クラウドサービスを使った開発を進める上で、アプリのセキュリティについては対策をしなくてはならないと考える人は多いですが、クラウドサービスそのものに対する対策は意外と意識されていなかったりします。
そこで、クラウドサービスのセキュリティって、何をすればよいのかを書いていこうと思います。
ベストプラクティスセキュリティガイド
参考できるとして、Center for Internet Security(CIS.)という団体が無料で配布している CISベンチマーク というものがあります。
参考リンク:https://www.cisecurity.org/
これは、様々な製品などのベストプラクティスセキュリティガイドとなっており、主なクラウドプロバイダでは以下のサービス向けのCISベンチマークが配布されています。
- Alibaba Cloud
- Amazon Web Services
- Google Cloud Computing Platform
- Google Workspace
- IBM Cloud Foundations
- Microsoft 365
- Microsoft Azure
- Microsoft Dynamics 365 Power Platform
- Oracle Cloud Infrastructure
実際にどのようなことが記載されているのかCIS Amazon Web Services Foundations v1.2.0をもとに抜粋すると、
- Identity and Access Management (アカウントやアクセス権限管理に関すること)
- Logging(ログの設定)
- Monitoring(監視メトリクス)
- Networking(network設定)
のカテゴリでそれぞれどのようなことに気をつけなければいけないのかのプラクティスが記載されています。
基本的な項目ではあるものの、CIS Benchmark自体はガイドであり組織のポリシーや優先度などに合わせて判断してよいのではないでしょうか。
各クラウドサービスでも通知機能などのサポート機能が提供されていたりしますので利用するクラウドサービスに合わせて対応したり、セキュリティ向けSaaSや製品などでもCISベンチマークに対応しているものが数多くありますので、状況に合わせて選択肢がいろいろあります。