LoginSignup
3
7

More than 1 year has passed since last update.

@80andco_tech_prin株式会社80&Company

クラウドのセキュリティ対策について

Last updated at Posted at 2023-02-14

はじめに

こんにちは!株式会社80&Companyの技術広報です。
弊社の開発部署では毎週火曜日の朝9:30から社内勉強会を行なっています。

今回の記事はバックエンド開発業務を行なっているエンジニアが社内勉強会でクラウドのセキュリティ対策について発表したものを紹介します。クラウドのセキュリティ対策について、興味のある方は参考にしてみて下さい♪

読者の対象

  • クラウドのセキュリティ対策に興味がある方

責任分界点を確認しよう

国内企業のクラウドサービスの利用割合は、年々増加傾向にあります。
総務省のクラウドサービス提供事業者向けの情報セキュリティガイドラインというものがあり、下記の画像のような責任分界点を定義しています。境界はデータ、アプリ、ミドルウェア、OS、仮想環境、ハードウェア、ネットワーク、施設・電源といったクラウド基盤に分解しています。クラウドサービスを提供している事業者と利用企業の各々が、責任をクラウド基盤のどの範囲担当するか定めた境界を責任分解点といいます。

スクリーンショット 2023-02-10 11.18.26.png

全体像を見るとIaaS,PaaS,SaaSになるにつれて、ユーザーのクラウド上での責任範囲というものは、少なくなっていきます。

各クラウドサービスに応じたセキュリティ対策

クラウドサービスを利用する際にできるセキュリティ対策にはどのようなものがあるのか、各サービスの特徴や代表的なサービス例、サービスに応じたセキュリティ対策について紹介します。

SaaSの場合

SaaSの特徴について

  • 事業者が提供するソフトウェアをインターネット経由で使う仕組みですが、事業者はOS・アプリの管理までをサービスに含み、利用企業はユーザIDなどソフトウェア上のデータ管理を行う権限・責任があります。
  • 事業者はOS・アプリの管理までをサービスに含み、利用企業はユーザIDなどソフトウェア上のデータ管理を行う権限・責任があります。
  • セキュリティ対策は主にクラウド事業者が実施します。一部を除いて、クラウド利用者はクラウドの基礎部分や個別のアプリケーションの設定を管理、操作できないです。

SaaSの例

Microsoft office 365,Gmail,Dropbox,サイボウズなど

セキュリティ対策

  • ログインID/パスワードのポリシー設定
  • コンテンツやデータに対するアクセス権限設定

PaaSの場合

PaaSの特徴について

  • IaaSSaaSの間であり、APIの提供や実行環境を提供しています。
  • アプリケーションや情報システムの開発・実行に必要なOSやミドルウェアなどのプラットフォームを事業者が提供します。
  • 事業者はOSやミドルウェアを管理し、データやアプリケーションの管理は利用企業が行います。
  • バックアップ、データ暗号化、ファイアウォールなど事業者が提供するセキュリティ機能を理解する必要があります。
  • クラウド利用者は、プラットフォーム上のアプリケーション環境を管理・設定できます。セキュリティ対策はクラウド事業者とクラウド利用者で分割されます。

PaaSの例

AWS(RDSLambdaなど)

セキュリティ対策

  • SQLインジェクション
  • XSSなどを考慮したアプリケーションの作成

laaSの場合

laaSの特徴について

  • CPUやメモリ、ストレージなど開発に必要なインフラを仮想環境で使えます。
  • 仮想環境やハードウェアの管理・責任を事業者が担い、OS含めた全てのソフトウェアの管理を利用企業が行います。
  • アプリやOSの障害対応、ミドルウェアへのパッチ適用や脆弱性対応などは利用企業の責任になります。
  • クラウドの利用者は、一般に搭載するOSや開発環境の選択に関して、高い自由度を持っています。クラウドの基礎部分を超えるセキュリティ対策はクラウド利用者が実施します。

laaSの例

AWS(EC2ECSなど)

セキュリティ対策

  • ミドルウェアやOSへのパッチ適用

AWSの責任共有モデル

AWSが提供している責任共有モデルがあります。AWSのクラウドセキュリティ責任とお客様のクラウドセキュリティ責任といった二つの責任に分けて説明しています。

AWSはAWSクラウドで提供されるすべてのサービスを実行するインフラに対して、保護と責任を負います。
利用者は選択したAWSクラウドのサービスに応じて異なりますが、EC2などはすべてのセキュリティ構成や管理のタスクを実行する必要があり、EC2をデプロイした場合のゲストOSやインスタンスにインストールしたアプリケーションソフトウェアの構成に責任を負います。

Amazon RDSなどのPaaSの場合は、AWSはインフラやOSのプラットフォームを運用し、利用者がエンドポイントにアクセスしてデータの保存や取得、管理を行います。適切な権限の適用について、責任を負うという位置でAWSと利用者の責任が分解されています。

スクリーンショット 2023-02-13 15.37.03.png

クラウド上でのセキュリティ対策まとめ

最後に、クラウド上でセキュリティ対策を行うためにできることを紹介します。

  • 多要素認証や二段階認証の有無
    • メールでのパスワード認証の他にメール認証があるかを確認する
    • パスワードポリシーやアカウント管理を適切に行う
  • 使用端末のセキュリティ対策の実施
    • ウイルス対策ソフトの導入、VPNの利用、オープンな場所でアクセスしない
  • 利用者のリテラシーの向上
    • クラウドのセキュリティ対策を間違った設定にしないため、定期的な講習の実施などを行う
  • 他社のサービスを利用する
    • アプリケーションの追加導入、監視、脆弱性試験などを外部に依頼するなど

最後に

今回は、弊社社内勉強会で発表されたについて扱いました。
今後も継続的に80&Companyでの社内勉強会の取り組みを発信していきます!
Qiita OrganizationTwitter公式アカウントのフォローもよろしくお願いいたします!
最後まで読んでいただきありがとうございます!

参考文献

3
7
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
7