クラウド活用は今やエンタープライズITの新常識と言えるほど、クラウドサービス活用は進展を見せる中、そのセキュリティ対策が改めて問われ始めた。果たして、何をどうするのが適切なのか。ここでは、IaaS(Infrastructure as a Service)の活用を想定しながら、クラウドセキュリティの要諦を再確認したい。
IaaSのセキュリティにおけるユーザーの責任範囲
ご存じのとおり、「Amazon Web Services(AWS)」に代表されるIaaSでは、サービスプロバイダとユーザーが分担してセキュリティを確保するのが一般的だ。
例えば、AWSの場合、ネットワークから仮想化基盤(ハイパーバイザ)までのセキュリティをAWSが担い、OS(ハイパーバイザー上のゲストOS)以上のレイヤのセキュリティはユーザーが責任を持つという「責任共有モデル」が採用されている(図1)。
図1:AWSの責任共有モデルに基づくユーザー側での対策ポイント
このモデルにおいて、ユーザーが講じるべき基本的なセキュリティ対策は、次のとおりとなる。
- アプリケーションに対する定期的な脆弱性診断
- ゲストOSに対するファイアウォールの設定
- OS/ミドルウェアに対する脆弱性修正プログラム(パッチ)の漏れのない適用
- OS以上のレイヤに対するアクセス管理
また、IaaS上のシステム/サービスのサイバーリスクを低減するうえでは、ウイルス対策だけではなく、ファイル/レジストリの改ざん監視、ログ監視、ホスト型のWAF(Webアプリケーションファイアウォール)/ IPS(侵入防御システム)などによって脅威の検出力を高めたり、脅威の侵入リスクを低減したりすることも必要と言える。
さらに、OSより下位のレイヤのセキュリティについても、ユーザーが一切かかわる必要がないかと言えばそうではない。AWSの場合、ネットワークセキュリティを実現する機能として、AWS上にプライベートネットワークを仮想的に構成できる「Amazon VPC」やファイアウォール機能「セキュリティグループ」などを提供している。こうしたAWSの責任範囲の中で提供されているセキュリティ機能に関して、その適切な設定はユーザー側に委ねられている。
この記事は参考になりましたか?
- CISO/CIOのための最新セキュリティ情報をお届け!「トレンドマイクロ出張所」連載記事一覧
-
- Webサイトからの情報漏えいが発覚!?仮想事例から考える対処法と再発抑止の施策とは?
- IaaSのセキュリティにおけるユーザーの責任範囲は?クラウドファーストのセキュリティを改め...
- 年間被害総額平均2億円――セキュリティ被害はなぜ増え続けるのか?
- この記事の著者
-
トレンドマイクロ株式会社(トレンドマイクロ)
企業のCISO/CIO向けに、最新のセキュリティ動向と対策に関する情報やヒントをお届けする「トレンドマイクロ出張版」です。トレンドマイクロ:http://www.trendmicro.co.jp/jp/index.html
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
