IT活用が普及するにつれて、日常生活や業務の中でITを活用する機会が増えてきます。 それとともにサイバー攻撃の脅威というのも実は増えてきています。これがどうクラウドと関係するかをご紹介します。
想定する読者
セキュリティ対策という言葉はよく耳にされると思いますが、責任あるサービスを提供する立場に立つと、かなり手のかかる対策になります。また、そのサービスやシステムの利用者からすると、セキュリティ対策が甘く、それにより利用者が不利益を被った場合に、強い非難にあうという特性があります。その中でクラウドを利用するということは、一部はクラウド事業者の責任で対応がされるということになります。正確にはクラウド利用者では対策が打てない部分が出てくるので、その部分はクラウド事業者にゆだねるということになります。具体的にどのくらいメリットがあるかをお伝えします。もちろんデメリットもあるので、それも併せてご紹介します。
セキュリティ対策で最も手間がかかるのが、何らかの防御の仕組みや検知の仕組みを整備するということが高価であることから、費用的な負担が大きいということもありますが、これらの仕組みの中のブラックリストやホワイトリストなどを日々メンテナンスしていくこと、さらには利用しているユーザからの個別の依頼などに対応していくという作業が最も手間であり、これを怠るとどんなに立派な仕組みを入れても、攻撃者の格好のねらい目になってしまいます。
セキュリティ対策の重要な要素
ファイヤーウォールのリスト更新
日本語にすると「火の壁」という通り、耐火用のシャッターのようなものです。外から侵入することを防御することが基本的な役割です。ただ、シャッターを締め切ってしまうと、持ち主も入ってくることが出来ないので、申請した人であれば入ることが出来るようにルールが設定できるようになっています。システムの世界では、主にはIPアドレスによって識別をしているため、ファイヤーウォールにもどのIPアドレスのアクセスを許容するかというリストを持っています。
リストの更新が大変!?
いつも決まったPC/スマホ/タブレットなどからしかアクセスがないのであれば、許容するリストを決めておけばよいです。これをホワイトリストと言います。ですが、広く世の中にサービスを提供しているようなシステムや人の入れ替わり、様々な端末からのアクセスなどがあると許容するアクセスをリスト化することが大変です。非常に機微な情報を取り扱うシステムでは、都度リストの更新をしてからしかアクセスが出来ない形で利便性を犠牲にして運用することもあります(ホワイトリスト)。また、アクセス制限されるという不便が許容できない場合は、アクセスを禁止するリストを作成します(ブラックリスト)。これらの通り、日々変わる利用状況に応じてこれらのリストを更新していかないと、アクセスしたい人が出来ず、してはいけない人がアクセス出来てしまうという状況になってしまいます。
脆弱性対応
少し専門的ですが、なじみのあるところではWindows updateやiOS/Androidのバージョンアップといったところです。アプリケーションやソフトウェアも提供され始めた時に完璧なものではありません。あとからバグが見つかることもあります。そういった更新をしないといつまでも穴が開いたままになります。その隙間から攻撃者が入ってきてしまう可能性があります。この点の厄介なことが、更新が必要なことは広くユーザに伝えなければいけないので、おのずと攻撃者にも穴があるという事実が伝わってしまいます。つまり更新し忘れている状況が長ければ長いほど侵入される危険が高くなるということです。その点から、迅速に対応することが必要です。
ウィルスパターンファイル等の更新
基本的には自動でされる処理であることが多いですが、みなさんのパソコンにもウィルス対策ソフトが入っているかと思います。定期的にパソコン内のファイルなどをチェックして、怪しいファイルがないかを見てくれるソフトです。このときにもウィルスパターンファイルというリストをもとにチェックをしており、最近見つかったウィルスについての情報を取得しておかないと見つけられないということになります。これはパソコンに限らず、ITシステムの中でも同じようなチェックがされており、上記の脆弱性と同様に公開される情報に近いので、パターンファイルの更新がされない/遅れると攻撃者の好き勝手にされてしまいます。
ここでなぜクラウド?
勘のいい方は気づかれるかと思いますが、上記はいずれもセキュリティ対策の中でも運用フェーズで重要となる作業です。ただ、運用であるから見ていればいいではなく、運用が出来ていない、手抜きになると攻撃者の餌食になることは理解頂いたと思います。ここをクラウド事業者に任せることが出来るとそれだけセキュリティを高めることが出来ます。あまり情報システム部にメンバが多くない、セキュリティの知識が弱いような企業であれば、自社でシステムを構築して、甘いセキュリティ運用をするくらいならば、クラウドサービスが保証するレベルのセキュリティを費用で獲得する方が合理的です。このご時世、セキュリティ対策がお留守なことは、何か問題が起こったときに強く糾弾される傾向も強いため。
そんなにクラウド事業者任せにしてよいかということも実は考慮が必要です。というのもクラウド事業者はセキュリティ会社ではないので、あくまでもクラウド事業者が提供しているサービスの範囲になります。ただ、このレイヤーは汎用な技術が多く、多くの利用者がいることから、脆弱性などが発覚した際は攻撃者としては狙いたい放題の状況です。無作為に攻撃しても高確率で利用者に出会えるという状況です。このレイヤーのセキュリティはクラウド事業者が利用顧客を横並びにメンテナンスしてもらうことで対応されます。
ここで重要な点は、自社で個別に開発したものや設定したものはクラウド事業者とはいえ対応されないので自身で対応する必要があります。社会で多くの人が利用しているサービスであれば、それだけ有益な情報を多く持っていたり、攻撃者としても攻撃のしがいがありますが、そこまで大きくないサービスなどでは確率的に標的にされる可能性が低くなります。穴がどこにあいているかも個別事象になるので、そこまで攻撃者も労力を割くかということです。所得の高くない家に空き巣が注目するかという点と似ています。セキュリティはその点では確率的なリスクという特性があります。
まとめ
今回はクラウドを利用することでセキュリティを高める、といった観点で特徴をご説明しました。皆が共通して利用しているようなソフトやアプリケーションについてはクラウド事業者側でセキュリティ対応される可能性も高く、この点はメリットです。ただし、上述のように決してそれだけでは安全ということではありません。それに以上に、ふつうレベルでのセキュリティ運用をすることが、とても面倒で優先度高く実施出来ないのが現状です。つまり、平均を維持することがとても難しいので実態は平均以下のセキュリティ運用になっているところを平均まで押し上げるため、といった感覚です。
セキュリティは非常に奥が深いので、それはまた別にご紹介できればと思います。