今やクラウドファーストと言われるように、まず最初にクラウドへのシステム展開を考える企業が一般化しました。しかし、一部の企業では「パブリッククラウドへの移行はセキュリティが心配だ…」という声があることも事実です。これらの声はクラウドが世間に浸透し始めてから現在でもよく聞く話です。実際にクラウド経由で重要情報が漏えいしてしまったという事例もありますし、クラウドに対してセキュリティ的不安を抱くのは仕方のないことかもしれません。
しかし、多くのパブリッククラウド活用ユーザーは何もセキュリティという「安全」を捨てて「便益」と取っているわけではありません。むしろクラウドへの移行によって安全も便益もどちらも手に入れているという企業が大半です。
今回はクラウドがなぜセキュリティ面で危険だと言われているのか?その真偽や、クラウド移行に際し取るべきセキュリティ対策についてご紹介します。
クラウドはインターネット経由だから危険?
クラウドがセキュリティ面で危険だとされている所以は「インターネット経由のサービスだから」という意見がほとんどでしょう。確かに、ニュースで流れるセキュリティ事件に関する情報の多くはインターネットを侵入経路として起こっています。ただしここで忘れないでいただきたいことは「皆さんの会社ではまったくインターネットを使用していないか?」ということです。
ネット社会とも言われている今日、業務遂行にあたってインターネットをまったく使用しないという企業は皆無でしょう。経理や営業などのデスクワークを中心に、業務遂行のためにインターネットへアクセスする回数は日に日に増しています。あるいはブレイクタイムにインターネットサーフィンを楽しむ、という方も多いでしょう。
セキュリティ事件の多くがインターネット経由だとすると、こうした行為やインターネットに繋がれたシステムは明らかにリスクを生んでいます。しかし、これらの危険を排除するために業務遂行端末とインターネット用端末を分けているインターネット分離を行なっている企業や組織は珍しいでしょう。そこまで利用を制限していまうと現代ビジネスを遂行する上で障壁があり生産性を下げてしまうからです。
そこで改めて考えてみてください。インターネット経由で利用するクラウドには確かにリスクがあるかもしれません。しかし、その一方で会社のデータセンターも同じということに他なりません。クラウド事業者のセキュリティと自社データセンターのセキュリティのどちらが堅牢かという話になるわけです。
名の知れたクラウド事業者では、セキュリティにかなりの投資を行なっています。そのことを踏まえるとパブリッククラウドは一概に危険だと判断はできないはずです。
[RELATED_POSTS]
ネットに潜む様々な脅威
とは言いつつもインターネット上に様々な危険があることは確かです。クラウドのセキュリティについて理解するためにも、どんな脅威が潜んでいるかを知ってみましょう。代表的な脅威に関してご紹介します。
脅威①SQLインジェクション
データベースを操作するための言語をSQLと呼びます。このSQLを使ってサーバーから直接的に情報を抜き出そうとするのがSQLインジェクションです。具体的には、データベースを呼び出すために設置されたWebサイト上の入力フォームに不正なSQL文を記入し、実行することでデータベースを外部から操作するという驚異です。インターネット上の脅威の中でもかなり危険度が高いものです。他にもWindowsやLinuxといったサーバーOSを不正に操作するOSインジェクションもあります。
脅威②クロスサイトスクリプティング
Webサイトなどでユーザーが入力した情報に応じて異なるページを表示する機能を「動的Webページ」と表現します。動的Webページでは都度生成されるプログラムが変わるため、そこに不正なプログラムを介入させやすいというリスクがあります。この弱点を利用したのがクロスサイトスクリプティングであり、ユーザーを管理者が意図しないページを飛ばしてしまうという脅威です。それによってユーザー情報が搾取されてしまったり、アカウントを乗っ取られてしまう可能性もあります。
脅威③DDoS攻撃
インターネット上に公開されているサーバーに対して大量のリクエストやパケットを送信して、リソースを枯渇させサーバーを利用不能にするという驚異です。DDoS攻撃。サイバー攻撃の常套手段であり政治的目的で実行されることもあります。
脅威④パスワードリスト攻撃
Webサイトで搾取したアカウントIDとパスワード情報を利用し他のWebサイトで不正ログインを試みるというのがパスワードリスト攻撃です。複数Webサイトで別々のアカウントIDとパスワードを設定するのが面倒というユーザー心理を突いた脅威です。
脅威⑤標的型攻撃
特定のターゲットを決めて実行するものを標的型攻撃と呼びます。2015年には日本年金機構が標的型攻撃に遭い、約120万件の情報漏えいが発生したという事件がまだ記憶に新しいでしょう。標的型攻撃は非常に狡猾で、ターゲットとなる人物の取引先や新規顧客、あるいは政府機関を装ってウイルス感染したメールを送信します。そこに添付されているファイルを開いてしまうと、端末はウイルスに感染して情報漏えいなど重大なセキュリティ事件に発展します。
以上の他にもインターネット上には様々な脅威が隠れています。こうした脅威について知るだけでも、日常のセキュリティ意識を高める良い機会になるでしょう。
[SMART_CONTENT]
クラウドはなぜ安全と言える?
前述のようにインターネット上には様々な脅威が潜んでいます。実際に情報漏えいが起きた例も数ある中、なぜ多くの企業はクラウドを利用するのでしょうか?その答えは「多くの企業がクラウドは安全だ」とすでに理解しているからです。
皆さんの会社ではどういったセキュリティ対策を講じているでしょうか?外部ネットワークとの通信を完全に遮断しない限り、社内システムもインターネット上の脅威に曝されてるのと同じです。こう言うと「うちはファイアウォールを設置してるから問題ない」と反論の声も聞こえてそうですが、果たしてファイアウォールだけですべての脅威に対応できるでしょうか?答えは「No」です。
たとえばSQLインジェクションやクロスサイトスクリプティングといった脅威に対してファイアウォールはほとんど効果を発揮しません。さらに標的型攻撃によってユーザー端末がウイルスに感染すれば脅威はすでにファイアウォールの中にあります。
つまり、外部ネットワークとの通信を遮断しない以上、自社独自に堅牢なセキュリティ対策を講じる必要があります。
一方、クラウドを利用することでセキュリティが向上するという事実があります。これはクラウドというサービスがインターネット経由で提供されており、システム運用をクラウド事業者がすべて行っているからです。ベンダーにとってクラウドのセキュリティ事件は死活問題なので当然堅牢なセキュリティ対策を講じます。データセンターへの物理的対策はもちろん、様々なセキュリティシステムを導入することで外部からの侵入を防いでいます。そのためクラウドを利用することで、特別なセキュリティ対策を講じずともセキュリティが向上するケースが多いのです。
インターネット経由だから危険だと考えられていたクラウドは、実は「インターネット経由だから安全」なサービスだったと言えるのです。
もちろんどういったセキュリティ対策を講じているかはベンダーによって違うため、クラウドを利用する際は各ベンダーのセキュリティ要件を詳細まで確認しておくことが大切です。
クラウドとは?その種類の解説と仮想化との違いについて詳しくご覧ください。
クラウドでNetAppの堅牢なセキュリティ機能を使いたい
NetAppではクラウドを利用するにあたって堅牢なセキュリティ対策が講じれるソリューションを提供しています。
今までオンプレミスで提供されていたストレージOSであるNetApp ONTAPは、ONTAP Cloudとしてパブリッククラウド環境でも提供されます。例えば NetApp Storage Encryption(NSE)は、自己暗号化ドライブを使用して、FIPS 140-2レベル2準拠のAES-256暗号化を実現します。
また、NetApp Private Storageを活用すればパブリッククラウドを活用しながらデータの所有権と制御権を保持することも可能です。
このようにNetAppを活用すればプライベートクラウドだけでなくパブリッククラウドでも有効なセキュリティ対策が講じられますので、今後クラウド移行を検討している場合や既存のクラウド環境に不安を感じてる場合は、NetAppのソリューション導入をぜひご検討ください。
