第27回 クラウド基盤のセキュリティ
いつもお世話になっております。情報セキュリティ担当のJです。
今回は、「クラウド基盤のセキュリティ」をテーマに書いてみたいと思います。
Amazon Web Service(AWS)のようなクラウド基盤を利用する場合、サーバは設置場所が非公開のデータセンターになりますので、「物理的な不正アクセス」への心配はなくなりますが、逆にインターネットにさえ繋がっていれば、どこでも利用可能な状態になりますので、自社構築のサーバ(オンプレミス)とはまた違ったセキュリティ対策が必要になって来ますので、いくつかご紹介したいと思います。
(1)仮想ネットワークの構築と分離
物理ネットワークと同様の考え方になりますが、仮想サーバの用途や重要度、外部からのアクセス用など、仮想サーバを配置するネットワークを分けて、クラウド環境を構築する必要があります。
(2)アクセス元の制御(ACL=アクセス制御リスト)
仮想サーバや仮想ネットワークのファイアウォールのようなもので、「ACL」(アクセス制御リスト)が用意されていることが多いので、外部からのアクセスや仮想ネットワーク間、自社と仮想ネットワーク間で利用するサービス毎にきちんとアクセス元、アクセス先、ポートなどを制御する必要があります。
また、意図せずデータが公開されていた...などということにならないように利用するサービスについては、十分理解してから利用する必要があります。
(3)管理サイトへのID・パスワードの管理
仮想サーバ環境を構築するための「管理サイト」へのID・パスワード管理も重要になります。万一、管理サイトのID・パスワードが漏洩した場合、すべてのサーバや環境が乗っ取られることになってしまいますので、今まで以上に厳重な管理が必要になります。
(4)誤操作の防止
すべての仮想サーバや仮想ネットワークは、数クリックで簡単に構築することが出来ますが、反対に停止や削除についても、数クリックで完了してしまいます。試験用に作成したサーバを削除しようとして、誤って本番用を削除してしまった...などということも考えられますので、重要な操作は、複数人で行うなど、運用・管理には十分な注意が必要です。
(5)データのバックアップ
様々なバックアップサービスが用意されていますので、そちらを中心に利用しつつ、重要データについては、出来れば定期的に自社内にもバックアップをしておくことをお薦めします。
クラウド化が進み、セキュリティ対策についても、従来の対策に加え、別の視点からの対策も必要になるなど、こちらも今までとは別の考え方が必要になって来ると思われます。
次回は、「不正アクセスを試みるログ」をテーマに書いてみたいと思います。
情報セキュリティ管理者:J