クラウドセキュリティリスク

オンプレミス環境とは違うクラウド環境に適切なセキュリティ対策とは? まずクラウド環境向けWAFを導入すべき


総務省調査の令和得元年通信利用動向の「クラウドサービス利用状況」からみると、国内企業の64.7%がクラウドサービスを利用していると答え、導入効果については「非常に効果があった」又は「ある程度効果があった」のような応答が8割を超えています。企業システムのクラウドシフトによって変化しつつあるIT環境に必要とされるセキュリティ対策にも変化があるはずです。そのため、クラウド中心に変化したIT環境に最も適切なセキュリティ対策は何かを把握することが、クラウド導入の前後を問わず解決すべき課題だと言えるでしょう。そこで今回は、従来のIT環境とは違うクラウド環境の特殊性を理解し、クラウド環境に適切なセキュリティとは何かをお伝えしたいと思います。

 

クラウド環境の特殊性を理解したセキュリティ

Accenture の調査によると企業のクラウド移行を妨げる障壁として「セキュリティ」が挙げられています。

 企業はクラウド導入の際、新たなIT環境がサイバー攻撃者の浸透経路にならないよう、クラウド環境に適切なセキュリティ対策に取る組む必要があります。そのためには、まず従来のIT環境とは違う「クラウド環境のみの特殊性」を理解しなければりません。

責任共有モデル

AWS、Azure等のCSP(Cloud Service Provider、クラウドサービス企業)は安全なクラウド環境のために、様々なセキュリティポリシーやサービスをビルトインさせました。

しかしそれだけでセキュリティが担保できるとは言い切れません。CSPの提供するセキュリティサービスはクラウドセンター自体を守ることに限定され、クラウドにて仮想的に結合された顧客のシステムやデータまで保護するものではありません。

AWSをはじめとしたCSPは、クラウドの情報セキュリティに関して一般的に「責任共有モデル」という考え方を採用しています。これは、CSPとユーザ(顧客)で責任範囲を明確にし、全体のセキュリティを担保しようという考え方です。こちらのイメージをご覧ください。


引用:AWS 責任共有モデル

こちらのイメージは、AWSの「責任共有モデル」を示した図であります。イメージの上半分はユーザ(顧客)が担う責任部分、下半分のオレンジ色の範囲はクラウド提供企業(AWS)が責任を負うクラウドのセキュリティ分担です。ネットワークやコンピューティングなどクラウドプラットフォームに対するセキュリティの責任はCSPにあり、クラウド内部のデータ、OS、トラフィックなどに対するセキュリティの責任は顧客にあります。

つまり、クラウドにて結合されたシステムやデータなどにおけるセキュリティの主導権はユーザ側にあるため、ユーザ自らセキュリティ対策を厳重に点検し、どのようなセキュリティ対策を導入するかを決定する義務があるとのことです。

仮想化と分散処理技術

クラウド環境もオンプレミス環境と同じくアプリケーション、システム、ネットワークレベルに分けられます。そして、クラウドといっても実は、クラウド環境にて使用されているデータは最終的に物理的サーバ上に保存されます。このように、クラウドの基本的な構造はオンプレミスと類似ていますが、「仮想化と分散処理技術」によってユーザビリティを高め、更に柔軟性の高い環境にてデータを活用できるというクラウドならではの特殊性もあります。

つまり、クラウド環境は従来のオンプレミス環境に仮想化・分散処理技術を加えたもので、セキュルティ対策もクラウド環境の特殊性に対応できる形態が求められます。WAF導入の例を挙げて

簡単に言いますと、「仮想化と分散処理」ができるWAFが、クラウド環境に最も適切なWAFであることです。
WAFの他にも、クラウド環境のために考慮すべきセキュリティ要素は多い、これらもまたクラウド環境のみの特殊性を理解してからセキュリティ対策構築に取り組む必要があります。

 

クラウド環境に必ず必要なクラウド型WAFサービス

それでは、クラウド導入の際に、どのような領域のセキュリティを優先すべきでしょうか。こちらはクラウドをアプリケーション、システム、ネットワーク3つのレベルで分類し、レベルごとにセキュルティ重要度のランクをつけた表です。

この表をみると、アプリケーションレベルは最も脆弱で、最も攻撃されやすい領域であることが分かります。そのため、アプリケーションレベルのセキュリティを最優先し、クラウド環境の基本的な安全性を確保しなければなりません。

情報セキュリティ専門企業ペンタセキュリティはクラウド環境の特殊性に対する理解を基にクラウドセキュリティを実現する「Cloudbric WAF+」を提供しております。

Cloudbric WAF + : 5つの必須セキュリティサービスをクラウド環境にて提供

安全なクラウドシフトのために、多くの企業がクラウド環境のセキュリティに投資していますが、セキュリティ担当者不在、コスト、クラウドに対する理解不足などによって対策に踏み切れない問題を抱えています。このようなセキュリティ課題を解決できる簡単かつ安全なセキュリティ対策がCloudbric WAF+です。

Cloudbric WAF + はクラウド型でWAFサービスを提供するSaaS型WAFサービスであります。該当サービスにはWAF機能のみならず、DDoS保護、SSL証明書、脅威IP遮断、悪性ボット遮断まで、必須的なセキュリティサービスを1つのクラウドプラットフォームにて統合し、ユーザのクラウドセキュリティをサポートします。特に全ての要素がクラウドにて起動するため、別途の設置や、メインテナンス過程の必要なく、簡単に利用できるというメリットがあります。

 

最後に

企業のクラウドシフトは、今までより拡大していくと見込められますが、セキュリティに対する十分な理解のないITシステムシフトは、サイバー攻撃者らの浸透を簡単に許すリスクを抱えています。クラウドセキュリティのリスクをカバーするためには、クラウド導入に先立ち従来のIT環境とは違うクラウド環境の特殊性への理解を基に、必要なセキュリティ要素は何かを把握することが最重要ポイントだと言えるでしょう。

Cloudbric WAF+

pentasecurity_Lateral Thinking_Partnership

ペンタセキュリティ、ラテラル・シンキングとパートナー契約を締結、Webセキュリティの提供を加速

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳 貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、韓国本社、ヒューストン/米国法人)は11月12日、クラウド型セキュリティ・プラットフォーム・サービス「クラウドブリック(Cloudbric)」(サービスサイト:http://139.162.127.206/jp)において、ソフトウェア開発会社のラテラル・シンキング株式会社と販売代理店の契約を締結したと発表した。

ラテラル・シンキング社は札幌に本社を構えているソフトウェア開発会社で、Webシステム、アプリケーションの開発・保守・運用までトータルサービスを提供する。 札幌・東京・名古屋・福岡の4拠点で地域間にとらわれないサービスを提供するとともに、開発規模に合わせた柔軟なリソースを確保しているため多くの顧客から信頼を獲得している。

今回のパートナーシップの締結を通じて、両社はクラウド型セキュリティ・プラットフォーム・サービスの「クラウドブリック」提供における相互協力を開始する。「クラウドブリック」はクラウド型WAFサービス(Webアプリケーションファイアウォール)に無償SSL、L3/L4/L7のDDoS攻撃対策を基本機能として提供する。そこに、ブロックチェーン基盤の脅威IPサービスとWebトラフィックを学習するAIエンジンの搭載による高い検知精度の向上及び性能の高度化を実現し、より安全なWebセキュリティ環境を支援する。Webシステム開発に強みがあるラテラル・シンキング社は「クラウドブリック」を提案することで、顧客に対する提案力を上げるとともに拡大する顧客のセキュリティ対策ニーズに応えることができ、セキュリティへの専門性を強化する。

一方、 IoTやスマートデバイスなど、今後注目を集めると予想されるセキュリティ分野において、 ラテラル・シンキング社のシステム開発力とペンタセキュリティのセキュリティ・ソリューションを連携し、相互協力を推進していくことも期待される。

ペンタセキュリティ日本法人代表取締役社長の陳は、「 企業でのクラウドインフラへのシフトが加速するにつれ、Web脅威に対する統合的なセキュリティサービスを提供するクラウドブリックのお問い合わせが多く寄せられてる」」とし、「幅広いパートナーシップを通じてサービスネットワークを拡大し、他社とは一線を画した技術力をベースに、安全なWebセキュリティ環境の実現に向けて努力していきたい」と述べた。