ケーススタディ

クラウド安全性評価 基盤自体の信頼性に加え、実は重要なのが…

[図] クラウドTIPS

「クラウドだから危険」と断じる方は既に少なくなっただろうが、かと言って「クラウドだから安全」とも言えない。「安全」を確実にするには、まずは「高い信頼性を持ったクラウド事業者を見極める」必要があることは誰しも分かっているだろう。ただ、それだけでは十分ではない。これまで、どのようなシステムを導入・利用する際にも、それぞれの情報セキュリティの方針・基準に沿って、考えうるリスクの洗い出し、そして、必要な対策を行ってきたはずだ。

クラウドインフラを利用する際にも同じ手順が必要だ。これはもちろん一般企業にも必要なことだが、特にECサイト運営企業やSaaSプロバイダなど、インターネットを利用して対外サービスを提供している企業においては、より重要な作業となる。セキュリティ面の不安を払拭してこそ、柔軟性やインフラ費用の平準化といったクラウドの特性を活かし、クラウドインフラを効果的にビジネスに役立てられるからだ。

今回の記事では、クラウドインフラを利用する際の情報セキュリティ対策の進め方を紹介しつつ、「最低限しなければならない対策」を洗い出すためのポイントを解説しよう。

企業がクラウドを利用する際のセキュリティ対策の考え方。

企業が業務を遂行する過程においては、様々な価値を有する“資産”が生み出されるが、その中には顧客情報、技術情報といった“情報資産”も含まれる。近年のビジネスにおいては、旧来の“物理的なかたちのある資産”と同様に、こうした情報資産をネットワーク上の脅威などから守ることが非常に重要なことは、もはや言うまでもないだろう。
情報セキュリティとは、情報資産の「機密性」「完全性」「可用性」を確保すること、つまり、

  • 情報資産を正当な権利を持った人だけが使用できる状態にしておく
  • 情報資産が正当な権利を持たない人により変更されていないことを確実にしておく
  • 情報資産を必要な時に使用できるようにしておく

という3つの要件の維持にほかならない。

程度の差こそあれ、企業がITシステムを導入・運用する際には、自社の基本方針(ポリシー)、対策基準(スタンダード)、実施手順(プロシージャー)にもとづき、対象システムの情報資産に対し、リスク分析によって脅威の洗い出しと脆弱性の判定や、「機密性」「完全性」「可用性」の軸で重要性を検討し、リスク評価を行った上で各種対策を取ってきたはずだ。クラウドインフラを利用する際にも、同じ流れで情報セキュリティ対策を行う必要がある。

[図] クラウドTIPS

「プロバイダ管理部分」と「利用者管理部分」の分かれ目とは?

とは言え、事業者が提供しているクラウドを“インフラ”として利用するのだから、従来のオンプレミス環境のように「すべてをやらなければいけない」はずはなく、「やらなくてもいい部分」ももちろんある。

情報資産の「機密性」「完全性」「可用性」を確保するための具体的な手段としては、

  • 情報漏洩防止、アクセス権の設定などの対策
  • 改ざん防止、検出などの対策
  • 電源対策、システムの2重化などの対策

などが挙げられるが、クラウドインフラを利用する場合には、そのすべてを隅から隅まで考慮する必要はない。

つまり、プロバイダ管理部分利用者管理部分があることを理解し、その“分かれ目”をきちんと認識していれば、利用者自身が自ら実施しなければならないのは最低限の範囲で済むというわけだ。もちろん、「プロバイダ管理部分」についても、クラウド事業者が公開しているサービス仕様などをしっかり確認し、自社のポリシーに即したセキュリティレベルが確保されているかどうかをチェックすべきだろう。

[図] クラウドTIPS

利用者管理部分は、各種ソリューション活用を検討すべきだが…

このように、クラウドインフラを利用する際にも、企業が自前でセキュリティ対策を行うべき部分は残されており、その部分については、リスク対象やニーズごとに、適切なソリューション製品を導入していく必要がある。要は「利用者管理部分」については、既存のオンプレミス環境と同様の手間や投資が求められるが、ただ、1つ違うのは、クラウド事業者自体がオプションとしてセキュリティサービスを提供しているケースもあるということだ。

そうしたセキュリティサービスの提供に力を入れているクラウド事業者を利用する場合には、オプションも積極的に活用すべきだろう。クラウドインフラとの親和性の高さが保証されている分、より万全なセキュリティレベルを実現できるのはもちろん、いくつものソリューションを自前で導入して個別に管理するよりは、管理面の負担もずっと少なくて済むはずだからだ。

[図] クラウドTIPS

クラウドサービス/データセンター自体の信頼性の高さはもちろん、
幅広いセキュリティサービスを揃えた、SCSKの「USiZE」に注目。

上記のような観点で注目したいのが、SCSKのクラウドインフラサービス「USiZE」である。SCSKが40年以上にわたり培ってきた、システム開発、インフラ基盤構築、システム運用実績などのノウハウをベースに構築されたものであり、2004年のサービス提供開始以来、高い信頼性を必要とするエンタープライズシステムのクラウド化に多数の実績を有する。

プロバイダ管理部分は、SCSKならではの信頼性の高さで“守られている”
当然ながら、データセンターはISMS(情報セキュリティマネジメントシステム)、BCMS(事業継続マネジメントシステム)などの認証を取得済み。更に、ITILをベースとしたプロセスの標準化を進め、継続的なPDCAサイクルの元で運用サービスを実施し、品質の維持/向上に努めている。また、ネットワーク接続のセキュリティ確保についても、セキュアな閉域網を最短1ヵ月から利用可能なUSiZE Connect(ユーサイズコネクト)オプションを用意するほか、 通信キャリア各社の閉域網などの引込みにも対応している。

利用者管理部分は、多彩なセキュリティオプションで“守ることができる”
また、「USiZE」では、必要に応じて「利用者管理部分」の情報セキュリティ対策を行えるよう、幅広いセキュリティサービスをオプション提供している点も見逃せない。セキュリティ監視サービス(SOC:SCSKのセキュリティ専門部隊が提供)、Webアプリケーション脆弱性診断(SCSKのセキュリティ専門部隊が提供)、WAF(クラウド型WAFのScutumと連携)、IDS/IPS(トレンドマイクロのDeepSecurity月額版)、ウイルス対策(トレンドマイクロのServerProtect月額版)などを用意しており、自社のニーズに応じて利用可能だ。

この記事は、「キーマンズネット」に掲載(2015/10/30)されたコンテンツを一部再編集したものです。