IaaSのセキュリティにおけるユーザーの責任範囲
ご存じのとおり、「Amazon Web Services(AWS)」に代表されるIaaSでは、サービスプロバイダとユーザーが分担してセキュリティを確保するのが一般的だ。
例えば、AWSの場合、ネットワークから仮想化基盤(ハイパーバイザ)までのセキュリティをAWSが担い、OS(ハイパーバイザー上のゲストOS)以上のレイヤのセキュリティはユーザーが責任を持つという「責任共有モデル」が採用されている(図1)。
図1:AWSの責任共有モデルに基づくユーザー側での対策ポイント
このモデルにおいて、ユーザーが講じるべき基本的なセキュリティ対策は、次のとおりとなる。
- アプリケーションに対する定期的な脆弱性診断
- ゲストOSに対するファイアウォールの設定
- OS/ミドルウェアに対する脆弱性修正プログラム(パッチ)の漏れのない適用
- OS以上のレイヤに対するアクセス管理
また、IaaS上のシステム/サービスのサイバーリスクを低減するうえでは、ウイルス対策だけではなく、ファイル/レジストリの改ざん監視、ログ監視、ホスト型のWAF(Webアプリケーションファイアウォール)/ IPS(侵入防御システム)などによって脅威の検出力を高めたり、脅威の侵入リスクを低減したりすることも必要と言える。
さらに、OSより下位のレイヤのセキュリティについても、ユーザーが一切かかわる必要がないかと言えばそうではない。AWSの場合、ネットワークセキュリティを実現する機能として、AWS上にプライベートネットワークを仮想的に構成できる「Amazon VPC」やファイアウォール機能「セキュリティグループ」などを提供している。こうしたAWSの責任範囲の中で提供されているセキュリティ機能に関して、その適切な設定はユーザー側に委ねられている。
