IaaSのセキュリティの必要性
まずは、IaaSでセキュリティ対策を行う必要性を見ていきましょう。
IaaSは自社で運用しなければならない
IaaSの運用は基本的に自社で行わなければならないため、セキュリティ対策を行う必要性があります。クラウドサービスでインフラ環境を提供しているIaaSでは、提供側と利用側の両者で対策が必要です。
サービスによって異なりますが、提供側のセキュリティの責任範囲と利用側のセキュリティの責任範囲は決まっています。
提供側は仮想インフラ・セキュリティグループ・ネットワークインフラの対策を行わなければなりません。それに対して利用側は、Webアプリケーション・ミドルウェア・OSの対策を行います。
クラウドであればセキュリティを任せられるイメージを持つことが多いでしょう。しかし、IaaSは自社でも対策する必要があるため注意してください。
セキュリティリスクは多く存在する
IaaSを利用している場合でもセキュリティリスクは多く存在します。想定されるリスク・脅威は以下のとおりです。
- SQLインジェクション
- SQLを使ったサーバの情報を抜き出そうとする攻撃方法。データベースに不正なSQLを設置し、外部から情報を得ようと操作を行います。
- クロスサイトスクリプティング
- 意図しないページに飛ばす仕組みをWebサイトに仕込むこと。Webサーバに侵入され、不正なプログラムが介入することで発生し、アカウント情報などが奪われます。
- DDoS攻撃
- サーバに対して大量のアクセスを行い、不要な処理を行わせることでリソースを枯渇させてダウンさせる攻撃です。
IaaSのセキュリティ対策のポイント
つづいて、IaaSのセキュリティ対策のポイントを見ていきましょう。
OSやミドルウェアの脆弱性をカバー
IaaSでセキュリティ対策を行うときは、OSやミドルウェアの脆弱性をカバーすることが大切です。特にWebサイトやWebサービスでIaaSを利用する際は、より注意しなければなりません。
実際にIaaSを基盤としたWebサイトなどでは、OSやミドルウェアの脆弱性を狙った攻撃が多いです。世界的にも被害が拡大しており、対策は必須とされています。
IaaSを利用するときは、定期的にOSやミドルウェアの更新を行い、脆弱性を修正するプログラムを実施しましょう。よりセキュリティ対策を強化したい場合はWAFなどのツールを導入することもおすすめです。
ベンダー選定・社員の教育も必要
IaaSでセキュリティを意識するのであれば慎重にベンダーを選び、社員の教育を行う必要があります。基本的にIaaSの場合は自社でセキュリティ対策を行わなければならない範囲があるでしょう。
しかし、ベンダーによってはセキュリティ対策がサポートに含まているケースもあります。ベンダーを選ぶ際は、クラウド事業者のサービス内容だけでなく、仕様書・契約書を確認すると良いでしょう。ほかにも、コンサルティング会社に事業者を選定してもらうこともおすすめです。
実際にヒューマンエラーによってセキュリティ事故が起きることも少なくありません。そのため、従業員のセキュリティ意識を高める研修や、厳重なパスワード管理が大切です。
IaaSのセキュリティの注意点
最後に、IaaSでセキュリティ対策を行うときの注意点を見ていきましょう。
適切な運用には技術が必要
IaaSを利用するときには運用やセキュリティ対策を自社で行う必要があるため、技術者が必要になります。インフラ構築を行った経験やノウハウがあれば問題ありませんが、社内にそういった技術を持つ者がいないと危険です。
実際に、IaaSの導入後、担当者の運用負荷が高くなって体制が破綻したケースも少なくありません。インフラ構築までは業者が行ってくれることもありますが、運用は自社で行わなければならない点に注意が必要です。
導入する前に適切な運用体制を構築できるかどうか確かめましょう。
設定ミスが起こりやすいことを認識する
IaaSの運用は難しく、設定ミスによるインシデントが発生しやすいことを認識する必要があります。
実際にMcAfeeの調査結果によると、IaaS運用に関する設定ミスは月に平均2000件以上も発生しています。そして、そこから派生したリスクが多いです。誰でもアクセス可能な状態になっていることも全体の5%存在しています。
コスト削減を目的にIaaSを活用する企業が増えていますが、セキュリティの戦略がなければ非常に危険です。まずはクラウド環境でのインフラを構築にはリスクがあることを正しく認識しましょう。
参照:Cloud Adoption and Risk Report|McAfee
適切なセキュリティ対策でIaaSを運用しましょう
クラウド環境を有効活用できるIaaSでも、自社でセキュリティ対策を行う必要があるため注意してください。
具体的にはOSやミドルウェアの脆弱性が狙われるといったリスクがあります。また、運用負荷も大きくなりやすいため、セキュリティのサポートを行えるベンダーを選ぶのも有効でしょう。
IaaSを活用するときは、適切なセキュリティ対策を行ってください。