Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)テクノロジーでビジネスを加速するための実践Webメディア

テーマ別に探す

IaaSのセキュリティにおけるユーザーの責任範囲は?クラウドファーストのセキュリティを改めて考える

2016/12/14 07:00

 クラウド活用は今やエンタープライズITの新常識と言えるほど、クラウドサービス活用は進展を見せる中、そのセキュリティ対策が改めて問われ始めた。果たして、何をどうするのが適切なのか。ここでは、IaaS(Infrastructure as a Service)の活用を想定しながら、クラウドセキュリティの要諦を再確認したい。

IaaSのセキュリティにおけるユーザーの責任範囲

 ご存じのとおり、「Amazon Web Services(AWS)」に代表されるIaaSでは、サービスプロバイダとユーザーが分担してセキュリティを確保するのが一般的だ。

 例えば、AWSの場合、ネットワークから仮想化基盤(ハイパーバイザ)までのセキュリティをAWSが担い、OS(ハイパーバイザー上のゲストOS)以上のレイヤのセキュリティはユーザーが責任を持つという「責任共有モデル」が採用されている(図1)。

図1:AWSの責任共有モデルに基づくユーザー側での対策ポイント

 このモデルにおいて、ユーザーが講じるべき基本的なセキュリティ対策は、次のとおりとなる。

  • アプリケーションに対する定期的な脆弱性診断
  • ゲストOSに対するファイアウォールの設定
  • OS/ミドルウェアに対する脆弱性修正プログラム(パッチ)の漏れのない適用
  • OS以上のレイヤに対するアクセス管理

 また、IaaS上のシステム/サービスのサイバーリスクを低減するうえでは、ウイルス対策だけではなく、ファイル/レジストリの改ざん監視、ログ監視、ホスト型のWAF(Webアプリケーションファイアウォール)/ IPS(侵入防御システム)などによって脅威の検出力を高めたり、脅威の侵入リスクを低減したりすることも必要と言える。

 さらに、OSより下位のレイヤのセキュリティについても、ユーザーが一切かかわる必要がないかと言えばそうではない。AWSの場合、ネットワークセキュリティを実現する機能として、AWS上にプライベートネットワークを仮想的に構成できる「Amazon VPC」やファイアウォール機能「セキュリティグループ」などを提供している。こうしたAWSの責任範囲の中で提供されているセキュリティ機能に関して、その適切な設定はユーザー側に委ねられている。

※この続きは、会員の方のみお読みいただけます(登録無料)。


関連リンク

著者プロフィール

バックナンバー

連載:CISO/CIOのための最新セキュリティ情報をお届け!「トレンドマイクロ出張所」

もっと読む

この記事もオススメ

All contents copyright © 2006-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5