クラウド利用を前提とした時代に求められるセキュリティ像

クラウドにテレワーク、守るべき箇所の増大

　企業のセキュリティ対策と言えば、かつてはクライアントPCにインストールする「アンチウイルスソフトウェア」が主流だった時代や、ファイアウォールやIDSなどによるネットワークレベルでの侵入防御が主役となった時代もあった。こうした手法は今でも有効であることに変わりはないが、現在ではこうしたセキュリティ保護策はすべて「ポイントソリューション」と見なされるようになっている。つまり、今やどんなセキュリティ保護対策も、それぞれ特定の攻撃に対する防御策でしかなく、有効範囲が狭くなってしまっているのだ。ユーザーとしては、こうしたポイントソリューションを効果的に組み合わせ、漏れのない防御態勢を構築するか、あるいは“網羅的／包括的な保護”を謳うベンダーのセキュリティサービスに委ねるか、といった選択を迫られる状況になっている。

　クラウド時代になったとはいえ、オンプレミスには一切のITリソースが存在しない、という企業や組織はまずないだろう。このため、クラウド時代になったことで、多くの企業／組織にとっては単純に「防御すべき箇所が従来のオンプレミス環境だけでなく、新たにクラウドも追加になった」という状況だ。これだけでも負担増は避けられない。さらに細かく見れば、オンプレミスと言っても実際にはオフィスとデータセンターの大きく2カ所に分かれていたり、あるいはオフィスが複数拠点に分散していたり、さらにはデータセンターが冗長構成になっていたりする。いずれはすべてがクラウドに集約される時代が来るのかも知れないが、現状ではまだ、拠点の増加傾向は続くものと覚悟しておく必要がありそうだ。

　加えて、昨今では“働き方改革”への取り組みが求められていることから、テレワーク／モバイルワークのための環境整備に取り組む企業も増えている。セキュリティの観点からは、この取り組みもまた防御対象の増加傾向をさらに加速するものとなる。極端な話、オフィス以外の場所にいる関係者全員を一人一人確実に保護しなくてはならない、ということになるからだ。業務や業態によっても異なるが、おおよそ、データセンター、オフィス等の拠点、クラウド、モバイルユーザーが守るべき対象として挙げられるだろう。

　続いて、これらの箇所で“何を守るのか”についても意識しておく必要があるだろう。基本的には“データ”“情報資産”ということになるが、具体的な種類としてはさまざまなものが考えられ、防御手法が変わってくることも想定される。データと言って真っ先に思い浮かぶのは、ファイルやデータベースに記録されたデータだろうが、ユーザー識別や認証、権限付与に使われるユーザーIDやパスワードといったアカウント情報もよく狙われる“データ”だろう。データベースなどは、「データが保存されている場所に攻撃が仕掛けられる」のに対して、アカウント情報などはいわば「ユーザーが常時持ち歩いている」情報と見なすことができるため、アカウント情報データベースに加え、フィッシングなどのユーザー自身に誤認させることで不正に情報を引き出すような手法に対する防御も必要になる。

　このほか、サーバーやアプリケーションの安定稼働そのものも守るべき対象と見なすことができる。安定稼働を狙う攻撃はDoS（Denial of Service：サービス拒否）攻撃と呼ばれ、情報を盗み出すのではなく、システムの安定運用を妨害することから、単純な力ずくの攻撃でも一定の効果が得られてしまう場合もあり、注意が必要となる。

　このように、どこにある何を守るのか、を整理することがまずはセキュリティの基本となる。クラウド時代のセキュリティの基本は、守るべき箇所と守るべき情報の種類が以前よりも増えて複雑化しているという現状をきちんと踏まえた上で、それらを漏れなく防御できる体制作りに取り組まなくてはならない。

政府のガイドラインなどを確認しつつ、最新動向の把握も

　クラウドセキュリティに関しては、国レベルでサイバーセキュリティの強化に取り組むという方針もあることから、政府からもさまざまな情報発信が行なわれている。数年前の情報なども混ざってはいるものの、基本的な前提知識をベンダーニュートラルな立場で説明していることから、一読の価値があるものが多いので、ぜひ目を通しておくべきだろう。

　たとえば、経済産業省では「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」や、このガイドラインを活用するための手引きとなる「クラウドセキュリティガイドライン 活用ガイドブック」といった、利用者視点での情報が公開されている。総務省からも、2018年7月に「クラウドサービス提供における情報セキュリティ対策ガイドライン（第2版）」が公開されており、利用者／サービス事業者双方の視点からのセキュリティのベースラインを確認できるだろう。総務省のガイドラインでは、「IoTサービスリスクへの対応方針編」という章も設けられており、今後のクラウドセキュリティの主役がサーバーやPCといった従来型のエンドポイントから、IoT環境へとシフトしつつある状況を反映している。基本的なポイントについては数年程度では古びない情報も多いが、一方でセキュリティに関しては変化が速い分野でもあることから、最新動向について注意を払うことも重要になってくる。

　エンドユーザー視点での昨今のセキュリティ状況としては、相変わらずメールやウェブアクセスが攻撃経路としては圧倒的なため、ここをきちんと防御することが重要となる。一方で、既に流行の山を越えた感もあるが、ランサムウェアの大流行によってバックアップの重要性に改めて注目が集まったのも昨今のポイントだ。従来のバックアップは、基本的にはストレージが物理的に破壊されるような状況を想定したものと言え、バックアップからリストアする頻度はそう高いものではなく、“万一に備えた保険”という言葉通りの存在だと思われる向きが多かった。しかし、ランサムウェアによって、「ハードウェアトラブル以外の要因によるデータ破壊」に直面するユーザー企業が急増し、バックアップからの復旧が命綱となる例が多数報告された。バックアップの重要性については「いまさら」という感もあろうが、最新のセキュリティ対策に加え、基本となるバックアップ／リストアの体制についても再検討が必要になると思われる。

図1：クラウドサービス利用にかかわるリスク（出典：経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」）