クラウドと情報セキュリティ
どうも、ISOプロのやまぐちです。
近年のIT業界はますます急成長を遂げており、他の業界の伸び率に比べて7倍もの速度で成長しているとまで言われています。そんなIT業界の近年のトレンドは、アマゾンの提供するAWSやマイクロソフトのAzureといったいわゆる「クラウド」と呼ばれるものです。
そんなクラウドに関して、「セキュリティ面で不安がある」と考えている方も多いのではないでしょうか?今回は、そんなクラウドセキュリティの基本とマネジメントシステム観点から見たときに、どのようなセキュリティ対策を行っておくべきなのかということについてご紹介していきたいと思います。
クラウドのセキュリティに不安はあるのか?
そもそもの話ですが、私達が「クラウドはセキュリティが不安だから…」という考えに陥ってしまうのはなぜでしょうか? おそらく、以下のような原因から漠然と不安を感じてしまっているのではないかと思います。
・場所や時間、デバイスに制限されることなくアクセスが可能である
・何千、何万のユーザーが利用しているため、攻撃者のターゲットとなりやすい
・セキュリティに関して外出しすることになるため、不安である
しかし、こういったセキュリティに関する不安は、以下のような逆説が生まれます。
・機密性や完全性は可用性と逆比例するわけではない
・インシデントは攻撃によってのみ発生するとは限らない
・専門知識を持たない人間のセキュリティよりも専門知識を持ったセキュリティ部隊を持つ外部サービスにリスクを委託することも重要なセキュリティ対策の一つである
要するに、クラウドを利用する、しないに関わらず、組織は常にリスクにさらされているわけで、そのリスクを組織の管理外であるクラウドに委託したところで、大幅にリスクが大きくなるようなことはほとんどないのです。
ましてや、皆さんの所属する組織と比べて、クラウドサービス提供事業者は優秀なセキュリティエンジニアを抱えていることが多いはずです。もし皆さんの所属する組織ではセキュリティに関する潤沢な予算があり、人員も豊富であるのであれば、それは例外かもしれませんが、多くの事業者はそんなことをしては費用対効果が悪くなってしまいます。つまり、「セキュリティ面での不安」というのは多くの場合杞憂であると言えるのではないでしょうか。
クラウドにおけるセキュリティ対策
とはいっても、最低限クラウドを利用するにあたって気をつけておきたいポイントというものがあります。
・SSLやSSHなど、セキュアなプロトコルを利用する
HTTPよりもHTTPS、FTPよりもFTPSやSSHによって通信をするということは、もはやIT業界では常識になりつつあります。こういったプロトコルを用いない通信では、通信経路上で盗聴や改ざんがされる可能性が高くなってしまいます。
具体的には、SSLサーバー証明書の発行、SSH、FTPS(FTP over SSL)、POP/SMTP over SSL、S/MIMEなどを導入して暗号化通信を前提としたインフラを構築しておきましょう。
・強固なユーザー認証の導入
クラウドでは、インターネットからの利用を前提とするため、不正アクセス、なりすまし、データの不正利用、情報漏えいなどのリスクが発生します。ワンタイムパスワードやIPアドレスによる認証、アクセスコントロールによって強固なユーザー認証を行うようにしておきましょう。また、推測されにくいパスワードを発行するようにする必要があります。
・セキュアなアプリケーションの開発
クラウドのセキュリティがいかに強固であったとしても、利用者が開発をするアプリケーションやミドルウェア、OSから発生するリスクは変わらず対策を行う必要があります。例えばSQLインジェクションやXSSという脆弱性は、ミドルウェアやアプリケーション側で発生するものです。クラウド側がサポートしてくれる内容と利用者側がなんとかしなければならない内容はしっかりと理解しておく必要があります。
・バックアップ対策
当たり前ですがクラウドサービスであっても重大なインシデントが発生してシステムがダウンする可能性はあります。クラウド上にバックアップを残しておくことはもちろん、それとは別の方法で例えば社内サーバーに定期的にバックアップを持ってくる仕組みを構築しておく必要はあります。
・適切なクラウド事業者の選定
クラウドを利用するということは、リスクを外部に委託するということでもあります。どのような事業者にリスクを委託するのかということは、利用者に与えられた権利であり、責任でもあります。
・サービス提供者のセキュリティポリシーは自社のものとマッチしているか
・事業者の経営状態や過去のインシデント
・セキュリティ認証の取得状況
このあたりに関しては最低限チェックしておきましょう。ISO27001のようなISMS認証だけでなく、ISO27018やISO27017というクラウドセキュリティに関するアドオン規格も存在しているため、アドオン認証の取得状況についてもチェックしておき、もし可能でればサービス利用者もISO27017認証の取得を目指しましょう。
この記事が気に入ったらサポートをしてみませんか?