オンプレミスとクラウド

オンプレミスとクラウドの違いを解説 特徴や項目を比較

オンプレミスとクラウド

 

「オンプレミス」と「クラウド」は、運用形態だけでなくサービスの利用においてもさまざまな違いがあります。オンプレミスとクラウドではサーバーの運用主体が異なるため、導入時に係るコストからサービスの内容、サービスを使用するために必要な管理保守の範囲なども違います。この記事では、オンプレミスとクラウドの違いを項目ごとに分けて紹介します。

 

オンプレミスとクラウドの特徴

オンプレミスとクラウドは、どちらもネットワークシステムの運用形態です。システムの構築方法からデータの保存方法などさまざまな違いがある各サービスの特長を紹介します。

 

・オンプレミス

オンプレミスとは、サーバー機器やネットワーク機器、ソフトウェアなどを自社内に設置し、社内の担当者が運用する形態のことです。「自社運用」とも呼ばれます。すべてのシステムを自社で運用、完結しているのが大きな特長です。

社内でのみ使うことから、自社の業務に最適なシステムを構築・運用できます。オンプレミスには、データセンター内でシステムを運用するタイプもあります。データセンターで運用する場合は、自社のサーバールームを利用するよりもセキュリティが高く災害に強いなどのメリットがあります。

 

・クラウド

クラウド(クラウドコンピューティング)とは、インターネットを介してクラウドサービス事業者が所有・管理しているサーバーやストレージ、アプリケーションなどにアクセスして使用する運用形態です。インターネット上からクラウドに接続するだけで、サービスとして提供されるソフトウェアの実行環境やソフトウェア、データサーバーなどを使用することが可能です。

そのためクラウドを使用すると、業務に使用するIT機器やソフトウェアなどを自社で購入して環境を構築・管理するなどの費用や手間がかかりません。インターネットに接続できる環境やパソコン・タブレットなどの端末があればどこからでも契約しているクラウドサービスをすぐに使用を開始できるところも、クラウドの特長のひとつです。

現在では、新型コロナウイルス感染対策や働き方改革などによるテレワークの推進・普及により、クラウドサービスへの移行を行う企業が増加しています。

関連記事:セキュリティ・サポート・コストパフォーマンス全てに優れたパブリッククラウドとは

関連記事:クラウドサービスの日本での利用実態と必要性

 

・クラウドハイブリック

上記のほかに、クラウドハイブリックの形態もあります。クラウドハイブリックは、複数の企業が共有で使用するクラウドサーバー「パブリッククラウド」と自社専用のクラウドサーバー「プライベートクラウド」、物理サーバーなどの各種クラウドや物理サーバーを組み合わせて行う形態です。

セキュリティが高いプライベートクラウドと拡張性が高いパブリッククラウド、処理能力が高い物理サーバーといった、各サービスのメリットを取り入れたハイブリッドなクラウドを構築して、メリットの高い運用が可能になります。

オンプレミスとクラウドの項目別による比較

オンプレミスとクラウドでは、メリットやデメリット、特長に大きな違いがあります。コスト、カスタマイズの自由度、災害リスク、セキュリティなど、項目別に異なる点を比較していきます。

 

・コスト

オンプレミスやクラウドの使用には、導入コストと運用コストがかかります。オンプレミスの場合はサーバーやネットワーク機器を購入して自社内に設置・環境を構築しなければならないため、かかる導入コストは高額です。導入後は、ソフトウェアやシステム使用にコストが発生しません。ただし、自社でシステムの運用保守をするために人件費がかかります。

クラウドでは、サービス事業者が管理しているサーバーやアプリケーションなどのサービスを使用するため、自社サーバーの設置費用がかかりません。サービスの使用料を支払うだけになり、導入コストは抑えられます。使用には月額料金が発生しますが、運用保守の人件費は不要、一度に高額のコストがかかることはありません。

 

・カスタマイズにおける自由度

クラウドよりもオンプレミスの方がカスタマイズ性が高い特長があります。オンプレミスは自社でサーバーを設計して専用のネットワークシステムを構築するため、自社の業務に適した仕様にカスタマイズすることが可能です。

クラウドではサービス事業者が提供しているサービスを使用します。提供されるサービスの範囲内で使用するため、自社専用システムを構築する場合と比較すると、細かいカスタマイズはできません。

 

・災害などのリスク

オンプレミスでは自社内にサーバーを設置しているため、建物が自然災害により被害を受けた場合、バックアップデータまで消失する恐れがあります。サーバーに不具合が出た際には自社で復旧を行わなければなりません。専門知識を持つIT人材の不足が懸念されている現在では、担当者の不在などにより災害時の備えが難しいケースもあり注意が必要です。

対してクラウドの場合は、企業が災害に遭ったとしてもシステムやデータはサービス事業者のサーバー上で管理されているため物理的な被害を受けにくい特長があります。システム上の不具合が発生した場合には、サービス事業者が復旧作業も行います。企業はインターネットを介して復旧されたことが確認できたら、そのままサービスの使用が可能です。

 

・セキュリティ

オンプレミスは、自社で設計・開発を行うため、高いセキュリティを求める場合には独自で強固なセキュリティ環境を構築することが可能です。ネットワークが企業の外部に接続していないことからも、利用者が制限され強固なセキュリティ体制が構築されます。

クラウド型では、サービス事業者が提供しているソリューションのセキュリティ対策により安全に使用することが可能です。サービス事業者は経済産業省が公表する「クラウドセキュリティガイドライン」など安全性を高めるための対策を実施し、事業者ごとにそれぞれ異なるセキュリティ対策が組まれています。クラウドサービスのセキュリティを重視する場合には、自社のセキュリティ基準に対応しているかなどを確認することが重要です。

 

・管理と保守の手間

社内にサーバーを設置しているオンプレミスの場合、サーバーの管理と保守が必要になります。それに伴い、管理・保守を行う運用担当者の人件費や管理費用などがかかります。サーバーの保守期限が訪れた際には、その都度アップグレードもしなければなりません。

対してクラウドの場合には、企業側はサービスを使用するだけで、管理と保守の手間がかかりません。サーバーの保守・管理はサービスを提供する事業者が行うため、サーバーのメンテナンスや保守期限への対応をすべて任せられるメリットがあります。

 

 

まとめ

オンプレミスは、自社内にネットワークやサーバーを設置して保守管理まですべてを行う運用形態です。仕様を自由にカスタマイズ可能、高いセキュリティが実現できますが、導入時には高額のコストがかかります。また、災害時のデータ損失、不具合時の復旧対応、保守管理の手間などに不安があります。

対して、クラウドでは業者がサービスとして提供しているサーバーやアプリケーションなどを使用します。月額料金を払って選択したサービスを利用する形になるため、セキュリティの高さは事業者によって異なり、導入時に大きなコストはかかりません。さらにデータの保護から保守管理までを事業者に任せられます。運用形態は特長がそれぞれ異なるため、目的に沿って導入を決めることが重要です。

 

 

cloudbric - press release

【セミナーレポート】パブリッククラウド、セキュリティの必然性と戦略とは

先日、ペンタセキュリティシステムズ株式会社とデジタル・インフォメーション・テクノロジー株式会社(DIT社)は、「パブリッククラウド、セキュリティの必然性と戦略 」をテーマに共同セミナーを行いました。

パブリッククラウド活用時、最も注目すべきポイントであるセキュリティの必然性と戦略、企業側のマインドセットについて分かりやすく解説していますので、時間があれば、是非チェックしてみてください。

 

それでは、セミナーの内容を簡単にまとめてお届けしたいと思います。

企業のDX進展などに伴い、日本国内のパブリッククラウドサービス市場は高成長を続けています。

MM総研の調査によると、2024年までのクラウドサービス市場全体の年平均成長率は18.4%と高水準になる見通しとなっています。

オンプレミスからクラウドへの移行が進むにつれ、クラウド利用を前提としたシステム開発を進める環境が整い、結果としてクラウドシフトに弾みがつくと見られます。その中でも特に「パブリッククラウド」の場合は、今後も高い成長が続くと予測されます。

パブリッククラウド活用が急速に進んでいる今こそ、改めて、「セキュリティ」を考えてみる必要があります。

従来のオンプレミスでのセキュリティを考えてみると、比較的シンプルでした。「閉じる」、つまり機密性を重視し、情報共有が狭い範囲で行われるようにし、安全性を確保するという考え方であったと言えます。しかし、「オープンされている」、「共有されている」といったパブリッククラウド上では、従来の考え方のままでは問題発生は避けられません。パブリッククラウドといった時代の大きな流れに対して、企業側にも新たな心構えが求められます。

 

クラウドのセキュリティを考えるには、まずクラウドの特殊性を考慮しなければなりません。それは「データ」です。

殆どのクラウドサービスでは「責任共有モデル」という考え方を提案しています。責任共有モデルに基づき、インフラとプラットフォームにおけるセキュリティは、CSP(クラウドサービスプロバイダー、Cloud Service Provider)の責任範囲で、データ保護に関しては利用者の責任範囲となっています。

ここで企業側は責任転嫁モデルと揶揄せずに、データを保護するセキュリティ対策を企業の方で考えて行くという「データ主導権モデル」として取り組んでいく必要があります。

そして、データの主導権を持つ企業自ら、「セキュリティ投資」という観点での対策を立てていく必要があります。企業イメージとお客様からの信頼もセキュリティ投資と直結しているだけあって、ビジネスを守る、事業継続性という考え方での取り組みが必要です。

他にも、パブリッククラウド上で選択できるセキュリティ・ソリューション形態や戦略などについて詳しく解説しておりますので、是非動画をチェックしていただければと思います。また第2弾では、パブリッククラウドを利用されている企業のセキュリティにおける悩みの解決策としての「DIT Security」について話します。こちらも是非チェックしてみてください。

https://youtu.be/gpER3_bE7Yk

 

セミナーの資料ダウンロード

[tek_button button_text=”セミナー資料ダウンロード” button_link=”url:%23popmake-31109|title:%e3%80%90%e3%82%bb%e3%83%9f%e3%83%8a%e8%b3%87%e6%96%99%e3%80%91%e3%83%91%e3%83%96%e3%83%aa%e3%83%83%e3%82%af%e3%82%af%e3%83%a9%e3%82%a6%e3%83%89%e3%80%81%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86||” button_position=”button-center”]
 

クラウドセキュリティリスク

オンプレミス環境とは違うクラウド環境に適切なセキュリティ対策とは? まずクラウド環境向けWAFを導入すべき


総務省調査の令和得元年通信利用動向の「クラウドサービス利用状況」からみると、国内企業の64.7%がクラウドサービスを利用していると答え、導入効果については「非常に効果があった」又は「ある程度効果があった」のような応答が8割を超えています。企業システムのクラウドシフトによって変化しつつあるIT環境に必要とされるセキュリティ対策にも変化があるはずです。そのため、クラウド中心に変化したIT環境に最も適切なセキュリティ対策は何かを把握することが、クラウド導入の前後を問わず解決すべき課題だと言えるでしょう。そこで今回は、従来のIT環境とは違うクラウド環境の特殊性を理解し、クラウド環境に適切なセキュリティとは何かをお伝えしたいと思います。

 

クラウド環境の特殊性を理解したセキュリティ

Accenture の調査によると企業のクラウド移行を妨げる障壁として「セキュリティ」が挙げられています。

 企業はクラウド導入の際、新たなIT環境がサイバー攻撃者の浸透経路にならないよう、クラウド環境に適切なセキュリティ対策に取る組む必要があります。そのためには、まず従来のIT環境とは違う「クラウド環境のみの特殊性」を理解しなければりません。

責任共有モデル

AWS、Azure等のCSP(Cloud Service Provider、クラウドサービス企業)は安全なクラウド環境のために、様々なセキュリティポリシーやサービスをビルトインさせました。

しかしそれだけでセキュリティが担保できるとは言い切れません。CSPの提供するセキュリティサービスはクラウドセンター自体を守ることに限定され、クラウドにて仮想的に結合された顧客のシステムやデータまで保護するものではありません。

AWSをはじめとしたCSPは、クラウドの情報セキュリティに関して一般的に「責任共有モデル」という考え方を採用しています。これは、CSPとユーザ(顧客)で責任範囲を明確にし、全体のセキュリティを担保しようという考え方です。こちらのイメージをご覧ください。


引用:AWS 責任共有モデル

こちらのイメージは、AWSの「責任共有モデル」を示した図であります。イメージの上半分はユーザ(顧客)が担う責任部分、下半分のオレンジ色の範囲はクラウド提供企業(AWS)が責任を負うクラウドのセキュリティ分担です。ネットワークやコンピューティングなどクラウドプラットフォームに対するセキュリティの責任はCSPにあり、クラウド内部のデータ、OS、トラフィックなどに対するセキュリティの責任は顧客にあります。

つまり、クラウドにて結合されたシステムやデータなどにおけるセキュリティの主導権はユーザ側にあるため、ユーザ自らセキュリティ対策を厳重に点検し、どのようなセキュリティ対策を導入するかを決定する義務があるとのことです。

仮想化と分散処理技術

クラウド環境もオンプレミス環境と同じくアプリケーション、システム、ネットワークレベルに分けられます。そして、クラウドといっても実は、クラウド環境にて使用されているデータは最終的に物理的サーバ上に保存されます。このように、クラウドの基本的な構造はオンプレミスと類似ていますが、「仮想化と分散処理技術」によってユーザビリティを高め、更に柔軟性の高い環境にてデータを活用できるというクラウドならではの特殊性もあります。

つまり、クラウド環境は従来のオンプレミス環境に仮想化・分散処理技術を加えたもので、セキュルティ対策もクラウド環境の特殊性に対応できる形態が求められます。WAF導入の例を挙げて

簡単に言いますと、「仮想化と分散処理」ができるWAFが、クラウド環境に最も適切なWAFであることです。
WAFの他にも、クラウド環境のために考慮すべきセキュリティ要素は多い、これらもまたクラウド環境のみの特殊性を理解してからセキュリティ対策構築に取り組む必要があります。

 

クラウド環境に必ず必要なクラウド型WAFサービス

それでは、クラウド導入の際に、どのような領域のセキュリティを優先すべきでしょうか。こちらはクラウドをアプリケーション、システム、ネットワーク3つのレベルで分類し、レベルごとにセキュルティ重要度のランクをつけた表です。

この表をみると、アプリケーションレベルは最も脆弱で、最も攻撃されやすい領域であることが分かります。そのため、アプリケーションレベルのセキュリティを最優先し、クラウド環境の基本的な安全性を確保しなければなりません。

情報セキュリティ専門企業ペンタセキュリティはクラウド環境の特殊性に対する理解を基にクラウドセキュリティを実現する「Cloudbric WAF+」を提供しております。

Cloudbric WAF + : 5つの必須セキュリティサービスをクラウド環境にて提供

安全なクラウドシフトのために、多くの企業がクラウド環境のセキュリティに投資していますが、セキュリティ担当者不在、コスト、クラウドに対する理解不足などによって対策に踏み切れない問題を抱えています。このようなセキュリティ課題を解決できる簡単かつ安全なセキュリティ対策がCloudbric WAF+です。

Cloudbric WAF + はクラウド型でWAFサービスを提供するSaaS型WAFサービスであります。該当サービスにはWAF機能のみならず、DDoS保護、SSL証明書、脅威IP遮断、悪性ボット遮断まで、必須的なセキュリティサービスを1つのクラウドプラットフォームにて統合し、ユーザのクラウドセキュリティをサポートします。特に全ての要素がクラウドにて起動するため、別途の設置や、メインテナンス過程の必要なく、簡単に利用できるというメリットがあります。

 

最後に

企業のクラウドシフトは、今までより拡大していくと見込められますが、セキュリティに対する十分な理解のないITシステムシフトは、サイバー攻撃者らの浸透を簡単に許すリスクを抱えています。クラウドセキュリティのリスクをカバーするためには、クラウド導入に先立ち従来のIT環境とは違うクラウド環境の特殊性への理解を基に、必要なセキュリティ要素は何かを把握することが最重要ポイントだと言えるでしょう。

Cloudbric WAF+

クラウド型WAF

企業における現在のWebセキュリティ問題と、クラウド型WAFによる対策

現在はクラウドサービスをはじめとしたWeb上のサービス・セキュリティの進化が目覚しく、多くの企業がそれらのサービスを利用しています。一方で、企業の機密情報を狙うハッカー達によるサイバー攻撃も同じように巧妙・複雑化し、セキュリティとのいたちごっこが続いていて、情報漏洩をはじめとする多くの被害が、企業の規模を問わず発生しています。

本記事では、2020年に起きたサイバー攻撃の傾向と、国内企業のWebセキュリティが脅かされた実際の事例を紹介し、その対策となるWebセキュリティ対策についても見ていきたいと思います。

 

2020年のサイバー攻撃の傾向

2020年上半期にはコロナウイルスの世界的な流行があり、ハッカー達はそれに便乗して、各国の政府や医療機関をはじめ、膨大な個人情報や機密情報を持つ企業などを標的にサイバー攻撃を行うケースが急増しました。不特定多数にばらまくスパムメールだけでなく、特定の企業を標的としたランサムウェアによる計画的な攻撃が急増し、より戦略的で高額の身代金を要求する事件が多発する結果となりました。

特定の法人企業を対象としたサイバー攻撃の特徴として「侵入経路の多様化」、「クラウド環境特有の脅威」、「侵入後の内部活動の常套化」の3つが挙げられます。メールによる攻撃はもちろん、テレワーク環境への移行に伴い、VPNによる通信の際、正規のユーザのアカウント情報を入手して本人になりすまして侵入したり、VPN装置の脆弱性を悪用する方法で攻撃がおこなわれたり、Zoomのインストーラーにバックドア型マルウェアとボットが含まれたものなどが確認されています。Zoom自体は正規の物を利用して正常に使用できるだけに、サイバー攻撃であることに気付くのが難しいという特徴を持っています。

以上のように、コロナ禍によるテレワーク環境の弱点をついた、「末端である従業員のモバイル端末を狙った攻撃」と、「クラウドサービスを狙った攻撃」が激化しているのが現在のサイバー攻撃の特徴だと言えるでしょう。

 

国内企業のWebセキュリティが脅かされた最新の事例

2020年はコロナ禍によってテレワークでの仕事が広く普及しましたが、それと同時に多くの企業が自社のセキュリティ面を見直し、強化していくことを余儀なくされました。現在の企業の機密情報を守るセキュリティは、自社内のみのクローズドな環境で完結するわけではなく、会社から離れた遠隔地からでも仕事をおこなえる、オープンな環境作りが必要となっています。しかし、テレワークで仕事を行うという試みは、日本ではまだまだ始まったばかりであり、末端の従業員のセキュリティに対する意識も含め、日本のセキュリティ対策はまだまだハッカーのサイバー攻撃に狙われやすい、多数の穴が空いている状態だといって良いでしょう。実際に2020年は数多くのサイバー攻撃が日本企業を襲い、多数の被害が出てしまう結果となりました。ここでそれぞれの被害の具体例を紹介していきますので、今後の為の参考にしてみましょう。

・電子決済サービスの不正利用

2020年もっとも被害が大きかったのは、電子決済サービスの不正利用です。2020年9月、銀行口座の情報を不正に入手した犯人がドコモ口座を開設しその銀行口座と連携し、被害者を装うことによって銀行からドコモ口座にお金を不正に出金するという、セキュリティの穴を突いた方法で多額のお金を騙し取った事件です。

最初にこの手口が露見したのはドコモ口座ですが、その後PayPay、Kyash、LINE Payにおいても同様の不正出金が確認されました。この事件による被害総額は2,800万円以上と言われています。

・ゲームメーカーの顧客情報流出

2020年11月には大手ゲームメーカーであるカプコンが「Ragnar Locker」と呼ばれるランサムウェアによってサイバー攻撃を受け、およそ35万件もの顧客情報が流出したとされています。

ハッカー達は盗んだデータを暗号化し使えなくさせ、データの復旧と引き換えに多額の金銭を要求し、さらには内部の機密情報をインターネット上で暴露するという脅迫でもお金を要求するという、「二重搾取型」の攻撃であった点がこの事件の特徴です。

コロナ禍によってオンラインゲームの需要が高まってる中、ゲームメーカーはサイバー攻撃に狙われた際のダメージが大きいと踏んで、カプコンがハッカー達の標的にされたと考えられています。

・特別定額給付金を装ったフィッシング詐欺

2020年5月に10万円の特別定額給付金が給付され始める中、自治体を装ったメール、ホームページによるフィッシング詐欺が大量に発生しました。

フィッシング詐欺によってアカウントIDやパスワードといった個人情報から、クレジットカードの番号や口座番号などの情報まで引出そうとしたり、ATMを用いて手数料を騙しとろうとするなど、悪質な手口での詐欺が横行することとなりました。

 

クラウド型WAFとは

現在、上記したサイバー攻撃に対するWebセキュリティ対策として、「クラウド型WAF」のサービスが注目されています。軽くクラウド型WAFの説明を行うと、まずはじめに「WAF(Web Application Firewall)」とは、Webサイト上のアプリケーションに特化したファイアウォールのことを指します。ユーザーからの入力を受け付けや、動的なページを生成したりするタイプのWebサイトを、不正な攻撃から守ることが WAFの役割となります。

通常のファイアウォールと違い、アプリケーションレベルでデータの中身を解析することができ、アプリケーションにセキュリティ上の問題があったとしても、それを無害化でき、ISMS(組織内の情報の機密性、完全性、可用性の3つすべてをバランスよく管理するための枠組み)の実現や、PCIDSS(クレジットカード情報保護を目的として定められた、情報セキュリティ基準のこと)に準拠しているため企業の情報戦略面としても需要が高く、注目されていました。

そして、クラウド型WAFとは、その名の通りクラウド上に設置するセキュリティ対策ツールとなります。現在ではWAFといえば、このクラウド型WAFが主流となっています。それでは何故現在クラウド型WAFに大きな需要があるのか、クラウド型WAFのメリットと、利用する上での注意点を交えて紹介していきましょう。

・クラウド型WAFのメリット

クラウド型WAFはクラウドサービスであるため、通常のWAFよりも安価で導入することが可能となっています。またサービス契約後日を待たずして利用できるため、トラブルに巻き込まれた際すぐに問題に対処することが可能になっています。

そしてクラウドサービスの特徴として、運用をベンダーに任せることができます。社内でセキュリティの専門家を直接雇用する必要がなく、メンテナンスも一任できるため、運用面でも大きくコストカットすることが可能となっています。

・クラウド型WAFを導入する際に注意すること

コスト面と利便性において大きなメリットを持つクラウド型WAFですが、導入する際に注意することがあります。まず先述したようにベンダー側に運営を一任できることがメリットのひとつと書きましたが、裏を返せば自社が運営に干渉することはほとんどできないため、サービスの質はすべて契約したベンダー次第ということになります。ベンダーに運営を一任する以上、トラブル発生の際すぐに対処できる専門家の人数や対応範囲など、そのサポートの質がどれくらいなのかが選定の際に重要となります。

またクラウド型であるため、自社のシステムに合わせたカスタマイズを行うことが非常に困難となります。そのため少しでも自社のシステムに沿った形のクラウド型WAFサービスを選んで、契約することが求められます。

他にクラウド型WAFはベンダーごとに料金形態が異なります。トラフィック量に合わせて料金が増減するものや、固定料金の場合もあるので、性能やサービスの質などと合わせて考慮しましょう。

 

さいごに

2020年以降、コロナ禍とクラウドサービスの増加による、セキュリティ環境の変化を突いたサイバー攻撃の特徴と、その対策となるクラウド型WAFのメリット・デメリットと注意点を見ていきました。

クラウド型WAFは安価で導入のしやすいことから、これからのセキュリティ対策として非常に利用されるようになるサービスですが、その特徴をきちんと踏まえた上で、自社に最適なベンダー選びを行うことが求められます。今回紹介した事例と特徴を踏まえて、より最適なセキュリティ環境を構築できたら幸いです。

Cloudbric WAF+は企業向けにカスタマイズされたセキュリティサービスを提供します。クラウドから仮想専用サーバー、オンプレミスまでお客様のシステム環境に合わせて提供できます。

Cloudbric WAF+の詳細はこちら

Cloudbric WAF+

パブリッククラウド

セキュリティ・サポート・コストパフォーマンス全てに優れたパブリッククラウドとは

「パブリッククラウド(クラウドコンピューティング)」とは、クラウドサービスプラットフォームからインターネット経由でコンピューティング、データベース、ストレージ、アプリケーションをはじめとした、さまざまな IT リソースをオンデマンドで利用することができるサービスの総称です。IoTの浸透にも伴い、日本国内のクラウド市場は近い将来1兆円を超える規模になると言われており、現在急速に普及しています。世界的規模でみると、Amazon Web Services (AWS)、 Microsoft Azure、Google Cloud Platform (GCP) 、IBM Cloudといったメジャーサービスが現在シェアの半数以上を締めていますが、どんどん新しいサービスも登場しています。今回はクラウドコンピューティング時代に求められる本当に良質なクラウドサービスの選び方や、セキュリティソリューションについて解説していきたいと思います。

 

クラウドとは

クラウドは大きく分けて「パブリッククラウド」と「プライベートクラウド」の2つに分けられます。パブリッククラウドとは、企業や個人など不特定多数のユーザに対し、インターネットを通じて、サーバやストレージ、データベース、ソフトウェアなどのクラウドコンピューティング環境を提供するサービスのことを言い、AWS等もパブリッククラウドに含まれます。特定ユーザにのみ向けたプライベートクラウドと異なり、パブリッククラウドは高額のハードウェアや通信回線を自社で購入・保守する必要がなく、必要なときに必要な量のクラウド環境を、素早く利用することが可能となります。

プライベートクラウドとは、ひとつの企業のためだけに構築された環境を提供するサービスのことです。企業がクラウドコンピューティングのシステムを自社で構築し、企業内の部署やグループ会社のみでクラウドサービスを利用します。パブリッククラウドが誰でも使えるサービスであるのに対し、より利用者が限られたクラウドサービスと言えます。企業内でシステムを構築・管理できるので、より柔軟に運用できます。プライベートクラウドは、「オンプレミス型」と「ホスティング型」の2つがあり、オンプレミス型は独自のサーバを所有し、独自のクラウド環境が構築できます。ホスティング型は、サーバや設置場所はクラウドのプロバイダーが提供し、システムの一部を企業が占有して利用する方法です。

 

代表的なパブリッククラウド

・AWS

AWSは2006年からサービスを開始しており、世界では売上でトップシェアクラスのユーザ数を誇ります(米調査会社のガートナー2020年8月発表、2019年の世界シェア45%)。AWSはAmazonが自社商品の在庫管理やデータ分析を行うため、インフラやアプリケーションを一般利用者に公開したのが始まりです。クラウドコンピューティングを利用して、ストレージやデータベース、サーバなど、さまざまなサービスを貸し出しています。

AWSはサーバやストレージなどのインフラを提供するIaaS(Infrastructure as a Service)の種類が豊富なため、パブリッククラウドによるシステムの構築では、OSやミドルウェアの制限が少ないのが特徴です。その点では、利用者側でOSを含めたソフトウェアのセキュリティ管理などまで行う必要があります。

・Microsoft Azure

Microsoft Azureとは、2008年10月にマイクロソフト社のデベロッパーカンファレンスで発表され、2010年10月に「Windows Azure」としてサービスを開始しました。クラウドだけでなくオンプレミスでもMicrosoft Azureと同様の機能を利用することのできる「Azure Stack」が提供されていることも特長の一つです。さらに、アプリケーションとサービスのオンライン上のマーケットであるAzure Marketplaceでは、Microsoftやそのパートナーから提供されるサービスやツールを利用することができます。

・GCP

Google Cloud Platform(GCP) とは、Google がクラウド上で提供するサービス群の総称です。Google 社内で使われているものと同じテクノロジーやインフラを使用して、お客様のインフラ環境をクラウド化できます。

基本的な構成要素が初めから各種サービスとして用意されているため、それらを使用してすばやく開発を行うことができます。日本では2016年の11月から提供開始しています。

 

パブリッククラウドベンダーの選び方

メジャーなパブリッククラウドはそれまでの実績や規模から安心を覚え導入する企業も多いですが、パブリッククラウドベンダーを選ぶ場合は「メジャーである」という以外にも、きちんとサービスの質や信頼性をチェックする必要があります。パブリッククラウドを提供する事業者の信頼性は一つの重要な指標となります。会社の経営規模、事業としての安定性、そしてサービス利用者の数や、過去の事故情報の有無や安定性、そして何よりコストパフォーマンスが重要になってきます。

大規模な障害の影響

大きくなったデータセンターに障害や災害による被害があるとその影響は大きく、昨年、日本時間2019年8月23日に業界トップのAWSのサーバに数時間の障害があり、アクセス不能となっただけでも、その障害の影響力の大きさは大々的に報じられました。しかも障害発生中リアルタイムでサポートが受けられないことに不満の声も噴出しました。

メジャークラウド以外にも長い実績とクオリティの面優れたベンダーもあります。「Linodeクラウドコンピューティング」はアマゾンのAWSの3年前の2003年に設立されたクラウドプロバイダーです。Linodeには、「専門家によるリアルタイムサポート体制」「コストとパフォーマンスの最適化」「クラウド料金のコスト削減を実現」「オープンクラウド (ベンダーロックインなし)」といったAWSと異なるアドバンテージが存在します。

コストパフォーマンス

クラウドコンピューティングを導入するメリットの一つに、オンプレミスに比較し、通産でのコストパフォーマンスがよいというのがあげられます。しかし、メジャーに代表されるAWSはそのコスト試算が非常に分かりにくいという声がしばしば聞かれます。実際本当に安いの?というのに疑問があるのです。

信頼性コストパフォーマンスから選ぶならLinode

AWSの代替としてお勧めしたいのがLinodeクラウドコンピューティングです。LinodeはアマゾンのAWSの3年前の2003年に設立されたクラウドプロバイダーです。

  • コストとパフォーマンスの最適化
  • クラウド料金のコスト削減を実現
  • オープンクラウド (ベンダーロックインなし)
  • リアルカスタマーサービス
  • 100%独立したオープンクラウド
  • シンプル
  •  非競合

LinodeではAWSとは異なるこれらのアドバンテージを掲げ、現在世界中で800000人の利用者と開発者に選ばれています。

Web脅威を可視化し、遮断するクラウド型WAFを提供するクラウドブリックは、Linodeの日本パートナーです。詳細はこちらの記事をご覧ください。

 

進化するパブリッククラウドのセキュリティ

パブリッククラウドとプライベートクラウドはどちらにもメリットとデメリットがあります。パブリッククラウド多くは初期費用が無料なため、低コストで導入できるのがメリットです。ただしセキュリティ面では、専有環境を持てるプライベートクラウドの方が優れているとも言われてきました。そのため、セキュリティを含め、自社が必要とする要件や規模に合わせてプライベートクラウドを導入する企業も多かったのです。

CASB(Cloud Access Security Broker)

「CASB(Cloud Access Security Broker)」は2012年に米ガートナーが最初に提唱したクラウドサービスに対する情報セキュリティコンセプトです。一般的に「キャスビー」と呼ばれます。CASBのコンセプトは、「ユーザー(企業)と複数のクラウドプロバイダーの間に単一のコントロールポイントを設けて、クラウドサービスの利用状況を可視化/制御することで、一貫性のあるセキュリティポリシーを適用する」ことです。サービス利用においてインターネットを経由する際にCASBを経由させることでセキュリティを担保することができるようになります。CASBの機能には可視化・分析、コンプライアンス、データセキュリティ、脅威防御といったものがあります。

  • 従業員や部署単位でのクラウドサービス利用を可視化し、把握できる
  • 自社のコンプライアンスに合致したクラウドサービスを利用できる
  • 複数のデータ保護対策を、クラウドサービスに上げる際に適用できる
  • マルウェア対策や、内部不正を検知して迅速に対処できる
  • セキュリティ対策における多層防御を強化できる

こうしたセキュリティが導入されているパブリッククラウドは安心して利用することが可能です。もちろんLinodeのすべてのデータセンターは、24時間365日のオンサイトセキュリティ診断、アクセス制御など、最新の設備を維持されています。

情報漏えい対策WAF

個人情報がつまったECサイトが狙われている!ECサイトが受ける不正アクセス攻撃とリスクについて徹底解説 


ECサイトが受けるセキュリティ脅威として、主に「個人情報漏えい」と「クレジットカードの不正利用」があります。個人情報漏えいは、外部からの不正アクセス(サイバー攻撃)によって、自社で保有している個人情報が流出してしまうことです。近年、特に「パスワードリスト攻撃」の被害によって個人情報が流出してしまうサイトが相次いでいると危惧されています。今回は2回に分けて、ECサイトが受ける攻撃とその事例、そして対策についてまとめてみました。第一回目は「パスワードリスト攻撃」による情報漏えいについての手法を中心にご紹介します。

 

ECサイトが受ける不正アクセス攻撃とリスク

ECサイトは購入者の個人情報やクレジットカードといった、サイバー攻撃者に狙われやすい情報が蓄積されていて格好のターゲットとなっています。もしECサイトが一度不正アクセスを受けると次のような被害が発生します。

  • 現金化しやすい「ポイントチャージ」商品を大量に購入する。
  • 登録しているクレジットカード情報を盗み出し、別サイトで決済する。
  • 住所を変更し、現金化しやすい商品を大量に購入、発送する。

不正アクセス攻撃によってサイト運営者がうけるリスク

ECサイトが攻撃を受けて顧客の個人情報やカード情報等が流出すると、以下のようなリスクが発生します。

  • 購入者をはじめ、社会からの信頼を失墜。
  • 事実告知やお詫び等の費用・労力。
  • 当該サイトを一時閉鎖することによる、売上減少。
  • 漏洩原因の調査、システムの改修等の費用。
  • 購入者様のカード差替費用。
  • 行政当局、マスコミへの対応。
  • 個人情報流出への損害賠償の支払い。

こうしたリスクは社会的信用の失墜の他、莫大な損害賠償等金銭的負担も大きくかかってくる場合があります。サイト運営者が、情報が流出した顧客一人一人に賠償しなければならなくなることもあります。個人情報流出の損害賠償平均額は年々莫大になり、JNSAの『2018年 情報セキュリティインシデントに関する調査報告書』によると、一件あたり平均想定損害賠償額は6億3,767万円ともなりました。企業価値の維持とリスクヘッジのため対策が絶対不可欠になってきます。

 

パスワードリスト攻撃の手法

パスワードリスト攻撃

「パスワードリスト攻撃」とはリスト攻撃とも言われ、オンラインサービス等への不正ログインを狙った不正アクセス攻撃の一種です。何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧や窃盗などを行うサイバー攻撃です。このリストは他のサービスから流出、窃取されたIDとパスワードのリストで、他のサービスでも同様のID、パスワードを利用している場合には総当たりが不要で、リストに従って不正アクセスを試行すれば簡単にアカウントの乗っ取りが可能になります。

ユーザがとあるサイトA、サイトB、サイトCで同じパスワードを使いまわしていた場合、どこか一つのサイトが攻撃を受けてそのパスワードリストが流出すれば、他のサイトもアカウントを不正に乗っ取ることが可能になります。ユーザ側がパスワードを使い回す理由は、「各サイトともに、大文字小文字、数字、記号などを組み合わせるパスワードを求めているが、こうした複雑なパスワードをたくさん覚えられない。よって、要件を満たすパスワードを1つ作って、そのパスワードを複数のサイトで使い回すのが便利」という考えからです。

パスワードリスト攻撃による被害が増えている理由として、IDとパスワードがセットになったリストが「ダークウェブ」(闇ウェブ)などで販売されている点があげられています。仮にサイトAからパスワードリストが流出し、サイトAがパスワードの変更等措置を講じても、他のサイトではそのパスワードを使える可能性が高く、攻撃者は別なハッカーに対して、「ショッピングサイトAから流出したパスワードリスト」を販売する手法をとることもあります。匿名性が高い「ダークウェブ」上で情報のやり取りをし、決済はビットコインなどの「仮想通貨(暗号資産)」を使い、「誰がどこで決済したか」が分からないように売買を行います。

その他の攻撃

ネットショップの中にはカスタマイズ性の高いオープンソースのショッピングカートを使ってるところもあります。しかしきちんとバージョンアップへの対応等メンテナンスを行えていないところもあり、そうした場合、カートシステムのプログラムの脆弱性を突かれ不正アクセスを受けることもあります。

 

パスワードリスト攻撃による実際の攻撃事例

ヤマト運輸がクロネコメンバーズ3467件の不正ログインを確認 - 2019年7月25日
ヤマト運輸は7月24日、クロネコメンバーズのWebサービスにおいて外部から「パスワードリスト攻撃」(他社サービスから流出した可能性のあるIDとパスワードを利用して、Webサービスにログインを試みる手法)による不正ログインがあったことが判明したと発表した。
同社によると、7月23日に特定のIPアドレスからの不正なログインを確認し、緊急の措置として該当のIPアドレスからのログインを遮断するなどの対策を講じた上で調査した結果、不正なログインに使用されたID・パスワードは同社で使用されていないものが多数含まれており、他社サービスのID・パスワードを使用したパスワードリスト攻撃による不正ログインと判明したという。
引用:https://news.mynavi.jp/article/20190725-865750/

「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて -2019年05月14日
株式会社ファーストリテイリング株式会社ユニクロ株式会社ジーユー弊社が運営するオンラインストアサイト(ユニクロ公式オンラインストア、ジーユー公式オンラインストア)において、お客様ご本人以外の第三者による不正なログインが発生したことを、2019年5月10日に確認しました。
今回の不正ログインは、2019年4月23日から5月10日にかけて、「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われ、現時点判明分で不正ログインされたアカウント数は、461,091件となります。
引用:https://www.uniqlo.com/jp/ja/contents/corp/press-release/2019/05/19051409_uniqlo.html

「カメラのキタムラ」にリスト型攻撃で不正アクセス、個人情報が閲覧された可能性 -2020年6月17日
キタムラは6月15日、ECサイト「カメラのキタムラ ネットショップ」で“なりすまし”による不正アクセスが発生したと発表した。
不正アクセスの手法は、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行うサイバー攻撃「リスト型アカウントハッキング(リスト型攻撃)」。
悪意の第三者が外部で不正に取得したと考えられるメールアドレス・パスワードを使い、「カメラのキタムラ ネットショップ」に不正ログインを試行。複数人の会員情報で不正アクセスが行われ、顧客情報が閲覧された可能性があるという。
引用:https://netshop.impress.co.jp/node/7742

こうした大手のサイトでも次々とパスワードリスト攻撃の被害が生じています。いつ自社が被害にあうか常に危機意識を持つ必要があります。

パスワードリスト攻撃への対策にも有効なWAF

「パスワードリスト攻撃」などは、ユーザにパスワードの使い回しをやめるよう注意喚起する方法もあります。もちろんそれだけではセキュリティ対策として不十分です。ECサイトへの攻撃を運営側が防ぐには次のような対策を取り入れるのが推奨されています。

  • 多要素認証(二段階認証)が導入されている。
  • リスクベース認証が導入されている。
  • これまでログインされたことがないIPアドレス (接続元) からアクセスがあった場合のみ、追加の認証を要求する。
  • 住所変更、クレジットカード変更など、重要な情報を変更するときには、ID・パスワード以外の情報を追加で要求する。
  • ログインすると、自動のメールなどで「現在ログインされました」という通知が送られる。(万が一不正アクセスが発生しても、早期に気付ける仕組み)

こうした「セキュリティに強い」サイトにするには手間をかけるか、ツールの導入も検討すべきでしょう。例えばクラウド型WAF(Webアプリケーション・ファイアーウォール)ならばWebサイトやWebサーバへのサイバー攻撃を可視化し、攻撃をブロックすることも可能です。例えば同じIPアドレス(端末)から連続して異なるアカウントでの大量ログインを検知した際、ID・パスワードが実際に存在するか否かに関わらず強制的にそのアクセスを遮断するような機能も備わっています。そのため今回ご紹介したような「パスワードリスト攻撃」への有効な対策となります。

クラウド型セキュリティ・プラットフォーム・サービス

Cloudbric WAF+