データ主導権モデルの分花いモデルの責任分界点

「責任共有モデル」とは?クラウド時代のセキュリティについて徹底解説!

データ主導権モデルの分花いモデルの責任分界点

昨今、クラウドサービスの普及に伴い、多くの企業がクラウドサービスへの移行を検討していると思われます。しかし、クラウドサービスの利用時に注意したいのが、事故が起きた際に誰が責任をとればよいのか、ということです。現在のクラウドサービスの多くは「責任共有モデル」というセキュリティモデルを採用しています。しかし昨今、とりあえずクラウドを使ってみよう、という考え方が広がり、こうした「責任共有モデル」をはじめとするセキュリティについて把握しきれていない利用企業も多数あると言われています。総務省は、クラウドサービス事業者向けの「情報セキュリティ対策ガイドライン」を2021年9月に改定し、この責任共有モデルについて内容を拡充しました。

こうした事情に鑑みて、ここでは、クラウド時代の新しいセキュリティである「責任共有モデル」と弊社が提案する「データ主導権モデル」について解説していきます。また、セキュリティ対策として具体的にどのような対策があるのか、最後に紹介します。

 

責任共有モデルとは

そもそも、責任共有モデルとはどのようなモデルなのでしょうか。簡単に言ってしまえば、サービスにおける責任をクラウド事業者と利用者との間で共有するという考え方です。クラウドの登場によって、セキュリティのあり様は大きく変わったと言われています。完全に自社内だけで、インフラからアプリケーション構築、データ管理を行っている場合は、データの機密性の保持を第一に考え、外部との通信に気を遣えば、大きな問題はないと思われるでしょう。しかし、クラウドの登場により自社の「外部」にデータやアプリケーションを保持する、という運用体制が出来上がります。そのため、データやシステムに問題が起きた時にどこが責任をとるのか、どのようなセキュリティ対策を施すべきなのか、ということを考え直す必要がありました。そうして生まれたのが、「責任共有モデル」という考え方でした。

例えば、クラウド事業者がインフラ等に責任を、利用者がデータに責任を持つと仮定してみましょう。ハードウェアやネットワークについては事業者が管理し、障害等が起こった際には責任を負います。それに対して、実際にクラウド上に保存されているデータに関しては利用者が管理し、操作の誤り等による損失の際には責任を負います。このように、サービスの管理責任の範囲を明確化して共有する、という考え方が「責任共有モデル」です。

 

IaaSPaaSSaaSの「責任分界点」の違い

「責任共有モデル」に則ってサービスを運用するためには、事業者と利用者の責任範囲を明確にしておく必要があります。その責任範囲の明確化は、「責任分界点」によって成されます。「責任分界点」とはその名の通り、責任範囲を分かつポイントのことです。この責任分界点は事業者やサービスによって様々ですが、IaaS、PaaS、SaaSのそれぞれについて、一般的なものについてご紹介します。

サービス毎の責任範囲

出所:日本マイクロソフト

IaaSの責任分界点

IaaSとは「Infrastructure as a Service」の略称で、直訳すると「サービスとしてのインフラストラクチャー」となります。つまり、ハードウェアやネットワーク回線といったインフラを、インターネット上で提供するサービスです。IaaSにおいて事業者が提供するのはインフラまでです。そのため、事業者が責任を負うのもインフラまでです。IaaSの上に構築されるかOSやミドルウェア、アプリケーション、データ等に関しては、利用者の側で責任を負うことになります。そのため一般に、IaaSにおける責任分界点はハードウェアとOSの間、ということになります。

PaaSの責任分界点

PaaSとは「Platform as a Service」の略称で、直訳すると「サービスとしてのプラットフォーム」となります。PaaSはIaaSよりもさらに進んで、アプリケーション開発のためのプラットフォーム、つまりインフラに加え、OSやミドルウェアまでをインターネット上で提供するサービスです。IaaSの場合、事業者の管理責任はミドルウェアにまで及びます。ユーザーが管理できるのは、インフラ・プラットフォームの上に構築できるアプリケーションとデータ、ということになります。つまり、一般にPaaSにおける責任分界点は、ミドルウェアとアプリケーションとの間、ということになります。

SaaSの責任分界点

SaaSとは「Software as a Service」の略称で、「サービスとしてのソフトウェア」となります。SaaSはIaaS、PaaSよりもさらに進んで、ソフトウェアやアプリケーションをインターネット上で提供するサービスです。SaaSの場合はOSやミドルウェアのみならずソフトウェアまでを事業者が管理することとなるため、利用者の責任範囲はデータのみ、ということになります。しかし、利用しているソフトウェアのユーザーIDや権限設定など、利用者の側でソフトウェアの管理の一部を担うこともあります。とは言え一般に、SaaSにおける責任分界点はソフトウェアとデータとの間、ということとなります。

 

クラウド利用の複雑化による責任範囲の不明瞭

ここまで、IaaS、PaaS、SaaSそれぞれの責任分界点について解説してきました。ここまでの話からすると、責任共有モデルとは、事業者の提供しているものは事業者が、そうでないものは利用者が責任を負う、という非常にシンプルな考え方に見えます。しかし、実際はここまで単純ではありません。その理由の一つが、サービスの利用環境や契約内容等により、責任範囲が異なるということが挙げられます。「このサービスはSaaSに分類されるはずだから、データだけ見ておけばいい」といった考え方は、セキュリティ対策の見落としなどにつながる可能性があります。もう一つの理由として、複数のクラウドを利用するようになった、ということが挙げられます。例えば、「Amazon Web Service」や「Microsoft Azure」のような、IaaS、PaaSの上に独自のアプリケーションを構築し、それを一つのSaaSとして提供している場合があります。また、APIを用いて複数のサービスを組み合わせ、一つのSaaSとして提供している場合もあります。

このように、一つのSaaSが複数のクラウドサービスを使って提供されていたり、利用者の側でも複数のクラウドサービスを利用したりと、クラウドのあり方が複雑化しつつあります。そのため、責任範囲を一様に確定させることは難しく、あくまでも自社の利用しているサービスの責任範囲をしっかりと把握して、適切なセキュリティ対策を行う必要があります。

 

「責任転嫁モデル」から「データ主導権モデル」へ

責任共有モデルは、事業者が全ての責任を負うのではなく、部分的に利用者が管理し責任を負うため、事業者が利用者に責任を転嫁する「責任転嫁モデル」と揶揄されることもあります。しかし、クラウドサービスの事業者側がサービスの管理の全てを担う、という体制ではデータの機密性にも不安が残ります。そのため利用者の側は、この責任共有モデルを「責任転嫁モデル」と揶揄するのではなく、「データ主導権モデル」として見つめなおし、データ保護のためのセキュリティ対策に取り組んでいく必要があります。

それでは「データ主導権モデル」のセキュリティ対策には、どのようなものが考えられるでしょうか。

 

「データ主導権モデル」のセキュリティ対策とは

まず必要になるのが、保護範囲を明確化する、ということです。「データ主導権モデル」と言うからには、守るべきデータがどこにあるのかをきちんと把握する必要が生じてきます。そのうえで、そうしたデータに関して、セキュリティ的にどのような課題があるのかを明確化する必要があるでしょう。守るべきデータ範囲とセキュリティ上の課題が明確化したら、具体的な策をとっていくこととなります。ここでは、外部からの攻撃への対策、内部に侵入されてしまった場合の対策、そして運用・管理に関わる対策についてご紹介します。

まずは、外部からの侵入や攻撃に対する対応です。WAF(WebApplicationFirewall)の導入によって攻撃性のあるアクセスを排除したり、DDos攻撃への対策を導入したりといった対策がそれにあたります。次に検討すべきは、内部に侵入されてしまった場合の対策です。WAFも万能という訳ではありません。実際に侵入されてしまった場合に、マルウェアやデータの改ざんを検知するソフトの導入などが必要となります。しかしそれだけでは不十分です。クラウドの利便性の高さの一つの要因が、どこからでもアクセスできるという点にあります。つまり、クラウドを利用したサービスは、オフィスの外からでも社内のシステムを運用・管理できます。しかし、システムを社員が利用するとしても、社員のデバイスが正規のものか、本当に社員がアクセスしているのか、といった不安は解消できません。そのため、内部のアクセス権限を管理したり、ログを監視したり、といった対策も用意する必要があります。

ここでは、「データ主導権モデル」の具体的なセキュリティ対策例として、外部、内部、運用・管理の三段階に分けてご紹介しました。いずれの対策をとるにしても、守るべきデータ範囲とセキュリティ上の課題を明確化した上ではじめて成立する対策であることは押さえておく必要があると思います。

「データ主導権モデル」について弊社のウェビナーもありますので、ご興味のある方はこちらをご覧ください。

 

まとめ

ここでは、「責任共有モデル」とそれに準じたセキュリティについてご紹介しました。「責任共有モデル」とは、クラウドの事業者と利用者との間で責任をとる範囲を分担し、各々の管理下にあるものについてのみ責任を持つ、というモデルを指します。責任範囲は一律に決まるものではなく、自社の利用しているサービス毎に責任範囲を明確に把握する必要があります。「責任共有モデル」は「責任転嫁モデル」と揶揄されることもありますが、企業がすべきはこのモデルを「データ主導権モデル」として見つめなおし、適切なセキュリティ対策を行っていくことです。保護範囲の確定と課題の明確化を行い、そのうえでWAFの導入やDDoS対策、マルウェア検知等の策を講じていく必要があります。自社のサービスの特性や責任範囲だけでなく、守るべきデータの範囲や課題をきちんと把握することこそが、自社のデータを安全に守るための第一歩と言えるでしょう。

ちなみに、当社のCloudbric WAF+はWAF機能のみならずDDoS対策サービス機能まで提供する総合セキュリティ対策です。コストパフォーマンスと高度なセキュリティの両立できるWebセキュリティ対策をお探しの企業様にとって、最善の選択肢であると思いますので、ぜひチェックしてみてください。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

 

クラウドセキュリティリスク

オンプレミス環境とは違うクラウド環境に適切なセキュリティ対策とは? まずクラウド環境向けWAFを導入すべき


総務省調査の令和得元年通信利用動向の「クラウドサービス利用状況」からみると、国内企業の64.7%がクラウドサービスを利用していると答え、導入効果については「非常に効果があった」又は「ある程度効果があった」のような応答が8割を超えています。企業システムのクラウドシフトによって変化しつつあるIT環境に必要とされるセキュリティ対策にも変化があるはずです。そのため、クラウド中心に変化したIT環境に最も適切なセキュリティ対策は何かを把握することが、クラウド導入の前後を問わず解決すべき課題だと言えるでしょう。そこで今回は、従来のIT環境とは違うクラウド環境の特殊性を理解し、クラウド環境に適切なセキュリティとは何かをお伝えしたいと思います。

 

クラウド環境の特殊性を理解したセキュリティ

Accenture の調査によると企業のクラウド移行を妨げる障壁として「セキュリティ」が挙げられています。

 企業はクラウド導入の際、新たなIT環境がサイバー攻撃者の浸透経路にならないよう、クラウド環境に適切なセキュリティ対策に取る組む必要があります。そのためには、まず従来のIT環境とは違う「クラウド環境のみの特殊性」を理解しなければりません。

責任共有モデル

AWS、Azure等のCSP(Cloud Service Provider、クラウドサービス企業)は安全なクラウド環境のために、様々なセキュリティポリシーやサービスをビルトインさせました。

しかしそれだけでセキュリティが担保できるとは言い切れません。CSPの提供するセキュリティサービスはクラウドセンター自体を守ることに限定され、クラウドにて仮想的に結合された顧客のシステムやデータまで保護するものではありません。

AWSをはじめとしたCSPは、クラウドの情報セキュリティに関して一般的に「責任共有モデル」という考え方を採用しています。これは、CSPとユーザ(顧客)で責任範囲を明確にし、全体のセキュリティを担保しようという考え方です。こちらのイメージをご覧ください。


引用:AWS 責任共有モデル

こちらのイメージは、AWSの「責任共有モデル」を示した図であります。イメージの上半分はユーザ(顧客)が担う責任部分、下半分のオレンジ色の範囲はクラウド提供企業(AWS)が責任を負うクラウドのセキュリティ分担です。ネットワークやコンピューティングなどクラウドプラットフォームに対するセキュリティの責任はCSPにあり、クラウド内部のデータ、OS、トラフィックなどに対するセキュリティの責任は顧客にあります。

つまり、クラウドにて結合されたシステムやデータなどにおけるセキュリティの主導権はユーザ側にあるため、ユーザ自らセキュリティ対策を厳重に点検し、どのようなセキュリティ対策を導入するかを決定する義務があるとのことです。

仮想化と分散処理技術

クラウド環境もオンプレミス環境と同じくアプリケーション、システム、ネットワークレベルに分けられます。そして、クラウドといっても実は、クラウド環境にて使用されているデータは最終的に物理的サーバ上に保存されます。このように、クラウドの基本的な構造はオンプレミスと類似ていますが、「仮想化と分散処理技術」によってユーザビリティを高め、更に柔軟性の高い環境にてデータを活用できるというクラウドならではの特殊性もあります。

つまり、クラウド環境は従来のオンプレミス環境に仮想化・分散処理技術を加えたもので、セキュルティ対策もクラウド環境の特殊性に対応できる形態が求められます。WAF導入の例を挙げて

簡単に言いますと、「仮想化と分散処理」ができるWAFが、クラウド環境に最も適切なWAFであることです。
WAFの他にも、クラウド環境のために考慮すべきセキュリティ要素は多い、これらもまたクラウド環境のみの特殊性を理解してからセキュリティ対策構築に取り組む必要があります。

 

クラウド環境に必ず必要なクラウド型WAFサービス

それでは、クラウド導入の際に、どのような領域のセキュリティを優先すべきでしょうか。こちらはクラウドをアプリケーション、システム、ネットワーク3つのレベルで分類し、レベルごとにセキュルティ重要度のランクをつけた表です。

この表をみると、アプリケーションレベルは最も脆弱で、最も攻撃されやすい領域であることが分かります。そのため、アプリケーションレベルのセキュリティを最優先し、クラウド環境の基本的な安全性を確保しなければなりません。

情報セキュリティ専門企業ペンタセキュリティはクラウド環境の特殊性に対する理解を基にクラウドセキュリティを実現する「Cloudbric WAF+」を提供しております。

Cloudbric WAF + : 5つの必須セキュリティサービスをクラウド環境にて提供

安全なクラウドシフトのために、多くの企業がクラウド環境のセキュリティに投資していますが、セキュリティ担当者不在、コスト、クラウドに対する理解不足などによって対策に踏み切れない問題を抱えています。このようなセキュリティ課題を解決できる簡単かつ安全なセキュリティ対策がCloudbric WAF+です。

Cloudbric WAF + はクラウド型でWAFサービスを提供するSaaS型WAFサービスであります。該当サービスにはWAF機能のみならず、DDoS保護、SSL証明書、脅威IP遮断、悪性ボット遮断まで、必須的なセキュリティサービスを1つのクラウドプラットフォームにて統合し、ユーザのクラウドセキュリティをサポートします。特に全ての要素がクラウドにて起動するため、別途の設置や、メインテナンス過程の必要なく、簡単に利用できるというメリットがあります。

 

最後に

企業のクラウドシフトは、今までより拡大していくと見込められますが、セキュリティに対する十分な理解のないITシステムシフトは、サイバー攻撃者らの浸透を簡単に許すリスクを抱えています。クラウドセキュリティのリスクをカバーするためには、クラウド導入に先立ち従来のIT環境とは違うクラウド環境の特殊性への理解を基に、必要なセキュリティ要素は何かを把握することが最重要ポイントだと言えるでしょう。

Cloudbric WAF+