な設置箇所:A、B)

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  6. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  9. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る