クラウド&データセンター完全ガイド:特集
「セキュリティ基盤としてのデータセンター」に着目する
データこそ最大の経営資産の今[攻め]で臨むITインフラセキュリティ[Part 1]
2017年10月20日 06:00
弊社刊「クラウド&データセンター完全ガイド 2017年秋号」から記事を抜粋してお届けします。「クラウド&データセンター完全ガイド」は、国内唯一のクラウド/データセンター専門誌です。クラウドサービスやデータセンターの選定・利用に携わる読者に向けて、有用な情報をタイムリーに発信しています。
発売:2017年9月29日
定価:本体2000円+税
DDoS攻撃、標的型攻撃、ランサムウェア……企業・組織を取り巻くセキュリティリスクは5年前と比較しても脅威のレベルが大幅に異なる。預かった顧客の重要な情報資産を、情報と物理の両面から強固に保護するセキュリティの仕組みは、外部データセンター/クラウドサービスの大きなアピールポイントでもある。自社の情報資産保護の強化策に利用することの意義を改めて考えてみたい。 text:渡邉利和
ITの進展が犯罪者にも恩恵をもたらす
1980年代後半から2000年代にかけて急速に発展したIT/インターネットは、今や当たり前の社会インフラとしてだれもが日常的に活用するようになっている。企業活動や商取引もインターネット上で実行されるようになり、そして「カネが動く場所に犯罪者も集まる」ということで、サイバー犯罪と総称されるさまざまなセキュリティ侵害事案が日々報道されるようになっている。
現在のセキュリティリスクは、そのほとんどが経済的利益を目的とした犯罪だといって過言ではないだろう。そして、犯罪者側の動機としてよく言及されるのが、ビットコインをはじめとする仮想通貨の流通により、“犯罪者にとって”被害者からの“支払い”が安全なかたちで実行できるようになった点だ。
営利誘拐などを扱った映画やドラマなどでは、身代金の受け渡しが犯罪者にとってきわめてリスクが高いことを前提に、そこをどうクリアするか、警察と犯罪者の知恵比べとしてクライマックス場面として演出される。一方、ビットコインなどを使えばこの問題が一挙にクリアされてしまう。現在、全世界で猛威を振るう各種ランサムウェアは、こうした仮想的/電子的な支払い手段の普及があったからこそ、ここまでの流行に至っているとも言える。
また、現実世界で企業のオフィスや工場、店舗に物理的に侵入し、価値ある情報や資産を盗み出すのは簡単ではない。伝統的な産業スパイなどでは、目的の情報にアクセスできるようになるまで潜入してから数年を要するなどという話もあるが、それに比べるとインターネット経由で電子的に侵入し、情報を取得するのは相対的に難易度が低いと言える。結局のところ、企業側でもサイバーセキュリティに関する知識や対策レベルは物理的なセキュリティほどに成熟しておらず、結果的に無防備な状態が放置されていることがサイバー犯罪を呼び込んでいる面もあるだろう。
サイバーセキュリティこそ専門家の力を借りる
サイバーセキュリティに関しては、常に「社内にセキュリティの専門家がいない」という問題が語られる。人材がいないので対策のしようがないという打つ手なしの状況に陥ってしまうわけだが、現実的に言って、サイバーセキュリティの専門家をあらゆる企業が雇用するようなことは想定しがたい。
昔から、「×年後には○○の人材が△万人不足する」といった危機感をあおるような予測が繰り返し公表されている。プログラマー、システムエンジニア、ネットワーク技術者など、さまざまな職種が近い将来、数十万人単位で不足すると予測されてきたわけだ。だが現実にはそんな膨大な人数の供給があるはずもなく、単純な人数に頼らずに何とか工夫してしのぐほかに手はなく、実際にそうやって対処してきたのである。セキュリティ専門家も同様だろう。
セキュリティに詳しいエンジニアが大量にいて、各企業に所属するようになれば、それはもちろん理想ではある。だが今の国内のセキュリティ人材育成の状況を見てもそれは無理な話だ。現実解としてはアウトソーシングで対応することになるだろう。現在のサイバーセキュリティは、「社内に人材を置いて対応する」という自前主義で対応可能なレベルを超えており、外部の専門家の力を借りることで、自社のITインフラや情報資産を相応のレベルで守れるようになる。
そもそも、物理=リアルでのセキュリティに関して、例えば巡回警備などを行う場合、社内に適切な人材を育成するという話ではなく、専門の警備会社などと契約して対応するのが一般的だろう。サイバーセキュリティに関しても、高度な専門性や経験が求められる業務である以上、その分野の専門家に任せるという発想に切り替えるべきタイミングになりつつあるように思われる。
セキュリティ基盤としてのデータセンター
ファシリティやITインフラレベルからのセキュリティ強化策として、商用データセンターサービスやクラウドサービスを活用するアプローチが有効である――このことを本誌は以前から繰り返しお伝えしてきた。
もともと、メインフレームを安全に運用するための環境をサービスとして提供することから始まったデータセンターは、耐震性にすぐれた堅牢な建屋に多重化された電源を確保しており、自然災害などに対する十分な備えを施している。さらに、現在では冗長化された通信回線を確保することも常識化しており、自然災害への耐性という観点で専用施設であるデータセンターの安心感はきわめて高い。
データセンターが責任を負うセキュリティ確保策の1つに入退室管理が挙げられる。図1のような複数ステップの施策で、悪意ある者が引き起こすインシデントを未然に防ぐことができる。データセンターのマシンルームに置かれるIT機器は基本的にはユーザー企業の資産なので、いわば貸金庫的な発想で安全確保が行われる形となっている。設置スペースを顧客単位で完全に分離独立させる対応までなされるのは、相当大規模な顧客で相当数のラックをまとめて借りるような場合に限られるだろうが、高いセキュリティレベルが確保できるメリットは大きい(図2)。
筆者が米国のデータセンターを見学した際には、玄関からマシンルームに至る屋内の経路が屈曲していた。大型トラックなどを使って玄関に突入された場合にも、マシンルームまで被害が及ぶことを避ける意図だという。実際にどのレベルまで実現するかは、現実にどの程度のリスクまでが“ありえる”ものと想定されるかによって変わってくるわけだが、オフィス内にマシンルームを設置するのとは比較にならない高度なレベルのセキュリティ対策が行われていることは間違いない。
IT機器の物理セキュリティに関しては、データセンターを利用することで自然災害および悪意ある部外者の物理的なアクセスからはほぼ確実に保護できる。一方、ランサムウェアのようなサイバー攻撃に関しては通常はデータセンターの責任範囲には含まれないが、この部分もマネージドセキュリティサービスなどを活用することでデータセンターやセキュリティ企業に委託することが可能だ。
セキュリティ確保のためには、適切なハードウェア/ソフトウェアを導入して防御策を講じると同時に、状況を把握するためのログのチェック・分析が不可欠となる。セキュリティソリューションの導入自体はできても、常時システムの監視を継続し、万一のトラブルや攻撃の兆候をいち早くつかんで対応するというのは、今となってはユーザー企業が独力で対処するのは困難だ。マネージドセキュリティサービスなどの外部の専門家のサービスでは、複数顧客のシステムをまとめて監視するなどの効率化手法がとれることから、社内に専門スタッフを準備するのに比べてより高品質な対応を低コストで実現できるわけだ。
社内にもある程度セキュリティが分かるスタッフが必要だが、ログの監視などの現場作業よりは、むしろ何かあった場合の対処の方針を決めるなど、経営レベルでの対応方針を策定できる人材が必要となる。専門技術は外部に任せ、意思決定の部分は社内で責任を負う、というかたちでの役割分担が理にかなっていると言え、こうした対応を進めることで、トータルではコストを抑えてセキュリティレベルを引き上げることが可能になる。