今回は「Microsoft Azure」や「Office 365」などを中心に、クラウドのセキュリティを管理する上で「実際に陥りやすい盲点」と「それを解決する機能・使いどころ」を紹介していきます。
すでにクラウドを利用されている方は、運用の参考にしていただく一方で、クラウドの導入を検討されている方は「実際の運用がどのようなものになるのか」をイメージしていただくことで、導入に向けたヒントになればと思います。
クラウドサービスを「一部でも導入している」と回答した企業の割合をご存知でしょうか?
平成28年度の総務省情報通信白書によれば44.6%となりますが、「(およそ)2社に1社」という割合が多いか少ないかと言えば議論が分かれるところです。クラウド利用が進まない理由の1つが「セキュリティ」で、38.8%の企業が導入の障害として理由に挙げています。
クラウドを導入する際に、当然ながら多くの企業がさまざまなセキュリティに関する検討を行います。しかし、クラウドにおけるセキュリティは「最新のゼロデイ攻撃などに対するセキュリティ対策」や「運用や責任を分担するクラウドベンダーの信頼性・リスク診断」といったクラウド導入による新しい観点にばかり目が行きがち。オンプレミスと共通するセキュリティ対策、これまでよりも早い開発や導入サイクルに対応するための「運用の見直し」については十分に検討されているとは言えないのが現状です。
うっかりミスを防ぐために
実際に、クラウド利用時のセキュリティ インシデントは、サービス側のセキュリティ不備ではなく、オンプレミス環境にも共通する「ユーザーの運用上の問題」に起因するケースが多く見られます。マイクロソフトが提供している「Microsoft Azure」の環境でも「管理者アカウントが二要素認証を利用せず、単純なパスワードのみで運用していたことによる不正ログイン」といった、従来のオンプレミスの環境でも発生しうる運用ミス、セキュリティ設定の不備が散見されています。
もちろん、クラウドサービスならではの問題もあります。クラウド活用の1つのメリットとして「需要に応じたリソースの増減」がありますが、増設したサーバーのセキュリティ設定が不適切だったことで、侵入の糸口になってしまったケースがあります。逆に、セキュリティ管理を必要以上に重視してしまうと、デプロイに制限をかけて展開スピードが遅くなるという「クラウドのメリットを失う」ケースもあるのです。
クラウド サービスの大きなメリットは、ユーザーのニーズやトレンドに応じて新機能・サービスが随時リリースされ、ユーザーは容易に利用を開始・停止することができることにあります。セキュリティ機能で言えば、攻撃に対する防御機能だけでなく、実際に発生しているセキュリティインシデントを分析し、より良いセキュリティ管理が可能になる機能もリリースしています。
例えば、2016年7月に正式リリースされた「Azure Security Center」は、「サブスクリプションにデプロイされているリソースの基本的なセキュリティ設定と状態の監視」ができるようになりました。例えば、Azure仮想マシンにおけるファイアウォールの不適切な受信許可や、更新プログラムの適用状況、マルウェア対策の稼働状況といった基本的なセキュリティポリシー基準に対する準拠の状況などを確認し、不適切な構成がある場合は警告とともに推奨設定をユーザーに提示します。
有償の機械学習を取り入れた高度な分析機能もありますが、基本的な機能は無償で利用できるため、前述した「リソースを増減させているサーバーのセキュリティ設定」の見落とし対策として活用できます。
セキュリティは、「システムを導入したら終わり」ではありません。これはクラウドに限らず言えることですが、継続的な見直しを図り、改善の導入、評価を繰り返すことで、最新の脅威に素早く対応していくことが可能です。オンプレミスでは展開・運用変更にかかる時間とコストが懸念されていましたが、クラウドではこれまでよりも早く、効率の良い運用・改善が可能です。
次回は、今回紹介した「Azure Security Center」の使いどころについて説明します。