パブリッククラウド環境のセキュリティを強化する クラウドセキュリティ
「クラウドファースト」という言葉が示すとおり、多くの企業の IT 部門では、多くの情報資産をクラウドへ移行することを実行・検討しています。クラウド化することにより、サーバやネットワークといったインフラを社内で準備することなく、短期間かつ低予算でインフラを用意し、必要なシステムを導入ことができ、トータルコストを削減できます。
しかしながら、クラウドサービスにおいても責任分岐点を把握し、適切なセキュリティ対策を行う必要があります。特に、パブリッククラウドにおけるIaaSの場合、ハードウェア上のOS、データベース、アプリケーションやアカウント管理などはユーザ企業側の責任となります。
パブリッククラウドに必要なセキュリティ
-
最新の攻撃からの防御
もちろん、多くのクラウド事業者がセキュリティ対策を提供しています。しかしながら、それらの対策はサービスや機能単位での提供となり、専門のセキュリティベンダが提供するものとは異なるため、ゼロデイ攻撃といった最新の攻撃には対応できない、ログが分析には複数のサービスを組み合わせる必要性があるといった問題があります。このため、オンプレミス同様、別途セキュリティ対策を設ける必要があります。
◆ 事業者が提供する主なセキュリティ対策と問題点
提供するセキュリティ対策 問題点 アクセスコントロール(IPアドレスベース) ・パケットの詳細なインスペクションができない
・ゼロデイ攻撃に対応できない
・ユーザ情報に基づいた制御ができないWebアプリケーションファイアウォール ・Web以外のプロトコルは非対応
・Webサーバが感染した際、C&Cサーバ等の外部サーバへの通信を検知できないログ分析がオプションで提供 ・ログの保存と分析は分かれており、データ量に応じた従量課金となる(別途コストが発生)
・標準サービス単体でのログ分析は専門性を伴い、複数のサービスを組み合わせも必要 -
セキュリティ設定の可視化
パブリッククラウドの利用が加速する一方で、設定ミスや人的エラーによる情報事故も急増しています。クラウドサービスの権限設定ミスにより、本来アクセスできない顧客情報が公開されていた といった情報漏洩事件を目にすることも少なくありません。利用開始当初は適切な設定であったとしても、設定変更操作のミス、知識不足による不適切な操作、不要になったリソースの放置など、様々な原因によりセキュリティに穴が空いてしまう可能性があります。
また、パブリッククラウドの利用が増え、提供・利用するサービスの規模が大きくなればなるほど、多様なリソースの設定情報や各アカウントの権限管理をすべて把握し、セキュリティを保つ必要があります。 -
情報セキュリティ管理体制の強化
クラウド、ホスティング、ASP、オンプレミス環境に共通して、セキュリティの基本要素をおさえることが重要です。つまり、その企業の情報セキュリティ戦略や情報セキュリティポリシーに従い、情報資産や対象データの重要度を分類し、その重要度に応じたアクセス制御や運用設計、危機管理体制を構築することが必要です。ISO/IEC 27017は、クラウドサービスに関する情報セキュリティ管理策のガイドライン規格です。情報セキュリティ全般に関するマネジメントシステム規格であるISO/IEC 27001の取り組みをISO/IEC 27017で強化することで、クラウドサービスにも対応した情報セキュリティ管理体制を構築することができます。
アズジェントの提供するサービスとプロダクト
目的 | プロダクト・サービス | 概要 |
---|---|---|
最新の攻撃からの防御 | プロダクト Check Point CloudGuard Network |
クラウド基盤の多層防御を提供します。クラウド事業者が標準提供するセキュリティ機能を補完し、サンドボックス、無害化などの次世代ファイアウォール機能を提供します。 |
サービス セキュリティ・プラス マネージドセキュリティサービス |
セキュリティの専門知識をもった人材がいない組織などにおいて、ログの分析や巧妙な攻撃への対処が難しいといった状況を解決します。クラウド環境で稼働するセキュリティデバイスを専門のセキュリティアナリストが24時間365日で監視するサービスです。 |
|
セキュリティ設定の可視化 | プロダクト Check Point CloudGuard Posture Management (旧 CloudGuard Dome9) |
パブリッククラウドの管理コンソールでは把握が困難なネットワークファイアウォールの論理構成・依存関係の可視化や、30種類以上にのぼる国内外のコンプライアンス基準への準拠度合いをスコア化することで、設定のリスク度合いを即座に把握することができます。マルチクラウドにも対応しています。 |
サービス セキュリティ・プラス セキュリティ診断サービス Webアプリケーション診断 |
クラウド上へ公開しているシステムのセキュリティ状態を保つために、セキュリティ上の問題点(脆弱性)の有無を明らかにします。お客様のWebアプリケーションに潜む脆弱性を検査し検出します。検査後、詳細で分かりやすいレポートで、検査結果と今後の対応策をご報告・ご提案させていただくサービスです。 |
|
サービス セキュリティ・プラス セキュリティ診断サービス プラットフォーム診断 |
クラウド上へ公開しているシステムのセキュリティ状態を保つために、セキュリティ上の問題点(脆弱性)の有無を明らかにします。サーバ/ネットワーク機器/OS/ミドルウェアに対し、脆弱性を検査し検出します。詳細で分かりやすいレポート、検査結果と今後の対応策をご報告・ご提案させていただくサービスです。 |
|
情報セキュリティ管理体制の強化 | サービス 情報セキュリティ監査 |
情報資産に対する情報セキュリティ対策状況を把握し、問題点を洗い出すことができる組織にするための体制づくりを支援します。 |
サービス ISOコンサルティング |
ISO/IEC 27017 認証取得するための社内体制を支援します。 |