SQLインジェクション: SQLを使ったサーバの情報を抜き出そうとする攻撃方法。データベースに不正なSQLを設置し、外部から情報を得ようと操作を行います。
クロスサイトスクリプティング: 意図しないページに飛ばす仕組みをWebサイトに仕込むこと。Webサーバに侵入され、不正なプログラムが介入することで発生し、アカウント情報などが奪われます。
DDoS攻撃: サーバに対して大量のアクセスを行い、不要な処理を行わせることでリソースを枯渇させてダウンさせる攻撃です。

IaaSのセキュリティ対策のポイント

つづいて、IaaSのセキュリティ対策のポイントを見ていきましょう。

IaaSでセキュリティ対策を行うときは、OSやミドルウェアの脆弱性をカバーすることが大切です。特にWebサイトやWebサービスでIaaSを利用する際は、より注意しなければなりません。

実際にIaaSを基盤としたWebサイトなどでは、OSやミドルウェアの脆弱性を狙った攻撃が多いです。世界的にも被害が拡大しており、対策は必須とされています。

IaaSを利用するときは、定期的にOSやミドルウェアの更新を行い、脆弱性を修正するプログラムを実施しましょう。よりセキュリティ対策を強化したい場合はWAFなどのツールを導入することもおすすめです。

IaaSでセキュリティを意識するのであれば慎重にベンダーを選び、社員の教育を行う必要があります。基本的にIaaSの場合は自社でセキュリティ対策を行わなければならない範囲があるでしょう。

しかし、ベンダーによってはセキュリティ対策がサポートに含まているケースもあります。ベンダーを選ぶ際は、クラウド事業者のサービス内容だけでなく、仕様書・契約書を確認すると良いでしょう。ほかにも、コンサルティング会社に事業者を選定してもらうこともおすすめです。

実際にヒューマンエラーによってセキュリティ事故が起きることも少なくありません。そのため、従業員のセキュリティ意識を高める研修や、厳重なパスワード管理が大切です。

IaaSのセキュリティの注意点

最後に、IaaSでセキュリティ対策を行うときの注意点を見ていきましょう。

IaaSを利用するときには運用やセキュリティ対策を自社で行う必要があるため、技術者が必要になります。インフラ構築を行った経験やノウハウがあれば問題ありませんが、社内にそういった技術を持つ者がいないと危険です。

実際に、IaaSの導入後、担当者の運用負荷が高くなって体制が破綻したケースも少なくありません。インフラ構築までは業者が行ってくれることもありますが、運用は自社で行わなければならない点に注意が必要です。

導入する前に適切な運用体制を構築できるかどうか確かめましょう。

IaaSの運用は難しく、設定ミスによるインシデントが発生しやすいことを認識する必要があります。

実際にMcAfeeの調査結果によると、IaaS運用に関する設定ミスは月に平均2000件以上も発生しています。そして、そこから派生したリスクが多いです。誰でもアクセス可能な状態になっていることも全体の５％存在しています。

コスト削減を目的にIaaSを活用する企業が増えていますが、セキュリティの戦略がなければ非常に危険です。まずはクラウド環境でのインフラを構築にはリスクがあることを正しく認識しましょう。

クラウド環境を有効活用できるIaaSでも、自社でセキュリティ対策を行う必要があるため注意してください。

具体的にはOSやミドルウェアの脆弱性が狙われるといったリスクがあります。また、運用負荷も大きくなりやすいため、セキュリティのサポートを行えるベンダーを選ぶのも有効でしょう。

IaaSを活用するときは、適切なセキュリティ対策を行ってください。

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「IaaSにはセキュリティ対策が必要？対策ポイント・注意点を解説！」というテーマについて解説しています。IaaSの製品導入を検討をしている企業様は、ぜひ参考にしてください。

11月29日(月) 更新
	「最適なクラウド環境をご提供！ハイブリット型クラウドサービス」株式会社両備システムズ
	オンプレミスVMware環境をそのままクラウドへSmartConnect Cloud Platform NTTスマートコネクト株式会社
	他社に比べ、圧倒的なコストパフォーマンスを実現　Oracle IaaS 日本オラクル株式会社
一覧を見る