ニフクラ ブログ

ニフクラやクラウドの技術について、エンジニアが語るブログです。

パブリッククラウド導入大作戦! 第2回「セキュリティーリスクとクラウド環境」前編

こんにちは。co-meeting吉田です。

パブリッククラウド導入大作戦第2回目のテーマは「セキュリティー」です。
この「セキュリティー」という言葉が、クラウド導入時には何度も何度も出てくることになります。今回はクラウド利用におけるセキュリティーについて、考えてみたいと思います。

さて第2回は2部構成となります。前編では「セキュリティーとは何であるか」「セキュリティー対策へ取り組む方針」について考えます。後編では「守るべきポイントと対応策」「セキュリティー担保への5つの方針」をお届けします。

前書き

インターネットが会社で使われるようになった時期にも、現在と同じようなことがあったように思います。「インターネットにわが社の顧客リストが曝されてしまったらどうするんだっ!」というようなのが代表的な台詞だった気がします。

流行しはじめた技術はとても残念なことに、誤解を招き兼ねない宣伝文句や各種装飾により彩られる流行言葉を身にまとわされ、全然違う姿に見えることすらあります。まさにインターネットの企業利用の初期時代と現在のクラウド盛況時代は酷似しているように感じます。「クラウドにわが社の顧客リストが曝されてしまったらどうするんだっ!」というところでしょうか。賢いユーザであるためには、本質的な要点を注意深く捉える必要があります。

現在の状況において、もっとも耳にする言葉の一つに「セキュリティー」という言葉があります。「セキュリティーはどうするの?」「セキュアな運用を心がけよう」「セキュリティー対策を講じなければ」等々。そろそろ、腰を据えて不安と向き合う時期ではないでしょうか?

そもそも「セキュリティー」とは?

複雑であり、あっという間に新しい技術が出てくる状況において「セキュリティー」を説明せよ!と言われて、的確な答えが言える人は世の中にどれほどいるのでしょうか。正しい解釈については、別途ご紹介するサイトなどを見て理論武装をして頂く事にします。ここでは、まずイメージを変えることに専念します。

現在のクラウドな状況において、思わず口をついて出る「セキュリティー」という言葉は、なかなか理解が難しい状況に対する漠然とした不安を表現する言葉・・・として使われているように思います。クラウドコンピューティングを理解している(もしくは、つもり)であるものの、まだイマイチ腑に落ちず、感じる不安を表現するときに「クラウドはセキュリティーに不安があるよね~」などと言っていませんか?
この不安と向き合う方法は実に簡単で、以下の2つしかありません。

1,誰かに不安を拭ってもらう
2,徹底的に不安と戦う

1の場合は、クラウド導入のコンサルテーション/監査系の専門家/セキュリティー関連企業などにお願いする事になるかと思います。報酬を支払う事でプロが安心を提供してくれるのがこの選択肢の利点と言えます。ちゃんとしたプロを選び、適正な報酬を払うことで苦手な部分を補強できることから、もっともビジネスライクな解決策だと思います。ただし、「ちゃんとしたプロ」であるかをどう見分けるかは非常に難しいです。
実際、色々な場所で講演などをされている方の話を聞きますが、本当にプロか?と耳を疑うような事をお話されているケースもあります。各々の立場上の都合による偏見や更新が遅れてしまっている状況に関する認識・知識が、プロと呼べるレベルではなくなっているケースがあります。学識的なレベルでの知見・実戦経験。この二つを高度に持ち合わせているかを指標とし、力になってもらえるかを判断するのが賢明だと思います。

 一方、2はイバラの道です。時間が掛かります。しかし、この過程でクラウドとは何かと本質的な部分を見直す機会にもなります。苦労した価値は十分得られると思います。以下、2を選択した場合として話を進めます。

「不安」と戦う作戦

そもそも「企業秘密」なんてものや「顧客リスト」や「価格表」などの「機密情報」なものをデジタル化すること自体が、他人に漏れる状況を作り出していると言えます。しかし、大切な情報が漏れないために各種対策をすることで、ある程度安心できる状況ができていると思います。
以下の4つのステップが不安と対峙する方法です。

1、どんな状況になるかを知ること
2、何が起こると本当に困った事態になるか把握すること
3、そして、そうならないようにするためにの方法を考えること
4、最後に、もしそうなってしまった時にはどうすれば良いかを考えること

1,どんな状況になるかを知る

まず1の状況把握。パブリッククラウドは概ね仮想化されたハードウェアの上に用意されるものを”サービス”とみなし、所有するのではなく利用するモデルです。したがって物理的な制約から解放されることこそが、クラウドを利用する事の最大のメリットと言えます。しかし、言い方を変えると「物理的なサーバのお守りを業者に委託している」という状況でもあります。従来のホスティング等を利用した場合であれば、物理的なサーバの管理レベルを目視で確認することを実施し、担保しているケースがあるかもしれません。クラウドの場合は多くのケースで、契約時の結ぶ使用許諾 / SLAにより決まることになります。

もし納得が出来ない場合は、そもそもクラウドを使わないというのが最も手堅い選択肢でしょう。しかし、これでは本末転倒なので、管理レベルが第三者機関により一定水準以上であると評価を受けているところや、取組みに関して情報開示されているなどの透明性が高いサービスを利用するようにするのが良いかと思います。

2,何が起こると本当に困った事態になるか把握する

次に2です。起きると困る事態を認識する方法ですが、何をクラウドに預けるか、データ内容やワークフローをイメージすることで見えてきます。例えば、顧客データを預けようとした場合の最悪のケースは、顧客データがライバル企業へ漏れることや個人情報が第三者の手に渡るような事態・・・が「困った事態」といえます。このように、何を預けるかを決める事で、おのずと見えてくる「困った状況・事態」を洗い出しましょう。より具体的に認識できることで、リスクを的確に捉えることが可能となります。

3,そうならないようにするための方法を考える

そして3。予防する方法を考えます。2ではリスクを捉えました。このままでは、ただただ不安なだけです。そこで、施策を丁寧に考えましょう。重要な施策の一つに、アクセス管理が上げられます。クラウドでは、サーバリソースをサービスとして利用することから、サーバリソースを管理する機能が提供されます。このリソース管理機能こそが最も強い力であると言えます。万が一、この機能を悪用されるとサーバの利用権限を乗っ取ることや、サーバを削除するなどの直接的な被害を被る可能性があります。したがって、サービス管理を行える画面(ダッシュボード)にアクセスするためのIDとパスワードを他人に漏れないようにする施策、パスワードを定期的に変えるなどの極めて基本的な手法こそが安全性を高める方法である事に気が付く事になると思います。

ニフティクラウドでは、「マルチアカウント」や複数のSSHキーを利用する運用など、この部分を強化する機能提供が行われており、ユーザー自身が管理レベル向上へ取り組む機能が十分提供されております

4,もしそうなってしまった時にはどうすれば良いかを考える

最後に4つ目。許せる範囲を決める事です。これはピンと来ないかもしれません。言い方を変えると「起きてしまった事態において迅速に状況把握を行い、事態を収束させるための施策」となります。どんなに対策をうっても絶対ということは有り得ません。そこで「もし仮に」と考え、対策を事前に検討しておくことが重要です。

仮に顧客情報をクラウド上に載せたとします。ここで許せる範囲として、誰がいつどのように情報へアクセスしたのかが強制的に記録されるようにすることを前提とし、万が一不正なことが行われた場合はその実績が残るようにして、あとから確認をとれるようにする・・・というような妥協点を見出すことが「許せる範囲を確保するための要件」となります。これにより、自分たちが使う上で、どのような機能が提供されているとより安心して使えるかを判断することができるようになります。

以上、不安と戦うための4つのステップをご紹介しました。

続きは後編で!

前編はここまでです。いかがですか?
漠然と考えていると、つかみ所が無く不安感が強かったと思いますが、順を追って考えると意外と当たり前の施策が効果的であることを認識できたかと思います。

後編では、具体的な話へと進めて行きます。