こちらのソリューションに関するお問い合わせはこちらから
MENU

 

 

クラウドシフトの現状と今すべき対策とは

システムのクラウドへの移行

これまでお客様のデータセンター内に構築をされていた、ファイルストレージやメール、開発環境等のオンプレミスシステムをクラウドに移行されるケースが増えております。クラウドを利用することで従業員様の働き方改革の実現や、システム運用の観点でも可用性やスケーラビリティの観点等で多数のメリットがあります。

現行のネットワークとセキュリティ対策

オンプレミス時代のセキュリティ対策は、社内と社外の通信を、境界防御のNWセキュリティ製品を経由させることで容易に可視化・制御が可能でした。

クラウドシフトとセキュリティ

しかしながら様々な業務システムがクラウドサービスへ移行する中で、社内外の境界があいまいになっている現状があります。

  • 境界があいまいになるため、既存のNWの可視化・制御では対応できなく
  • 端末だけでなくクラウド自体が通信発信元であるエンドポイントになりうる

クラウドサービスそれぞれを一つ一つのエンドポイントとして考える新たなセキュリティが必要になっています。

クラウドサービスの業務利用について

クラウドサービスには、大きく社内OA系業務で用いるSaaS、ビジネス提供に利用される本番サービスシステム基盤のIaaS/PaaSがあります。

社内でどのようなクラウドサービスを、どのようなシステムに用いているか正しく把握されていますでしょうか。

OA系業務システム
OA系業務システム
SaaSへの業務システム移行
これまでパッケージで利用していたソフトをインターネット経由でサービス利用
  • メール:ExchangeサーバーからOffice 365へ
  • ストレージ:ファイルサーバーからOnedrive、Boxへ
本番サービスシステム
本番サービスシステム
IaaS/PaaSの開発、本番環境利用
インターネット越しで開発環境や、実サービス環境を利用し
  • クリックのみでスクラップ&ビルド可能かつスケーラブルな実行環境が提供される
  • 最先端の技術を常に利用可能

クラウドサービスとは

クラウドサービスはSaaS、PaaS、IaaSの3つの領域に分類され、それぞれ提供されるシステムのレイヤーが異なります。

  • SaaS
    Software as a Service
    ソフトウェアを、インターネット経由でサービスとして提供・利用する形態 ▼Office 365, Box, Salesforce, G suite
  • PaaS
    Platform as a Service
    データベースやプログラム実行環境などアプリケーションソフトが稼動するプラットフォームをクラウドサービスとして提供 ▼ Microsoft Azure 、Google App Engine
  • IaaS
    Infrastructure as a Service
    情報システムの稼動に必要な仮想サーバをはじめとした機材やネットワークなどのインフラを、インターネット上のサービスとして提供する形態▼AWS, GCP

SaaSがクラウドで最も機密情報が保存されている

そのようなクラウドサービスですが、McAfee社の調べでは、9割の機密情報は契約SaaS/IaaSにあるという結果が出ています。

会社で契約しているSaaS、IaaSといったクラウドサービスにどのような個人情報、機密情報が保存されていて、どこに共有されているか把握するのは非常に重要になります。

クラウドベンダーとユーザの責任共有モデル

クラウド利用における責任は誰が担保するのでしょうか。

ベンダーとユーザーでシステムの責任領域を共有する、責任共有モデルというモデルで示されます。

IaaS/PaaS/SaaSそれぞれのサービス約款において、ベンダー、ユーザーがが責任を負う範囲が明確になっており、ポイントとして、クラウドを利用するユーザーの利用の仕方、保存したデータについては全てユーザー側が責任を負うことになっています。

クラウドセキュリティの課題 クラウド特有の課題

クラウドのセキュリティにおいて、オンプレミスとは異なるクラウド特有の課題があります。

その課題を理解した上で、クラウドのセキュリティ対処をする必要があり、特に内部監査、外部攻撃の両面の観点で対処が必要です。

クラウドのセキュリティとは

クラウドのサービスそれぞれにリスク、課題が存在しています。どのようなクラウドサービスを利用されているか把握しどのようなセキュリティリスクが内在しているか理解した上で対処が必要です。

クラウド全体のセキュリティ課題

クラウド利用全体のセキュリティ課題にシャドーIT(Shadow IT)が挙げられます。

これは社内からのインターネットアクセス全てに含まれるクラウドの内容、リスクが不明であり、管理者の知らないクラウド利用経由で、機密情報が漏洩するリスクがあります。

CASB(シャドーITが可視化、制御する範囲

これらのリスクに対して、CASBによるシャドーIT対策を行うことで、社内ゲートウェイ製品のログを解析し、従業員様の見えないクラウド利用のリスクを可視化します。

例)どのようなリスクのあるクラウドサービスに、どれだけのユーザーがアクセスをして、どれだけのデータをアップロードしているか、特にアクセスしているユーザーは誰か、等。

SaaS:利用管理しているSaaSのセキュリティリスク

SaaS利用のセキュリティ課題に下記のようなリスクが含まれています。

  • ユーザーの利用状況の可視化
  • 外部からのアカウント乗っ取りによる不正ログイン
  • ユーザーが意図、意図しない不正利用による情報流出の危険

CASBによるクラウドの可視化制御

これらのリスクに対して、CASBのサンクションITを利用する事で、APIを用いてお客様が契約しているSaaS内のアクティビティログ、実ファイルを取得し内容を解析する事でリスクを可視化します。またポリシー定義により、ユーザーによる危険な利用の制御が可能です。

CASB ShadowIT / SanctionedITの役割区分

これまで挙げたCASBのシャドーIT(Shadow IT)、サンクションIT(Sanctioned IT)の対応する範囲は下記の通りです。シャドーIT対策では社内からの全てのWebアクセスに含まれるクラウドを可視化しますので、その中には正規で契約をしているSaaS、IaaSといったサービスも含まれます。まず全体のリスク可視化でシャドーIT対策をして頂き、その上で正規のクラウドサービスを細かく可視化、制御するサンクションIT対策をして頂くことを推奨しております。

PaaS/IaaSのセキュリティリスク

PaaS/IaaS領域のセキュリティリスクには、以下のようなリスクが挙げられます。

  • 外部攻撃リスク
    1. IaaS/PaaS独自の設定における設定ミスによる情報流出
    2. 管理者アカウントの乗っ取り
  • 内部リスク
    1. ユーザーの不審な利用
    2. 脆弱な設定の放置

また、特にIaaSでは自由にシステムを構築頂くことが可能ですので、オンプレミス時と同じようなエンドポイント、サーバーセキュリティ対策が必要になり、また、コンテナをご利用の場合はコンテナ専用の対策が必要になります。

CSPMとCWPPの関係性

これらのリスクに対してCSPM、CWPPという領域の製品でセキュリティ対策をして頂く必要があります。それぞれの領域は以下の通りです。

  • CSPM
    1. Control PlaneとIaaS/PaaS設定の監査
    2. AWS, Azure, GCPなどの管理コンソールにおける設定ミスの可視化
  • CWPP
    1. IaaS上のインスタンスや、サーバレス、コンテナなどのワークロードのセキュリティを行う領域
    2. 仮想基盤でオンプレと同等のセキュリティを実現

CSPM:PaaS、IaaSの脆弱な設定や管理者アカウントへの攻撃を検知

CSPMではAPIを用いて、お客様のIaaS/PaaSログや設定情報を取得し、アカウント侵害や脆弱な設定を検知する事が可能です。

  • 脆弱な設定の例
    1. Control PlaneとIaaS/PaaS設定の監査
    2. AWS, Azure, GCPなどの管理コンソールにおける設定ミスの可視化

CWPP:IaaS内に構築したシステムのセキュリティ強化

CWPPではIaaS上のインスタンスや、サーバレス、コンテナなどのワークロードのセキュリティを行う領域ですので、下記の通り、オンプレと同等のセキュリティ製品を導入頂き、対処を行うことが必要です。