シャドーITや設定ミスによる情報漏えいなどを防ぐ「クラウドセキュリティ」は統合されてゼロトラストの一部となる:働き方改革時代の「ゼロトラスト」セキュリティ(13)
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストを構成する上で必要となるクラウドセキュリティ技術について解説する。
コロナ禍における働き方の変化は、「働き方改革」や「DX(デジタルトランスフォーメーション)」におけるデジタル化の取り組みをしのぐスピードで進みました。脱オフィスの動きから、テレワークとともにクラウドサービスの活用が急速に進んでいます。
従来、社内ネットワーク内に設置されたオンプレミスサーバで管理されていた機密データは、いまやSaaSやIaaS、PaaSといったクラウドサービスを提供する企業が運用するインフラ上で管理されています。機密データを保護するために、社内ネットワークへの侵入を強固に守り、多層防御によって侵入者を発見、排除するアプローチのセキュリティ対策には、クラウドサービスの活用により新たな対策が求められています。
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする本連載『働き方改革時代の「ゼロトラスト」セキュリティ』。今回は、ゼロトラストを構成する上で必要となる「ワークロード保護」(データを取り扱うアプリケーションやサーバなどのシステム)としてクラウドサービスに対するセキュリティ対策を解説します。なお「ワークロード(Workload)」とは、データを提供するためのサービスやアプリケーションを実行する環境、アプリそのもののことです。
オンプレミスと異なるクラウドセキュリティの考え方
オンプレミス環境では、企業や組織が管理するネットワークの中にサーバを構築し、その上でシステムやアプリケーションを実行します。多くの場合、システムそのもののセキュリティは組織のネットワーク全体のセキュリティ対策による保護を前提としています。
対してクラウドサービスでは、IaaS、PaaS、SaaSといった提供形態によってセキュリティ対策の責任範囲が異なります。
インフラストラクチャを利用者が自由に構成して利用できるIaaSモデルは、クラウド利用者の責任が最も幅広いクラウド利用形態です。ハードウェアやネットワーク、クラウドインフラOSそのものはクラウド事業者がセキュリティ対策の責任を負いますが、その上で動作する仮想マシンのOSやミドルウェア、アプリケーション、データについてはクラウド利用者がセキュリティ対策を講じる必要があります。
アプリケーション構築環境を利用できるPaaSモデルは、クラウド事業者が提供した実行環境にクラウド利用者がアプリケーションを構築、運用できるサービスです。クラウド事業者はハードウェアやネットワーク、仮想マシンのOS、ミドルウェアの責任を負い、クラウド利用者はアプリケーションとデータのセキュリティに責任を負います。Webアプリケーションなら、ログインなどのユーザー認証・認可、SQLインジェクションやクロスサイトスクリプティングなどのセキュアコーディングに基づく実装が求められます。
アプリケーションそのものがクラウドで提供されるSaaSモデルでは、そのセキュリティ対策の大部分はクラウド事業者が講じます。利用者はSaaSのアプリケーションで設定可能な範囲においてデータ保護に対する責任を負います。しかし、近年SaaSにおける設定ミスによる情報漏えいが課題となっており、SaaSの機能について深い理解や機能アップデートへの追従が求められます。
IaaSやPaaSで構築した公開サービスや情報システムに適用されるセキュリティ対策は、従来オンプレミスで使用されていた技術や考え方が有効です。従来同様クラウドでも公開WebアプリケーションにはファイアウォールやIDS/IPS(不正侵入検知システム/不正侵入防御システム)といった侵入検知防御対策とともにWAF(Web Application Firewall)を設置し、防御します。
単体のアプリケーションやサービスに対するセキュリティ対策はこれまで通りの方法論が利用できる一方で、クラウドが利用される範囲は多岐にわたります。オンプレミスからクラウドへの移行がさまざまな場面で検討され、個人でも容易にクラウドサービスが利用できる状況では、組織全体で利用しているクラウドサービスの実態を把握することすら難しいのが現状です。
利用場面の増え続けるクラウドサービスに対し、責任範囲に応じたセキュリティ対策が適切かどうか、アカウント運用は正しいかどうかを一元的に管理する必要が出てきました。
ゼロトラストと連携するクラウドセキュリティソリューション
クラウドサービスの利用はいまや企業や組織にとって欠かせない必須要件です。
しかし、増え続けるクラウドサービスの利用に対して、全て個別に対処し続けるのは現実的ではありません。ゼロトラストにおいても、クラウド上で運用されるデータやアプリケーションはリソースと見なし、個別のセキュリティ対策とともに「Always Verify, Never Trust.(信頼せず常に検証する)」のコンセプトに基づいてアクセスを制御する対象となります。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- クラウドセキュリティの課題、解決への道は?
WhiteSourceは、クラウドセキュリティの課題とリスクを特定し、ベストプラクティスを紹介した。構成ミスや認証情報の管理ミス以外にも多数の課題が挙げられている。 - IaaSの設定ミスによる脆弱性を減らす「CSPM」(Cloud Security Posture Management)とは?
主にIaaS利用における「設定ミス」を防ぎ、想定外の事態を起こさないための仕組み「CSPM(Cloud Security Posture Management:クラウドセキュリティ状態管理」)に関心が集まっている。概要や必要性、使いどころ、他のリューションとの違いなどをガートナーのアナリストに聞いた。 - 1人では大変だなあ――クラウド上で安全なネットワークを構築・管理するために必要な基礎知識
親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。今回は、クラウド上で安全なネットワークを構築・管理するために必要な基礎知識について。