SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

CISO/CIOのための最新セキュリティ情報をお届け!「トレンドマイクロ出張所」

IaaSのセキュリティにおけるユーザーの責任範囲は?クラウドファーストのセキュリティを改めて考える

 クラウド活用は今やエンタープライズITの新常識と言えるほど、クラウドサービス活用は進展を見せる中、そのセキュリティ対策が改めて問われ始めた。果たして、何をどうするのが適切なのか。ここでは、IaaS(Infrastructure as a Service)の活用を想定しながら、クラウドセキュリティの要諦を再確認したい。

IaaSのセキュリティにおけるユーザーの責任範囲

 ご存じのとおり、「Amazon Web Services(AWS)」に代表されるIaaSでは、サービスプロバイダとユーザーが分担してセキュリティを確保するのが一般的だ。

 例えば、AWSの場合、ネットワークから仮想化基盤(ハイパーバイザ)までのセキュリティをAWSが担い、OS(ハイパーバイザー上のゲストOS)以上のレイヤのセキュリティはユーザーが責任を持つという「責任共有モデル」が採用されている(図1)。

図1:AWSの責任共有モデルに基づくユーザー側での対策ポイント

 このモデルにおいて、ユーザーが講じるべき基本的なセキュリティ対策は、次のとおりとなる。

  • アプリケーションに対する定期的な脆弱性診断
  • ゲストOSに対するファイアウォールの設定
  • OS/ミドルウェアに対する脆弱性修正プログラム(パッチ)の漏れのない適用
  • OS以上のレイヤに対するアクセス管理

 また、IaaS上のシステム/サービスのサイバーリスクを低減するうえでは、ウイルス対策だけではなく、ファイル/レジストリの改ざん監視、ログ監視、ホスト型のWAF(Webアプリケーションファイアウォール)/ IPS(侵入防御システム)などによって脅威の検出力を高めたり、脅威の侵入リスクを低減したりすることも必要と言える。

 さらに、OSより下位のレイヤのセキュリティについても、ユーザーが一切かかわる必要がないかと言えばそうではない。AWSの場合、ネットワークセキュリティを実現する機能として、AWS上にプライベートネットワークを仮想的に構成できる「Amazon VPC」やファイアウォール機能「セキュリティグループ」などを提供している。こうしたAWSの責任範囲の中で提供されているセキュリティ機能に関して、その適切な設定はユーザー側に委ねられている。

次のページ
ミドルウェアの脆弱性は攻撃者の標的に

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
CISO/CIOのための最新セキュリティ情報をお届け!「トレンドマイクロ出張所」連載記事一覧

もっと読む

この記事の著者

トレンドマイクロ株式会社(トレンドマイクロ)

企業のCISO/CIO向けに、最新のセキュリティ動向と対策に関する情報やヒントをお届けする「トレンドマイクロ出張版」です。トレンドマイクロ:http://www.trendmicro.co.jp/jp/index.html

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8692 2016/12/14 07:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング