本文へジャンプします。

パブリッククラウド導入大作戦! 第2回「セキュリティーリスクとクラウド環境」後編

こんにちは。co-meeting吉田です。

さて 第2回「セキュリティーリスクとクラウド環境」後編です。
今回はより具体的な話に入っていこうと思います。

守るべきポイントを整理しよう

前編では「セキュリティー」というものを「解らないものへの不安感」として話を進めてきました。が、もちろん具体的な「セキュリティー」というものは存在します。今度は若干詳細に環境を構成する要素を整理して、ポイントを把握するようにしてみたいと思います。

クラウドコンピューティングの構成要素から考え、以下のように概要を捉えてみます。

Mamori_2

1は、クラウド上のコンピューターリソースへの管理者が所属するネットワークにおける守りです。

管理者自身のPCへ適切な対策が講じられているか、ネットワークは守られているかがポイントとなります。もし仮にクラウドがインターネット上にある利便性を生かすなら、この1の場所は公共の場所であるファーストフードの無料WiFiであったり、携帯できるポケット無線ルーターなどからスタートするケースも考えられます。開示レベルによって状況を間接的に知る事になります。

2は管理者とクラウドを繋ぐネットワークにおける守りです。

もし管理者が暗号化されていない通信でクラウドにアクセスする場合、当然経路でIDやパスワードが抜き取られたりして、管理権限を奪われる可能性があります。ただ、インターネットの通信は通信元と通信先の最後のところ以外はどのような経路を経由して情報が伝達するか、決まったルートは少ないので近場のネットワークこそ気をつけるべきでしょう。

3はクラウドの基盤における守りです。

ユーザーはクラウドとして仮想化されているものを利用しますが、もちろん物理的なリソースが無くなっているわけではありません。通常、この3の守りである物理サーバの守りと仮想化基盤自体の守りはベンダーに委託されます。したがって、3についてはユーザーは守りについて直接的な情報取得はできないため、ベンダーの情報開示レベルいわゆる透明性によって状況を間接的に知る事になります。

4,管理者が利用するベンダーから提供される管理機能の守り

例えばログインして、サーバの立上げや電源を切るなどの作業を行うダッシュボード、APIによりアクセスされるエンドポイントなどです。これらは通常パスワードや公開鍵方式、認証ファイルなどを用いて管理権限を持つものかを判定します。これらのファイルなどが悪用されたり、パスワードが漏れたりするのを防ぐ必要があります。

5,サーバがさらされる直接的な外部からの攻撃における守り

クラウド上のサーバやサービス群などはすべてグローバルなアクセスが可能です。従って世界中の管理レベルが低い汚染されたサーバからの攻撃や悪意を持った者からの攻撃を受ける状況にあります

各ポイントへの対応策

さて、これら1〜5までの要素を見てきましたが、守り方・対応策について考えてみます。

1:企業内の情報セキュリティ施策として従来から行われていることを遵守する

2:通信は暗号化されている方式を利用する
  SSHはポートをずらすだけでも効果アリ

3:ベンダーの施策等を調べ、適切な管理が行われているベンダーを選定する

4:パスワード、認証ファイルなどの基本的な管理体制を構築する
  アクセスした履歴を確認できるような施策で強化する

5:ベンダー提供の防御力を高めるオプションの利用
   ファイアーウォールの活用による、不要なポートへのアクセス制御
   ロードバランサーでもポート制限が可能
  LinuxやWindowsのサーバにおける運用保守作業
   セキュリティーアップデートの適応
   OSレベルで用意されているファイアウォールの活用
  追加ソフトウェアによる監視体制
   ログの確認やチェック機構の導入

となります。

さらに強化する作戦としては
・もし特定箇所からしかアクセスされない場合は、VPNの導入を検討する
・グローバルIPを外す
なども上げられます。

なお、ニフティクラウドの場合はローカル側、つまり利用者が管理するサーバ郡のため専用のネットワークがありますので、こちらについても守りを固める必要があります。
通信元を限定する設定を行ったり、ファイアーウォールの機能で決められたルールが適応されているグループのみ通信を許可するなどが設定可能です。

セキュリティーを漠然とさせず要素を捉えて考えてみると、守り方が見えてくることがご理解いただけましたか?極めて基本的なセキュリティ対策を行うことが、まずは肝心といえます。

なお、一番セキュリティーレベルを下げるのは「人間」である点を忘れてはいけません。

ちょっと解らないからとFirewallをオフにしてみたり、たぶん攻撃なんてうちのサーバはされてないという思い込みからのOSアップデート手抜き、脆弱性情報などに注意を怠ったために発生するオープンソースの特定バージョンにおけるトラブル・・・これらは、ソフトウェアや基盤が悪いのではありません。管理すべきポイントが押さえられていないことや、単純なヒューマンエラーが原因と言えます。今までの多く見られてきた社会的な影響を与えるほどの事件は、その多くがこういった利用者や管理者がルールを守らなかったことに起因しています。この点についても十分認識をするように注意して下さい。

まとめ

さて前編後編と2回にわたり、クラウド環境におけるセキュリティについて考えてみました。

セキュリティー施策の基本方針をまとめてみると

1,実用的なレベルを勘案した対策をうつ
2,敵を知る
3,セキュリティーアップデート等の基本的な対策をしっかり行う
4,ケアレスミスが起こる前提で対策を講じる
5,早期発見

という5つにまとめられると思っております。

そして、これらの方針はいたって普通で、従来と変わらないものであると言えます。ただし、従来に比べグローバル環境でのサーバ利用となることから、ちょっとしたミスで困った事態になってしまうという点をご注意下さい。

最後にセキュリティーに関する情報源のご紹介です。

IPA 独立行政法人 情報処理推進機構
「クラウドサービス安全利用のすすめ」
http://www.ipa.go.jp/security/keihatsu/pr2012/ent/02_cloud.html

ここでは日本語で、海外の情報なども見ることができます。最新の状況を知ることも大切ですが、日本以外ではすでにかなりのクラウド利用における経験があるので、日本語で読めるこの情報源はとても貴重であると思います。是非、一通りご覧下さい。

また、ニフティクラウドの書籍では、ベンダーから提供される様々な機能の使い方や使いどころなどを詳細に解説してありますので、ぜひご活用下さい。

ニフティクラウド 導入相談窓口
ニフティクラウド 無料セミナー

閉じる

閉じる

クラウドブログ編集部

クラウドブログ編集部

ニフティクラウド ユーザーブログ編集部のアカウントです。 編集部からのお知らせや、レギュラーライター以外のゲストによる寄稿記事を掲載していきます。

浜中 慶

浜中 慶

1980年、神奈川県生まれ。2003年ニフティ入社。 ポータルサイト開発を中心に、音楽配信サービス、CGMサービスなど様々なプロジェクトに企画/デザイン/システム担当として参加。現在は@niftyのポータルサービス向けコンテンツ管理システムの企画/開発/運用を担当。

吉田 雄哉

吉田 雄哉

株式会社co-meetingの創業メンバー。「取締役&External- facing Technologist」と名乗り新しいIT技術を広く伝える活動とWebアプリケーション開発を行う毎日。パッケージベンダーでのSaaS立上げ・製造業の情報システム部門で企画やPM・受託開発と従事してきたため、ベンダーサイドとユーザサイド の両方の視点を持ち合わせる。

石田 健亮

石田 健亮

株式会社ドリーム・アーツで小売事業者向けSaaS「Shopらん」を企画、開発。メインの仕事はプログラマーだがサーバー管理や営業もこなすユーティリティプレイヤー。最近好きな事はパフォーマンスチューニング。特に並列化プログラミングがマイブーム。キライなことはデータセンターでの作業。騒音と乾燥が弱点。ニフティクラウドでデータセンターに行く必要が無くなったことが本当の利点だ と思っている。

五月女 雄一

五月女 雄一

ニフティでは「インフラを守る簡単な様で奥が深いお仕事」をしています。 夢はインフラの気持ちが読めるエンジニアになること。

わたなべ かずひろ

わたなべ かずひろ

専門学校卒業後、ソフトウェア開発会社で電力系統制御システムの開発に従事。その後、CD-ROM等マルチメディア系PCソフトの開発を経て、1998年フリーランスに。 2000年8月に株式会社イーツーの設立に参画。携帯を含む様々なWeb系のシステム開発に携わる。現在はiPhone/Androidアプリなどの開発も手がけている。

市角

市角

ニフティクラウドのコントロールパネル設計・開発をメインに、たまにインフラの運用やお手伝いもやっていたりします。コントロールパネルや新機能の活用方法、アイデアなどを中心に書いていく予定です。

仲山 昌宏

仲山 昌宏

歌って踊れるインフラエンジニア兼、PHPもRubyもJavaも書くPerl使い。 物理サーバの運用に飽きて、フルラックに格安サーバ詰めて自宅プライベートクラウドを構築中。 今年は個人的には分散処理を攻めていきます。

猪飼 賢広

猪飼 賢広

1984年、愛知県名古屋市生まれ。大学は福島県にある某大学。2008年ニフティに入社。 開発系部署に配属後、主に各種テーマサイト開発のシステム面調整、開発進行管理役などとして参加。 現在もPC・ガラケーサイトの開発まわりを担当。インフラまわりを触る案件にも携わっており、日々修行中。 好きな芸人はなかやまきんに君とレイザーラモンRG。

久江 裕之

久江 裕之

ニフティクラウドのインフラ運用、OS提供の仕事をしています。 新しいOSやイメージが出る時にこのブログでご紹介いたします。入社5年目。一流のインフラエンジニアを目指して日々勉強中。

竹内 豪

竹内 豪

ニフティクラウド エンジニア

山口

山口

ニフティクラウドの基盤設計、新サービス/アライアンス/インフラ企画、その他雑用全般を担当しています。 クラウドに欲しい機能や、こんなふうに使ってほしいという想いが共有できれば良いですね。

芳中 隆幸

芳中 隆幸

ニフティクラウドの開発、運用を担当しています。

酒井 浩平

酒井 浩平

ニフティクラウドの中にいます。 ネットワークまわりの運用・開発や自動化などに取り組んでいます。 すべてのエンジニアを幸せにすることを目指しています。

higebu

higebu

ニフティクラウド IaaSのエンジニアです。 ネットワーク、DRサービス with VMware vCloud® Air™ Technology辺りの担当をしています。

武田

武田

ニフティクラウドの開発・運用を担当しています。 各種機能の内容についてなどで執筆させていただく予定です。

森藤 大地

森藤 大地

データに関する仕事が好きです。

宮原徹

宮原徹

日本仮想化技術株式会社 代表取締役社長兼CEO。仮想化技術に関するコンサルタントとして長年活動しており、特にベンチマークテストによる性能評価を得意としている。

荒谷翔

荒谷翔

株式会社はてなでMackerelのセールスデベロッパーとして勤務しています

東條 望

東條 望

2014年にニフティへ中途入社。 入社後から現在まで、ニフティクラウドのサービス企画・開発を担当しています。 各サービスの紹介を執筆させていただく予定です。