IaaSセキュリティ対策はできてますか?~クラウド時代に必要なセキュリティ~ 製品・サービスの活用方法

2019年10月4日

IaaSとは?

IaaSとはInfrastructure as a Service の略で、情報システムの稼動に必要なコンピュータや通信回線等のインフラを、クラウド上から利用できるようにしたサービスです。
「システムを導入する際はまずクラウドから考えよう」というクラウドファーストの時代背景の中で、このIaaSの活用が各企業で一般的となってきています。
ガートナー社の調査によるとIaaS市場は2018年には31%成長しており、今後も伸びていく見込みです。
特に有名なものとしてはAmazonが提供しているAWSやMicrosoftのAzure、GoogleのGCP等があり、3社で市場シェアは67%と市場の大部分を握っています。

IaaSのメリットとしては、ストレージ、ネットワーク帯域等を必要な分だけ選択することができ、自由に環境を構築することが可能なことです。
料金についても使った分だけ支払うことが可能ですし、AmazonやGoogle等の最先端の企業が運営しているため安定した運用が見込めます。
また、必要に応じて柔軟に拡張することができます。

時代はクラウドファースト AWS GCP AZURE 生産性向上 管理者:業務効率化 従業員:手軽、便利、無償 コスト削減 システム運用の人材の削減 可用性を重視(No障害) アベイラビリティ 安定運用が望め、可用性が高くなる スケーラビリティ システムの拡張性が高く、柔軟な機能や性能の向上が見込める

IaaSの課題

このようにさまざまなメリットがあるIaaSですが、当然デメリットもあります。
実際にクラウドであればセキュリティを任せられるイメージを持つことが多いでしょう。
IaaSではOSから自由に選択できる代わりに、不正アクセス等の何かしらのセキュリティ事故に巻き込まれた際も、それはIaaSのユーザの責任範囲となります。

Appliation Data Middleware OS 利用者 H/W Network IaaS事業者

IaaSの責任分界点

さらにIaaSではOSや環境の管理を自分で行う必要があります。
メニューが豊富であるがゆえに設定が複雑化しており、セキュリティ上の正しい設定を行うには専門化による知見が必要です。
このような中、素人では正しいセキュリティ設定を行い、運営することが難しいサービスになりつつあります。
自由度が高いというメリットがデメリットにつながっているという課題があります。

IaaSセキュリティの必要性 ~設定ミスによるセキュリティ事故~

IaaSの課題について説明しましたが、アプリケーションやミドルウェア、OSに関してもユーザの責任範囲となるため脆弱性診断等、オンプレミス環境と同等のセキュリティ対策が必要となります。
さらにIaaSでは豊富な設定メニューが存在するため、その設定が本当にセキュアなのかどうかの確認が必要です。
AWSを例に取ると、IAMユーザのセキュリティ強度が低いまま運用していたため、不正アクセスを許してしまったり、不用意にアクセスキーを発行する設定にされていたため、アクセスキー流出からの情報漏洩につながったりする等IaaSの設定内容に起因するセキュリティのリスクは多数存在します。

実際にIaaSの設定ミスが原因となり多くのセキュリティ事故が発生しています。

2019年8月 1億人超の個人情報流出

某金融企業のクラウドサーバから、クレジットカードの発行を申請した個人や企業等1億600万人あまりの個人情報が流出
容疑者はAmazonの元従業員で、原因はAWSの設定ミスと言われている。

2017年11月 米陸軍の極秘情報がAWSで公開状態

米陸軍が監督する情報組織に関する機密情報が、AWSのクラウドストレージ「Amazon S3」のバケットに保存され、誰でも閲覧可能になっていたということが明らかとなった。
原因はユーザの初歩的な設定ミスであり、URLを入力すると誰でも米政府の機密文書にアクセスできる状態であったということです。

2017年7月 米大手通信社Verizonの加入者1400万人の個人情報に誰でもアクセス可能な状態

米大手通信社Verizon加入者の氏名、住所、アカウント情報、本人確認用の暗証番号等の情報をAWSのクラウドストレージ「Amazon S3」のバケットに保存していたが、設定ミスが原因で、このS3バケットのURLさえ分かれば、誰でもアクセスしてデータをダウンロードできてしまう状態だった。

IaaSセキュリティの必要性 ~導入時の課題~

IaaSは、部門ごとに使いやすいように個別に契約し、ルール設定しているパターンが大半です。
しかし、しっかりとセキュリティを考慮してIaaSに対する設定を行っている部署もあれば、適当な設定で済ませている部署も存在する可能性があります。

GCP 事業部A 事業部Aの独自のルール設定 Azure 事業部B 事業部B独自のルール設定 AWS 事業部C 事業部C独自のルール設定

企業におけるIaaSの導入例

このような運用をしていたのではどこかしらで設定ミスが発生し、前述したセキュリティ事故につながる可能性が大いにあります。
専門家によるチェックをもとに強固なセキュリティ設定を行い、会社として統一したルールを適用させることが急務です。

一般的なセキュリティ対策のアプローチ

では、セキュアなIaaSの設定を行うためにはどのようなアプローチがあるのか考えていきたいと思います。
セキュアな設定について、「CISベンチマーク※1」がその手助けをしてくれます。

AWS: Identity and Access Management / Logging / Monitoring / Networking  Azure:Identity and Access Management / Security Center / Storage Accounts / SQL Servers / Logging and Monitoring / Networking /Virtual Machines / Other Security Conditions  GCP: Identity and Access Management / Logging and Monitoring / Networking / Virtual Machines / Storage / Cloud SQL Database Services / Kubernetes Engine

CISベンチマーク検査項目

CISベンチマークには、具体的な設定方法までも明確に記載されているため、IaaSやセキュリティに知見のある方によって内容を確認することで、対策までカバーすることができます。
では、CISベンチマークでどのような項目が存在するのかAWSを例にとって確認したいと思います。
AWSのCISベンチマークではIAM※2、Logging、Monitoring、Networkingの4つが大項目として存在します。
その下に小項目として46項目の具体的な指摘項目が存在します。以下に実際の指摘項目を記載します。

1.2 多要素認証(MFA)が、コンソールログイン用のパスワードを持っているすべてのIAMのユーザに対して有効になっていること
1.3 フルコントロール(全リソースおよび全アクション)権限を持つポリシーが作成されていないこと
2.1 CloudTrailが有効になっていること
2.5 全リージョンでAWS Configが有効であること
3.3 rootアカウントの利用に対して、ログメトリクスフィルタとアラーム通知が設定されていること
4.1 Security Groupにて、0.0.0.0/0からport 22(SSH)への接続が許可されていないこと

上2つや下2つの項目は対策イメージがつくかと思います。
それでは、2.1や2.5の項目はどうでしょう。
CloudTrailやAWSConfigは全てのリージョン・アクティビティで設定を有効にする必要があるのでしょうか。
この設定は課金の対象となるがゆえに、担当者が必要最低限の設定もせずにいい加減な対策をしてしまい、セキュリティ事故につながってしまう可能性があります。
また、会社で多数のAWSを契約しており、これらの設定を把握することすら難しい場合もあります。
このことからも、セキュアなシステムを構築し、しっかりとセキュリティ事故を防止したいという企業にとっては専門家による第三者視点の確認が必要になってきます。

※1 「Center for Internet Security」の略/米国政府や企業、各機関のエキスパートにより開発されたセキュリティ設定のガイドライン
※2「Identity and Access Management」の略/システム毎に設定されたアクセス権を統合管理する手法

KCCSによる診断サービス

これらの問題に対してKCCSでは2つのソリューションを提供しています。

クラウド利用可視化サービス

同じ企業内でも、部門ごとにさまざまなIaaSを契約している企業も多く、一体どの部門でどれだけのIaaSを契約しているのか、把握できていないケースもあるかと思います。
そのような不安がある場合には、企業のクラウド利用状況を可視化し、分かりやすいレポートにまとめてご報告する「クラウド利用可視化サービス」にて、大まかな利用状況を洗い出すことが可能となります。

詳細に関しては以下のリンクをご確認ください。

クラウド利用“可視化”サービス

IaaSセキュリティ診断サービス

企業内のクラウド利用状況を「クラウド利用可視化サービス」で洗い出した後は、いよいよIaaSセキュリティ診断サービスです。
本診断サービスではIaaSの管理設定に対して、エンジニアや診断ツールによりCISベンチマークに基づいたセキュリティ診断を実施し、課題点を洗い出します。

IaaSセキュリティ診断について

診断サービスの老舗であるKCCSだからこそできる独自レポーティングサービスによって、分かりやすい報告書を納品します。
また、難解な指摘内容も丁寧に説明し、対策についてアドバイスします。

IaaSセキュリティ診断について

このサービスを活用することで、今までばらばらであった部署ごとの環境に対して、一定の基準に基づいた会社としてのルールを適用させることが可能です。
これにより、それぞれの部署のビジネスのスピード感を損なわずに会社としてのセキュリティ基準を保つことが可能となります。

IaaSセキュリティ診断による効果

あるシステムでの事例について

実際にこのIaaS診断サービスを、あるお客様に実施してみました。
提案も含め何度かミーティングを実施しましたが、運用している方は非常にAWSに詳しい方でしたが、前任からの引き継ぎがほぼないまま数年前に担当になった方です。
そのうえ、会社・部門としてのセキュリティポリシーも無いのですから…結果はどうなったのでしょうか。

IaaSセキュリティ診断報告書 - サマリー例 -

想定通りの結果です。
CISベンチマークで推奨されている対策46項目中8項目しか適合していませんでした。
報告会ではその部署の偉い方までいらっしゃったので、優先して改修していき改修後には改めて再診断を実施してくれることをお約束いただきました!
本コラムを見て少しでも「うちのIaaSも心配かも…」と思った方は是非一度をお試しください。

IaaSセキュリティ診断サービス


また、冒頭の「IaaSの課題」で記載しているとおり、クラウド上で利用しているアプリケーションやミドルウェアも何らかの問題が発生すれば、ユーザ側の責任となりますので、弊社で提供しております。
Webアプリケーション診断サービスやネットワーク診断サービス等も是非あわせてご利用ください。

京セラコミュニケーションシステム株式会社
Secure OWL Center インテグレーション課
IaaSセキュリティ診断チーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ