クラウドサービスの舞台裏(361号)
前回は、ニコニコ動画のサービスで起きたトラブルがサイバー攻撃によるものであることをお話しました。
その中で、クラウドサービスの管理者権限を奪われたのではないか?ということを書きました。
その続きとして、今回はクラウドサービスの運営側、舞台裏についてお話します。
前回のお話についてはバックナンバーをご覧ください。
ニコニコ動画に何が起きたか考えてみる(360号)(2024年6月配信)
https://note.com/egao_it/n/n09167e320cb7
レンタルサーバ
前回の繰り返しになりますが、レンタルサーバやクラウドサービスというのは、サーバのハードウェアを持たずにサーバを利用権だけを持つ運用形態です。
なのでインターネットが当然になる前は社内でサーバを購入し、社内に設置していました。
ところが、インターネットの流行により、社内にあるサーバだけで対応できないケースが出てきます。
いわゆる公式ホームページの流行です。
自社内で使うサーバなら、業務時間中に動かすだけで十分でしたが、公式ホームページ(公式Webページ)はいつ誰が見るかわかりませんから、24時間稼動させないといけません。
サーバを24時間稼動させることは決して容易な作業ではありませんし、社外からのアクセスを許すサーバを社内に置くことも問題があります。(この点もいろいろ回避策はありますが、ここでは触れません)
この面倒なアクセス管理と24時間稼動を代行してくれたのが、レンタルサーバでした。
レンタルサーバの契約を行うと、レンタルサーバ業者が保有するサーバのうち1台をセットアップした上で貸してくれます。
サーバにOSやミドルウェア(ホームページ用のソフト、データベース用のソフトなど)をインストールし、インターネット上からアクセスできるように設定するまでがレンタルサーバ業者の責務です。
また、レンタルサーバ業者はハードウェアトラブルやネットワークトラブルが起きた時の対処も責任を負います。
サーバを客先に納品するとサーバトラブル時に即時対応できませんから、レンタルサーバは客先には納品せず、レンタルサーバ業者の手元に置いておくスタイルが一般的です。
仮想マシン
レンタルサービスは実際便利なサービスで今も使われていますが、より柔軟な運用を行うため、クラウドサービスというものが登場します。
これは仮想マシンという仕組みの登場によるのですが、これまた書き出すと長くなりますのでごく簡単に書きます。詳しくは以下をご覧ください。
No325 仮想マシンって結局なんなの?
https://note.com/egao_it/n/n5b5bef4c0251
仮想マシンというのは要はソフトウェアです。
ソフトウェアで、ハードウェアのまねっこをさせる仕組みが仮想マシンの考え方です。
パソコンでExcel表を複数開いたりできるように、仮想マシンはサーバ上で複数動かせます。
これを使うと1台のハードウェア上でいくつものコンピュータがあるかのように見せることができます。
これってすごいことですよね。
サーバが欲しけりゃ、仮想マシンを起動するだけでいくらでも手に入るんですよ。
じゃあ、1つのサーバで100台分の仮想マシンを起動すれば、99台のサーバ費用が浮くのか?!
残念ながらそんな虫のいい話はありません。
仮想マシンは「遅い」のですよ。
パソコンでたくさんのアプリを開くとどんどん動作が遅くなったといった経験はないでしょうか?
仮想マシンも同様です。仮想マシンをたくさん動かすと1つの仮想マシンに割り当てられる資源(メモリや計算能力)が少なすぎ、激遅で使いものにならなくなります。
もちろん、高性能なサーバを用意すれば、それだけたくさんの仮想マシンを満足な速度で動かすことができます。
クラウドサービス=仮想マシン管理
「それなら仮想マシンなんて使わずに高速な1台のサーバで使った方がいいんじゃない?」と思いませんか?
実はその通りで、高速なサーバが欲しいのであれば、仮想マシンなんて使わない方が性能が出ます。
それでも、分割に意味がある場合もあります。
例えば、堅牢性を確保したい場合です。
一つの高速サーバでいろんなサービスを実行させると、サーバのOSやアプリトラブルは全サービスに影響を与えます。
ですが、1サーバ1サービスにしておくと、OSやアプリトラブルはそのサーバだけに限られ、他のサービスは影響なく動き続けることができます。
特定のサービスを更新したい場合も、そのサーバだけを停止して更新・再起動ができますから、他のサービスは影響なく動き続けることができます。
一部のサーバのメモリを増やすことも設定変更で行えますし、期末だけ決算処理を行うためのサービスを動かすことだってカンタンです。
このように、サーバ内で複数の仮想マシンを動かし、それをサーバ群として管理すると便利なのですね。
これがクラウドサービスの原型です。
クラウドサービスとは、サーバ上に複数の仮想マシンを作りそれらを管理することを指します。
クラウドサービスは自主専用サービスとして構築運営することもできますし、業者が提供するクラウドサービスに加入する方法もあります。
とはいえ、自主運営にはかなりのノウハウが必要ですので、かなり大きな組織が前提となります。中小企業では業者のクラウドサービスに加入する方がはるかに現実的です。
なお、クラウドサービスを物理サーバ1台で構成することはまずありません。
最小でも10台程度のサーバを束ね、あたかも1台の巨大なサーバであるかのように見せ、どの物理サーバでどの仮想マシンを実行させるかの判断もクラウドサービスのソフトウェアに任せるのが普通です。
クラウドサービスの管理
※以下に出てくる「クラウドサービスの管理者」はクラウドサービスに加入している側の話で、クラウドサービス運営元(業者)の話ではありません。
業者のクラウドサービスに加入すると、(上限はあるものの)好きなように仮想マシンを作ったり実行したりする権限が与えらえます。
この権限を使って仮想マシン管理を行うのがクラウドサービスの管理者です。
ここで、仮想マシンのハードウェア(メモリ、CPUなど)、ソフトウェア(OS、ミドルウェアなど)、ネットワーク(通信量の上限、通信速度など)といった要素を決めていきます。
クラウドサービスは従量課金制ですので、リッチな構成にすればするほどお金がかかります。予算を満たす範囲で最適な構成を考えるという点は、サーバを自社購入する時と同様ですね。
こうして必要な仮想マシンの構成を決めると、それぞれの起動/終了/状況監視が行えるようになります。
こういった作業を行い、各仮想マシンが止まらないようにするのが、クラウドサービス管理者の仕事です。
なお、オンプレミス(自社内でサーバをおいて管理する方式)ではインフラ管理者がサーバのハードウェア構成を業者と相談したり、必要な速度のネットワーク機器を選定します。これはクラウドサービス利用時の管理者の仕事に相当します。
一方、各サービス管理者はそのサービスを止めずに提供することが仕事です。
クラウドサービスの管理者とサービス管理者とは名前は似ているものの、役割はまるで違います。
サーバの上位レイヤ(ソフトウェアやサービス)に責任を持つのがサービス管理者、サーバの下位レイヤ(ハードウェアやネットワーク)に責任を持つのがクラウドサービスの管理者です。
そっくりに思われるかもしれませんが、権限を不正に奪われた時の被害の範囲がまるで違います。
サービス管理者の権限が奪われた場合、そのサービスの生存与奪権が奪われたのと同じ意味になります。
これでも十分に大きなダメージなのですが、クラウドサービスの管理者権限を奪われると、全ての仮想マシンの生存与奪権が奪われたのと同じです。
従来のオンプレミス環境であれば、物理サーバを破壊することはかなり難しいことでした。
実際にサーバを置いてある場所まで来る必要がありましたから。
でも、クラウドサービスの管理者権限を奪えば、日本に来る必要すらなく、手元のパソコンから操作をするだけで管理下にある全てのサーバを生かすも殺すも自由、データも盗み放題、なのです。
前回のお話で、KADOKAWAのプライベートクラウドがサイバー攻撃を受け、クラウドの管理者権限を奪われたようだ、と書きました。
以上の説明で、この状況がいかに恐ろしい事態かというのがご理解いただけたのではないかと思います。
まとめ
クラウドサービスというのは、大量の仮想マシンを効率良く管理するための方式として登場しました。
以前はオンプレミス(自社内にサーバを置く方式)が中心でしたが、クラウドが安価に利用できるということもあり、昨今はクラウド全盛と言って良い状況です。
ところが、このクラウドサービスは管理者が管理下の全サーバの生死をコントロールできるという非常に強い権限を持っています。
そのため、万一にも管理者権限を奪われるとひどい事態となります。
今回のKADOKAWAのインシデント(事件)では、プライベートクラウドの管理者権限を奪われたようで、復旧に大変な時間を要する原因となっているようです。
この権限奪取がどのような形で行われたのかは今後のドワンゴ(ニコニコ動画の運営元)の発表を待つしかありませんが、発表があれば、また解説をしたいと思います。
最後に余談ですが、クラウドサービスは従量課金制です。
いくつもサーバを作る、たくさん計算させる、大量のファイルを作る、といったアクションを行うごとに課金が行われて、費用が発生します。
クラウドサービスはうまく使えば、ローコストに運営ができるサービスなのですが、そのノウハウを得ることが大変です。
常にオンプレミスが正しいわけでもないですが、クラウドが安価だというのが過度な宣伝に思えます。
何ごともそうですが、安価に利用するにも「勉強」は必要です。
今回はクラウドサービスの管理者についてお話しました。
次回もお楽しみに。
このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
この記事が気に入ったらサポートをしてみませんか?