根強く残る「クラウドはセキュリティが不安」に、エンジニアとして正しく対応するため

今や当然のように使用しているAWS（Amazon Web Services）やMicrosoft Azure、GCP（Google Cloud Platform）などのパブリッククラウドサービス。「クラウドは当たり前」になったとも言える2021年ですが、それでも、オンプレミスからの移行プロジェクトなどでは、依然として「クラウドはセキュリティが不安…」という声が多いのも事実です。お客様への提案や自社での導入時に、クラウドサービスを選択する際の漠然とした不安や心配を払拭するためにも、クラウドサービスを理解し、要件に合わせた適切なセキュリティを導入することが重要です。今回は、クラウドのセキュリティとは何か、また具体的にどのようにすればセキュリティを高めることができるのか、についてエンジニアの視点も交えて、ご紹介したいと思います。

クラウドって、セキュリティは大丈夫？

そもそも「漠然としたセキュリティへの心配」というのは、どこから来ているのでしょうか。それは、クラウドサービスがインターネットをベースとしていることで不正アクセスを受けやすく、実際にサイバー攻撃される事例が多いことが関係していると思われます。また、社内基幹システム等の重要情報は、「インターネットに保管する＝公開される」という不安があることから、「社内保管すれば安全」という考え方が根強く、インターネット上に保管することに抵抗があるのかもしれません。

ここでは、クラウドサービスのセキュリティについて、３つのポイントで見ていきます。

【保守性】
オンプレミスの場合、サーバやネットワーク機器は、定期的なハードウェア更新や部品故障の対応等が必要になります。サーバ状態が古いとウイルス感染したパソコンからの感染や不正アクセスが受けやすくなるからです。クラウドサービスでは、脆弱性やセキュリティ対応として、サービス側でハードウェアを最新状態にしたり、機械監視を常に行なっているため保守性に優れています。

【導入できるセキュリティの幅】
1社専用型になるオンプレミスの場合には、上位機種のセキュリティ機器や最新機能が搭載された機器は高額になりやすく導入が見送られるケースもありました。
クラウドサービスの場合には似た機能が提供され、利用料金も安価に設定されています(アプライアンス製品等は除き）。また短期間で導入できる利点もあります。

【クラウドサービスの構造についての知識と公開範囲設定】
クラウドサービスでは、インターネットに公開しない非公開設定とインターネットからのアクセスを受け付ける公開設定を選択できますが、設定を誤ってしまうとインターネットで公開してはいけないデータが公開状態となり、情報流出につながってしまう恐れがあります。そうした設定ミスで実際にセキュリティ事故が起きる例は多々あり、これがクラウドサービスを心配する要因になっていますが、これは知識/スキル/確認不足によるもので、本来適した設定をすれば、基本的なセキュリティ事故は防ぐことができます。

セキュリティをより高めるために

上記以外でセキュリティを実装するためにおすすめしたい機能や設定をご紹介します。クラウドサービスによって独自の機能もあり多岐に渡りますので、ここでは例としてインターネットに公開するオープンなシステム向けと社内基幹システムのようなクローズドのシステムに分けて取り上げていきます。

＜オープン型システム＞
オープン型システムの場合、Webサーバの防御としてWebアプリケーションのファイアウォール(WAF)が挙げられます。クラウドサービスのWAF導入は、導入の敷居が低いのでおすすめです。通常WAF利用する際は、制限したいアプリケーションルールや条件を手動で設定したり、新しい攻撃パターンに合わせてルールの見直しが必要ですが、例えばAWSのWAFの場合、既に設定が入り、定期的にルールがアップデートされるWAFサービスも提供されています。セキュリティメーカーで知られるF5やFortinetがAWS用にWAFルール(ルールの組み込み、定期的なアップデート含め)を安価に提供しており、簡単に組み上げることができます。また、こういった自動メンテナンスされるWAFサービスは会社ごとのカスタマイズを受け付けないサービスも多いですが、AWS WAFの場合には例外ルールの設定ができるので柔軟に運用できます。
（GCPはCloud Armor で特定ルールのみ / Azure WAFも特定ルール+仮想マシン型のアプライアンス提供もあり）

＜クローズドシステム＞
社内システムでクラウドを利用していても、インターネットに公開する必要がない場合には、社内アクセスのみ許可した構成を取ります。
この場合のアクセス方法として、クラウドはあくまでインターネット上にあるサービスなので、クラウド上の基幹システムにアクセスする際は、会社のIPアドレスのみ許可する方法を取ることが可能です。しかし、インターネット上を直接の通信が往復することになり、また会社のIPアドレスに成りすました場合にはアクセスできてしまう恐れもあります。
そこで、社内ネットワークとクラウドサービス間を仮想的に暗号化された同じネットワーク(サイト間VPN)を構築します。VPNの構成としては、クラウドサービス側にVPNゲートウェイを設定し、社内にはVPN専用装置を置いて暗号化された通信を作ります。このようにすることで、社内とクラウドサービス間を安全に通信することで、基幹システムへアクセスすることができます。
(AWS VPN / GCP Cloud VPN / Azure VPN Gateway)

＜クラウドセキュリティの知識を習得するには＞
知識を習得するには、実際に検証環境を構築し、機能検証をする実践的な習得方法と資格取得で体系的に習得する方法があります。
前者の場合、クラウドサービスではアカウント開設後の１年間の無料枠(AWS/Azure、利用サービスによっても上限あり)や使用料上限まで無料枠(GCP)があるので、それを利用してセキュリティ機能や設定等について検証することができます。

また、資格取得による習得では、クラウドサービス側で提供している公式資格とグローバルで通用するクラウドセキュリティに関する資格等とがあります。
公式資格の方はAWS/Azure/GCPで提供されており、初級・中級・上級レベルの3段階(GCPは2段階)に設定されています。初級はクラウドサービス全般を範囲としており、それより上位の資格から専門分野に分かれていくので(資格によって差はあります）、セキュリティ専門の資格を選ぶことができます。Azureでは「Azure Security Engineer Associate」が当たります。

資格取得に向けては、公式のオンライン講座やドキュメント・模擬試験が無料提供されているので、自身で学習することができます。ただ、分からないことを解説してほしい、公式に出ている教材だと分からない場合には、市販で売っている教本やパソコンスクールで学ぶのも方法の一つです。
加えてクラウドセキュリティに関する資格としては、世界共通の「CCSP」（(ISC)2にて実施）が知られています。CCSPは、特定サービス(AWS等)というよりはクラウドセキュリティとしてインフラ面・アプリケーション面・法務面等の全般的な知識が求められる資格で難易度は高いと言われますが、より広範な知識や複合的なスキル構築におすすめです。

まとめ

これまでパブリッククラウドサービスのセキュリティについて取り上げてきました。
今やクラウドサービスを利用している企業は、セキュリティを重視する金融機関を始め、日本政府の中央省庁向けシステム基盤もクラウド上に集約していく計画(総務省は一部移行）もあるようです。
ただ、一方で社内の情報セキュリティ基準が適応しない・現状ではクラウドサービスのセキュリティを担保するための費用が見合わない等、オンプレミス環境を選択するケースもあります。
それぞれの状況に応じて選択がされていくことになると思われますが、テレワーク環境への対応や多様なサービスを展開するクラウドサービスは、今後ますます導入・移行していく傾向が強まっていくことになると思います。このような流れの中では、クラウドサービスの特性を理解し、それに合わせたセキュリティの観点も合わせて理解しておくことが重要になっていきます。