vol. 06 2020年08月 IaaSにおけるセキュリティ対策のポイント

【vol.06】IaaSにおけるセキュリティ対策のポイント

クラウドサービスのひとつであるIaaS。すでに導入している方や導入を検討している方の中には、セキュリティ対策が不安だという方もいるでしょう。ここでは、IaaSにおけるセキュリティ対策のポイントについて解説します。

IaaSセキュリティの必要性

クラウドサービスはインターネット経由でサーバーやストレージ、ネットワーク、ソフトウェアやアプリケーションなどのIT機能をサービスとして提供するもので、提供する機能（範囲）によっておもに、IaaS（Infrastructure as a Service）、PaaS（Platform as a Service）、SaaS（Software as a Service）の3種類に分類されます。

IaaSは、サーバーやストレージ、ネットワークなどといったハードウェアリソースが提供され、利用者はサーバーなどのスペックを選択して組み合わせることで様々なシステムを構築することができます。
PaaSは、IaaSの提供機能に加えて、基本ソフト（OS）やDBMS（データベース管理ソフト）、プログラム言語などのミドルウェアを含めたプログラムやアプリケーション開発に必要なプラットフォーム環境が提供されます。
SaaSでは、ハードウェアリソースやプラットフォームに加え、ソフトウェアやアプリケーションがサービスとして提供され、ウェブメールサービスやオンラインストレージサービス、グループウェアなどがその一例です。

ハードウェアリソースだけが提供されるIaaSでは、利用者がOSやミドルウェア、アプリケーションを利用目的に応じて実装します。利用者が実装した範囲については、管理とセキュリティ対策も担うことになります。必要なセキュリティ対策が行なわれない場合、IaaS上に構築されたシステムは脆弱なシステムとなり、外部からの攻撃・侵入を防止できず、情報漏えいなどのリスクも高くなります。

つまりIaaSでは、ハードウェアを直接管理することが不要な点を除いて、サービスの利用者に対し、サーバーを自社で運用するオンプレミスと同様のセキュリティ対策が求められます。また、その一方で、ハードウェアの維持管理はサービス事業者が担うため、信頼できるサービス事業者を選定する必要があります。

AWS責任共有モデルとは

AWS責任共有モデル（https://aws.amazon.com/jp/compliance/shared-responsibility-model/）は、Amazon WebServices社が提供するクラウドサービスであるAWS（Amazon Web Services）における、サービスの利用者と事業者の間でセキュリティ対策の責任範囲を定義したものです。これは、AWSだけではなく、他の事業者が提供するIaaSにおいても共通認識となっています。

そこで今回は、サービス事業者と利用者それぞれが責任をもつセキュリティ対策の範囲を、AWS責任共有モデルに沿って取り上げます。

サービス事業者によるIaaSセキュリティ対策の範囲

AWS責任共有モデルでは、IaaSの事業者は、サービスの基盤となるインフラについて、セキュリティ対策を含めた責任を持ちます。ここでのインフラとは、コンピュータやストレージ、ネットワーク機器などのハードウェアおよびデータセンターなどを指します。

ハードウェアのセキュリティについては世界各国で規格が定められており、例えば米国では、FedRAMP（Federal Risk and Authorization Management Program／米国連邦政府によるリスクおよび認証管理プログラム）という連邦政府共通のクラウドサービス調達のためのセキュリティ認証基準があります。利用するクラウドサービスがこうした規格に準拠しているかどうかは、サービスを選定する際の大きな判断材料となります。

また、システムが正常に稼働している時間をあらわす可用性や、故障の少なさをあらわす信頼性をSLA（Service Level Agreement／サービス品質保証制度）として規定されることが一般的です。利用者はSLAがIaaS上に構築するシステムに求められる可用性や信頼性の要件に則した内容であることを確認しておく必要があります。なお、SLAの基準値を下回ると、利用料金の減額などの保証を受けられる場合があります。

サービス利用者によるIaaSセキュリティ対策の範囲

AWS責任共有モデルでは、IaaSの利用者は幅広い範囲のセキュリティ対策が必要になります。

IaaSのインスタンスには、OSやデータベース、開発ツール、アプリケーションなどをサービス利用者がインストールします。これらのソフトは、脆弱性を狙って攻撃される可能性があるため、最新版へのアップデートやパッチの適用を始め、セキュアな設定やセキュリティ対策の実装をサービス利用者自身が行なう必要があります。また、アンチウィルスソフトやEDRのようなエンドポイント/サーバセキュリティ、FWやIPS、WAFなどのネットワークセキュリティ、暗号化などのデータセキュリティなどの実装に加え、開発したアプリケーションに対する脆弱性診断、さらには、サーバーやアプリケーションはもちろんIaaSの管理コンソールへの不正アクセスを防止するためのユーザアカウント管理なども必要です。

クラウドサービスと聞くと、サービス事業者が何でもやってくれると勘違いしがちですが、利用者側の責任となっている範囲についてはオンプレミスのシステムと同様のセキュリティ対策が求められます。そして、それらの実装や設定は利用者自身で責任を持って行う必要があります。

また、IaaS環境の設定不備に起因するセキュリティ事故が増えています。機密ファイルが外部公開設定になっていたことでインターネットから誰でも閲覧できる状態となっていた、などはその一例です。設定作業を間違えないように、慎重に実施することはもちろんですが、多岐にわたる機能を提供するIaaSでは設定箇所も多く、それらを手動で確認することは困難であるため、設定の不備を発見してくれるツールの活用も推奨されます。

このような幅広いセキュリティ対策の実現をサポートする機能をIaaS事業者自身が提供している場合があります。これらの機能を利用すると、自らセキュリティ対策システムを導入するよりも簡単でかつ安価に実現できることもありますので、IaaSの利用時には是非確認してみてください。