クラウドサービスを導入・利用する際、「セキュリティ」が気になりませんか?今回の記事では、経済産業省が公表しているクラウドセキュリティガイドラインを参考に、クラウドサービス導入・利用時に起こりうるセキュリティリスクと利用者が取るべき対策を具体的に紹介します。
目次
クラウドサービスにおけるセキュリティリスク
クラウドサービスでは、主に4種類のセキュリティリスクが存在します。被害事例と併せてご紹介します。
情報漏えい
クラウドサービス利用者は、ログインすることでクラウド上のデータを管理します。このログイン時に使うIDやパスワードが流出すれば、悪意ある第三者から不正にアクセスされる恐れがあり、自社だけではなく取引先や顧客の情報まで被害にあう可能性が出てきます。
2019年には、大手アパレルブランド 
が、クラウドへの不正アクセスにより約46万件の顧客情報が漏えいしたと発表しています。このような事態を防ぐためにもクラウドセキュリティ対策が重要視されています。
データ消失
自然災害やサーバー障害・誤操作などにより、データ消失してしまうリスクもあります。
2020年には、大手精密機器メーカー が運営する写真保存サービスで、ユーザーのデータが一部消失する事故が起きています。クラウド上のデータは複数のユーザーが共同編集する場合も多く、誰かが勝手に設定を変更したり誤ってデータを消したりしてしまうなどの人的ミスも起こりえます。そのため、バックアップの仕組みが必要不可欠となるのです。近年では、このリスクを最小化する目的で「最小権限の原則」を適用する企業が増えています。
サイバー攻撃
クラウドサービスは、さまざまなサイバー攻撃を受けるリスクにさらされています。例えばランサムウェア攻撃は、暗号化などによってファイルを利用不可能な状態にした上で、そのファイルをもとに戻すことと引き換えに金銭を要求するマルウェア(コンピュータウイルス)です。
2022年、大手自動車メーカー協力企業がランサムウェア攻撃を受けました。「クルマは部品がひとつでも揃わないと組み立てることができない」と考えている同メーカーは、国内の全14工場を停止しました。
クラウドサービスの大半は常時インターネットに接続しているため、サイバー攻撃を受けるリスクが常に伴っているという認識が必要です。
不正アクセス
マルウェア感染・ずさんなパスワード管理などが原因でログインIDやパスワードの流出が起こる可能性もあります。
2022年、大手システム開発企業がヘルプデスク業務で使用しているPC8台のうち1台がマルウェアに感染したと発表しています。
このような事態を避けるため、コンピューターなどのデバイスがマルウェアに感染しないよう社員に予防策を注意喚起・破られにくいパスワードを設定など、利用者のセキュリティ意識を高める必要があります。
クラウドセキュリティガイドラインの概要
では、クラウド利用者はどのような点に注意し、対策を行えばよいのでしょうか。ここからは、経済産業省が作成したクラウドセキュリティガイドラインの内容と重視すべき点をご紹介します。
クラウドセキュリティガイドラインとは?
クラウドセキュリティガイドライン 
とは、経済産業省が作成した、クラウドサービスを利用する際のセキュリティに関する指針や基準が書かれた手引書のことです。正式名称は、「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」といいます。クラウドサービスを提供する事業者と利用者それぞれに対し、クラウドサービスを利用するにあたっての注意点や求められるセキュリティ対策などが記されています。
クラウドサービスにおけるユーザーと事業者の責任範囲
クラウドサービスを安全に利用するにあたり、理解しておきたいのが、「責任共有モデル」です。責任共有モデルとは、事業者と利用者それぞれがクラウド利用時の責任を分担する考え方を指します。
クラウドサービスが広がり始めた当初は、利用者のセキュリティリテラシーが低く、意図せず機密情報を漏えいさせてしまう事例が相次いで報告されました。このような事態を改善すべく、現在では責任共有モデルがガイドラインにも記述されています。
現在この責任共有モデルは、AWSをはじめとした世界中のクラウドサービスで採用されています。責任の範囲はクラウドの利用条件や環境ごとに異なるため、ここからはサービス別に事業者と利用者それぞれの責任の範囲を紹介します。
SaaS
SaaSとは、ソフトウェアを提供するクラウドサービスのことです。GmailやMicrosoft 365などが挙げられます。
SaaSにおいて利用者は、データ管理の責任を負います。一方、事業者はそれ以外の部分(アプリケーション・ミドルウェア・OS・仮想環境・ハードウェア・ネットワーク・施設・電源など)に関する全ての責任を負います。
※出典:総務省 クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版) P23
PaaS
PaaSとは、アプリケーション開発のためのプラットフォームを提供するクラウドサービスのことです。AWSやMicrosoft Azure、Google Cloud Platform(GCP)などが挙げられます。
利用者は、SaaSにおける責任範囲であるデータの管理に加え、自社で開発したアプリケーションに関する全ての責任を負います。一方、事業者はそれ以外の部分(ミドルウェア・OS・仮想環境・ハードウェア・ネットワーク・施設・電源など)に関する全ての責任を負います。
※出典:総務省 クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版) P24
IaaS
IaaSとは、サーバーやストレージ・ネットワークなどのインフラを提供するクラウドサービスのことです。PaaSと同じく、代表的なサービスにAWSやMicrosoft Azure、GCPなどが挙げられます。
利用者は、PaaSの責任範囲に加え仮想環境上で動作する全てのソフトウェアの責任を負います。(OSやミドルウェアの障害対応含む)一方、事業者はそれ以外の部分(仮想環境・ハードウェア・ネットワーク・施設・電源など)に関する全ての責任を負います。
※出典:総務省 クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版) P25
ガイドラインで紹介している8つのセキュリティリスクと対策
ここからは、ガイドライン内に記されているリスクの種類と対策を紹介します。これらのリスクは、クラウドサービス利用時に発生する可能性のあるリスクであり、適切な対策を講じることでリスクを軽減できるでしょう。
インフラ
インフラのセキュリティリスクは、主にクラウド事業者に関係するものですが、利用者も潜在的な問題として認識しておく必要があります。インフラの主なリスクと対策はこちらです。
| リスク | 対策 |
|---|---|
| 通信の傍受 | 通信の暗号化 |
| 中間者攻撃やなりすまし |
サーバーや端末の相互認証、証明書認証 |
| 内部ネットワーク管理の不備 |
物理的な保護と構成・容量管理 |
| VLAN上のトラブルへの対策 |
ネットワーク機器の構成・キャパシティ管理 |
| データセンターへの不正な入退館 |
入退館を厳重化 |
| 機器への直接的な攻撃 |
データセンターや機器への多層防御 |
| 意図しない操作ミス |
手順書の明確化 |
| 内部関係者による意図的な攻撃 |
内部関係者のアクセス制御 |
| 電源の喪失によるサービス停止 |
バックアップ電源の確保 |
インフラのセキュリティ強化を実現できるAWSサービスのひとつが、Amazon S3です。Amazon S3 は、ストレージサービスでありデータの保存・アクセス・共有に使用されます。データの暗号化を有効にすれば、盗難や改ざんを防げます。
仮想化基盤
仮想化基盤の主なセキュリティリスクは、事故対応の不備や IT サービス継続の中断などです。仮想化基盤の主なリスクと対策はこちらです。
| リスク | 対策 |
|---|---|
| サービス再開時間の遅延 | インスタンスのバックアップ、テンプレートの用意 |
| 事故情報の把握ができずに再発防止ができない |
仮想化基盤のセキュリティ強化を実現できるAWSサービスのひとつが、Amazon EC2です。EC2のサービス内にあるAmazon Machine Image(AMI)を仮想マシンのバックアップやテンプレートとして利用することが可能です。
サービス基盤
サービス基盤に関する主なリスクは、単一障害点となる認証サービスへの攻撃や経済的な損失に直接関係する決済サービスへの攻撃などです。サービス基盤の主なリスクと対策はこちらです。
| リスク | 対策 |
|---|---|
| 単一障害点となるサービスに関する脅威 | ID管理や決済サービスの単一障害点を明確化 |
| 共有サービスに関する脅威 | データの所在地を複数のリージョンに分散 |
データ基盤のセキュリティ強化を実現できるAWSサービスのひとつが、Amazon Redshiftです。データを高速かつ簡単に分析し単一障害点を明確化します。
統合管理環境
統合管理環境(コントロールパネルなど)の主なセキュリティリスクは、全てのリソースに攻撃者がアクセスできる可能性です。単体のサーバーを狙った攻撃よりも大きな被害につながる危険性があるからです。統合管理環境の主なリスクと対策はこちらです。
| リスク | 対策 |
|---|---|
| 統合管理環境に関する脅威 | アクセス管理を適切化 |
| 監視環境に関する脅威 | ホストレベルでの監視 |
総合管理環境のセキュリティ強化を実現できるAWSサービスのひとつが、Amazon CloudWatchです。アプリケーションの監視と管理ができ、問題発生時は通知を受け取れます。
データ管理
データ管理に関するリスクは主に利用者が考慮すべきものですが、リスク軽減のために事業者が提供できる仕組みもあります。データ管理の主なリスクと対策はこちらです。
| リスク | 対策 |
|---|---|
| データ管理方針に関するリスク | データ管理方針の明確化 |
| データ管理におけるガバナンスの喪失 | 情報資産の分類とアクセス権の管理 |
| 不正なデータの取得によるウイルス感染 | ウイルススキャン、データの一元管理 |
データ管理のセキュリティ強化を実現できるAWSサービスのひとつが、Amazon GuardDutyです。マルウェア、不正なアクセス、不審なトラフィックなど、さまざまな脅威を検出できます。
データ分類
データ分類の主なリスクは、データ分類が適切でない場合に漏えいなどのリスクが生じることです。データ分類の主なリスクと対策はこちらです。
| リスク | 対策 |
|---|---|
| 適切なアクセス権の設定不能 | 利用者組織ポリシーに従いアクセス権を設定 |
| データのライフサイクル管理に関するリスク | 事業者を選ぶ際ライフサイクル管理を行えるかどうかを判断基準にする |
| データ管理におけるライフサイクル管理の欠如 | データの取り扱い手順の明確化 |
| データ漏えい・流出 | データの一元管理を阻害する行動を防ぐ |
データ分類のセキュリティ強化を実現できるAWSサービスのひとつが、AWS Security Hubです。クラウド環境のセキュリティ状況を可視化し、一元管理できます。
ID管理
ID管理の主なリスクは、ID管理手法・IDフェデレーションなどにまつわるものです。ID管理の主なリスクと対策はこちらです。
| リスク | 対策 |
|---|---|
| クラウドにおけるID管理に関するリスク | 二要素認証や二段階認証 |
| IDフェデレーションに関するリスク | ID管理レベル決め |
ID管理のセキュリティ強化を実現できるAWSサービスのひとつが、AWS IAM アイデンティティセンターです。シングルサインオン機能を実装できます。
人員
主な人的リスクは、利用者リテラシーやクラウド構築・運用・管理に関するものです。人員の主なリスクと対策はこちらです。
| リスク | 対策 |
|---|---|
| クラウド利用者のリテラシーに関するリスク | 利用者への十分な注意喚起 |
| クラウド構築・運用・管理に関するリテラシーに関するリスク | トラブル時の対応をマニュアル化、研修 |
人員のセキュリティ強化を実現できるAWSサービスのひとつが、AWS Training and Certificationです。従業員のスキル向上をサポートします。
まとめ
クラウドには、クラウドならではのセキュリティリスクがあります。
セキュリティ対策を実施する際は、クラウドサービスでどのような問題が起こりうるかを、理解することが重要です。また、利用者が対策すべき責任の範囲は、サービスにより異なります。クラウドサービスの利用を検討中なら、ガイドラインを参考にしながらセキュリティ面の問題はないかを確認してみてください。
なお、TOKAIコミュニケーションズでは、セキュリティ対策を含めたAWSの導入~運用をサポートする『AWS運用管理サービス』を提供しています。ご興味のある方はお気軽にご相談 ください。
