多くのクラウドプロバイダーが、ローカルサーバーの管理に関する責任をユーザーから解放したため、ある意味では、クラウドがセキュリティ管理を楽にしてくれたと言えます。一方で、「クラウド」の定義は幅広く、さまざまなテクノロジーエコシステムがセキュリティに関する独自の考えを持っているため、セキュリティ管理の意思決定者にさらに大きな混乱をもたらしています。それに加えて、どのようなクラウドソリューションを使用するかの最終決定者である人の多くが、その決定がセキュリティ管理に与える影響を必ずしも理解していません。
ローカルインフラストラクチャーでは、企業が機器を所有しているため、マルウェアに対する考慮が必要不可欠でした。ユーザーは自社のシステムの保護とマルウェアの回避に対する責任を負うというのが前提でした。責任を明確化したところで、管理するのは困難です。そのため、管理エクスペリエンスを簡素化し、リスクを軽減しようとしている人にとって、クラウドへの移行は特に魅力的に映るのです。
しかし、クラウドを利用するときに、セキュリティの責任範囲がどのように線引きされるかを本当にご存じですか?それを知るためには、サードパーティのクラウドプロバイダーがお客様のビジネスにどのようなサービスを提供しているかを考慮して、クラウドソリューション間の違いを理解する必要があります。
どのようなクラウド環境なのか?
まず考えなければならないのは、現在完全なクラウド環境を利用しているか?それともハイブリッドモデルを採用しているのかということです。ハイブリッドモデルの場合、コンピューティングはローカルおよびさまざまなクラウド内で実行されます。完全にホステッド環境である必要はありません。
ローカルサーバーインフラストラクチャーに関する従来のセキュリティ上の問題は、ローカルのIT資産にも当てはまります。ハイブリッドクラウドは相変わらず非常に人気があります。多くの企業は、コアテクノロジーがクラウド内ではうまく機能しないという問題を経験しています。グラフィックデザインやグラフィック処理がそのよい例です。ホステッドクラウドサーバーでは、ローカルでホストされているテクノロジーでは感じることのない帯域幅や処理能力の問題が発生することがあります。もう1つの例として、ローカルの会計ソリューションが挙げられます。企業がQuickBooksを1台のローカルPCにインストールしているケースはよくあります。この記事を読んでいる方の組織でも、保護が必要な資産がローカルで動作している可能性が高いでしょう。クラウドセキュリティ戦略を練る際には、そのことを忘れないようにしてください。
完全なコントロール下にあるのはどの資産で、クラウド内でホストされている資産はどれかを特定できたら、クラウドソリューションをさらに詳しく調べて、ベンダーが何を提供しているかをきちんと理解するようにしましょう。ホステッドソリューションを利用するユーザーは、大抵の場合、提供される内容を憶測で判断しているため、予想以上のリスクが生じることになります。そのため、いくつかの異なるクラウドモデルと、それぞれの環境における脅威をどう捉えるかについて説明することにします。
SaaSモデル
最も一般的なクラウドモデルがSaaS(Software as a Service)です。Netflixは皆さんが知っているSaaSの例です。Netflixの仕組みについて考えてみましょう。Netflixのサービスに対し、月額料金を支払い、クラウド上の映画やテレビ番組に接続します。ユーザーはスマートフォン、タブレットもしくはTV上で小型のアプリを使用しますが、プロセス、ストレージ、インフラストラクチャーおよびプラットフォームはすべてNetflixの環境内に存在しています。必然的に、SaaS環境におけるユーザーのセキュリティ上の責任は、ユーザーのアカウントおよびサービスに接続するデバイスに制限されます。そのため、エンドユーザーがマルウェアを警戒すべき領域は、ユーザーのデバイス内の感染の可能性のある領域となります。SaaSソリューションがユーザーデバイスへのデータのダウンロードを許可している場合は、ローカル環境にデータが存在することになるため、ハイブリッドモデルと同様の考え方になります。SaaSは、ほぼハンズオフ型のセキュリティモデルと思われるかもしれませんが、完全にそうではありません。
PaaSモデル
次のレベルがPaaS(Platform as a Service)です。PaaSでは、プラットフォーム上のアプリケーションやデータに対する責任をクラウドを利用するユーザーに委ねて、制御を任せています。PaaSモデルの1つの例として、Microsoft Azureが挙げられます。Microsoft Azureでは、環境がすでに構築されており、ユーザーがあとで機能をロードします。大規模小売店に行って、市販のPCを買うことを考えてみてください。マシンはすでにほぼセットアップされていますが、ユーザー自身がアプリケーションをロードしなければならず、デバイス上での作業の責任はユーザーが負うことになります。PaaSも同様の仕組みです。主に心配すべきはデータのセキュリティです。ユーザーがうっかりファイルを削除してしまったり、ファイルがマルウェア感染した場合、その責任は、クラウドサービスプロバイダーではなく、データを使用している組織にあります。このため、アプローチはかなり異なります。SaaSモデルでは、ユーザーはクラウドにホストされているデータの制御や保護を行いませんが、PaaSのアプローチはこれとは異なります。PaaS環境では、(既に説明したローカル資産における考慮事項に加え)バックアップ/フェイルオーバーなどを実施してデータおよびアプリケーションを適切に管理することが非常に重要です。ユーザーのセキュリティリスクと責任のレベルは上がります。
IaaSモデル
最後は、IaaS(Infrastructure as a Service)モデルです。IaaSにおけるユーザーの責任レベルはPaaSよりもさらに上がり、ユーザーにOS(Windows Serverなど)を含むサーバー構成と組織の制御を委ねています。オンプレミスモデルではなくIaaSモデルを採用する場合は、基本的に、ハードウェアおよびサーバー管理を行うデータセンターのホスティング機能をユーザーが外部委託していることになります。ですから、ローカル/SaaS/PaaSと同様の考慮事項があるうえに、責任の範囲がさらに加わります。ユーザーがOS、パッチ、アップデートを制御しなければいけないため、特にそれらに対するセキュリティが非常に重要になります。ユーザーはRAIDアレイの故障やサーバー上の電源の心配をする必要はありませんが、それ以外のすべてに責任を持つことになります。これらの環境をセキュリティ保護する場合、少なくともマルウェアについては、ローカル環境の責任を負う場合とほぼ同じ考慮が必要です。ユーザーは、適切な脆弱性テストおよび管理を実行し、これらのインフラストラクチャーの保護および監視を行う中核的なセキュリティツールを必ずインストールする必要があります。
最後に
ご存じとは思いますが、クラウドのセキュリティ、特にマルウェアなどの脅威に関連するセキュリティは非常に扱いにくいものです。組織内にこれらのソリューションが混在する環境もあるでしょう。そのような環境でクラウドセキュリティ戦略を安心して推進するうえで最も重要なことは、自分の組織の環境に基づいて、どこに脅威が潜んでいるかをしっかり把握することです。
効果を最大化し、投資を最小化するために、さまざまな種類のソリューションを検討してセキュリティ戦略を構築します。さらに、どのクラウド環境を選択するかを決断する際には、その環境を採用した場合、将来的にどのようなセキュリティ上の影響があるかをよく理解すべきです。
まずは、手持ちのテクノロジーで何を達成する必要があるかに注目して、それからそのニーズにふさわしい製品やサービスを選択するようにしましょう。最後に、実行可能なホスティングオプションから派生するセキュリティ上の問題を(テクノロジーのプロフェッショナルの協力を得て)理解しておきましょう。
執筆者について:ベン・シュマーラー氏は、メリーランド州コロンビアに本部を置く、受賞歴のあるマネージドサービスプロバイダー(MSP)であるDP SolutionsのDirector of Strategic Operationsです。シュマーラー氏は、クライアントと協力して、技術的なセキュリティだけでなく、ポリシー/コンプライアンス管理、システム設計、統合計画、およびその他のビジネスレベルの技術的な問題に対する一貫した戦略を開発しています。DP Solutionsに関する最新情報は、LinkedInまたは同社のWebサイト(www.dpsolutions.com)で参照できます。
編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwire Inc.の意見を反映するものではありません。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
