それでも減らない、クラウドの設定不備が発生する背景
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」11月9日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・事業者と利用者、クラウドサービスの責任共有モデルとは
・多発する設定ミス、なぜ高度な設定を初期状態としないのか?
今回の解説ニュース
クラウドの適切な設定と、不備があった際のリスクについてまとめられた資料が公表されています。クラウドの設定は誰の責任で行うべきかの定義や、それでもクラウドの設定不備が発生する背景について説明します。
今回の資料は、クラウドの設定不備が発生しないよう、安全安心なクラウドサービスの利用・提供に資することを目的として、利用者・事業者双方において共通的に認識しておくべき事項および具体的な対策について整理し、取りまとめられています。ガイドラインでは、米国CISが発行する「CIS Benchmarks」で示されている主要なクラウド基盤の各プロダクトにおけるクラウドセキュリティ設定項目を比較し、分類しています。
例えば、IDとアクセス管理では、クラウドサービスの一般利用者と管理者等のユーザIDやパスワードを設定する際に、認証の設定・管理を明確に分離して行わないと、管理者権限の設定が甘いものとなり、外部からのハッキングにより簡単に情報漏えいしてしまうリスクがあります。
その他にも、オブジェクトストレージやインフラ管理、ネットワーク、IaaS/PaaSの集中管理機能、コンテナ等の設定について触れられています。
事業者と利用者、クラウドサービスの責任共有モデルとは
クラウドサービスの責任共有モデルとは、クラウドサービスの事業者と利用者が協力して、クラウドサービスに対する責任を共有するモデルです。クラウドサービスの種類ごとに双方の責任範囲が定められており、認識のずれによるセキュリティ対策の抜け漏れを防ぐことを目的としています。
例えば、Aさんが借りているマンションのエアコンが故障したとします。エアコンの管理責任がAさんであることが共有されていれば、日々のメンテナンスを含めてAさんが行うという認識を持っていただけると思います。一方で、エアコンの責任範囲が不明確であった場合に、日々のメンテナンスが行き届かないだけでなく、故障した際の対応が遅れるなどの影響も考えられます。
このように、あらかじめ関係者の責任範囲が明確でないと、セキュリティ対策が行き届かないだけでなく、インシデントが発生した際の対応まで遅れてしまう可能性があります。クラウドサービスの責任共有モデルでは、SaaSやIaaSなどクラウドサービスの種類ごとにその責任範囲が定められており、事業者と利用者で認識のずれによる設定漏れを防ぐことを目的としています。また、クラウドの設定作業を外注する場合は、その設定は利用者の責任となることも注意が必要です。
その他のトピック