2019 年 12 月 17 日
クラウドサービスの情報セキュリティ対策
通信環境の発達や導入コストの低減などにより、クラウドサービスの利用は飛躍的に伸びています。しかし、クラウドサービスは社内にサーバーを設置するオンプレミス型とは違った特徴があります。そこを理解して使用しないと、かえって大きなインシデントに巻き込まれる可能性があります。
政府機関のクラウドサービスの積極採用
米政府では、中央情報局(CIA)や米国防総省(DoD)がクラウドを採用しました。
日本政府も 2020 年秋から各省庁の基幹システムやデータストレージを順次、クラウドに切り替えていくという方針を掲げています。
当初、「クラウドにデータを預けるのはセキュリティに不安」と言われていましたが(下図)、近年では「クラウドにデータを預けた方がセキュリティは安全」とみる場合もあります。
「クラウドサービス」を利用する事で、重要な機密情報を自社よりも設備の整った環境で、かつセキュリティの専門家により管理され、最新のサイバー攻撃やマルウェアなどのセキュリティ対策を行ってもらえるのです。
出典:「平成 28 年版 情報通信白書」(2016 年 7 月 総務省)
クラウドサービスは止まらないという誤解
2019 年 8 月。世界シェア 1 位のクラウドサービスで、国内の 1 つのデータセンターに障害が発生したことにより、何百もの Web サービスが停止する事件が起きました。
社会的にかなりのインパクトを与えた出来事でしたが、これは「クラウドサービスは止まらない」という誤解が生んだものです。
このクラウドサービスは、クライアント(お客様)の数も膨大です。一つの建物をデータセンターにしたところで、全てのクライアントに対応しきれません。首都圏に沢山のデータセンターを持っており、それらを纏めて「東京リージョン」と呼んでいます。
機械である以上、障害は起きます。この事件は、その「東京リージョン」の中の一つのデータセンターに起きた障害でした。
実はこの事件では、障害が起きたデータセンターを使用していたにもかかわらず、停止しなかったサイト・サービスも数多くありました。違いはクラウドサービスの契約形態によるものでした。
このクラウドサービスの事例でいえば、主なものとして、
- 1つのデータセンターのみを利用する契約
- 複数のデータセンターを利用する契約
- 複数のリージョン(「東京リージョン」と「大阪リージョン」)を利用する契約
などがあります。
1つのデータセンターで障害が起きても、別のデータセンターが利用できれば、継続してサービスを提供できます。また、首都直下型地震で、「東京リージョン」内の全てのデータセンターが使えなくなったとしても、「大阪リージョン」が生きていれば、サービスを提供できます。
「クラウドサービスは止まらない」というイメージがあるのは、こうした複数のデータセンターを利用できる契約形態があるからなのです。
しかしながら、そうした契約をしていなければ、クラウドサービスであってもサービスは止まります。
サービスやシステムの資産価値の目的に応じたクラウドサービスの契約を選択
誰しもサービスは止めたくありません。とはいえ、複数のデータセンター利用の契約をすれば、その分コストが上がるのは必然です。そのため、サービスの目的によって、契約形態を変えることが推奨されます。
この障害で止まったサービスは沢山ありますが、サービスが停止したことによる影響度合いは様々です。
例えば、障害によりテレビの新番組の告知サイトが停止したとしましょう。楽しみにしていた人の気持ちはさておき、これは情報セキュリティ的に社会に大きな影響を与えたとは言い難いでしょう。
一方、金融・決済システムの停止は多大な影響を与えます。これは短時間であっても停止させてはいけないサービスでしょう。
止まった場合の社会的影響度を考慮し契約形態を変えれば良いのです。
先程の例として挙げた新番組のサイトであれば、1つのデータセンターのみを利用する契約でも問題ないでしょう。
一方、医療や行政など公共性の高いインフラ企業なども、簡単に止めるわけには行きません。複数のデータセンターを利用する契約をすべきでしょう。
さらに金融などでは、数時間も止めたら大変なことになりかねません。たとえ大地震があったとしても同様でしょう。だとしたら、複数のリージョンを利用できる契約をしておく必要があります。
クラウドサービスは「止まらない」のではなく「止めないための契約ができる」ものです。信頼性の高いクラウドサービス事業者及びサービス契約を選択することが重要になります。
サービス利用者側のセキュリティ対策
クラウドサービスのセキュリティには、自社内で完結するシステムとは違ったセキュリティ対策を意識する必要があります。これらのポイントを確認するには、ISO/IEC 27017 を参考にすると便利です。サービス提供側、サービス利用側、双方の視点に立ったポイントを網羅しています。
ISMS クラウドセキュリティ
当社においても ISO/IEC 27017 準拠のクラウドサービスポリシー策定支援のサービスを提供しており、企業におけるクラウドサービスの選定基準や安全利用基準に係るチェック項目についてのコンサルティングが可能です。
また、PaaS や IaaS など、柔軟性の高いクラウドサービスにおいては、まだまだ設定周りの不備により脆弱性が生まれるケースも少なくはありません。
またクラウド上に実装するにせよ個別サーバーで運用するにせよ、Web アプリケーションに対してはこれまで同様に情報セキュリティにおける配慮が十分に必要です。
クラウドサービスを利用することで最適化されたリソースを、そのような情報セキュリティ対策の投資に分配することも 1 つの解決策と考えられます。