クラウドサービスのセキュリティ:共有責任モデルの理解と適用

Security

中小企業にとって選択すべきクラウドサービスはなにか?また、セキュリティ対策としてやっておくべきことはなにか。オンプレミスからの脱却で運用コスト軽減を目的としてクラウドへ以降する流れは、ますますトレンドになっている。中小企業の視点でクラウドサービスの選定とセキュリティ対策について解説する。

クラウドサービスの種類


「クラウドサービス」と言っても様々な提供形態があり、サービスの種類によってはセキュリティ対策における責任範囲が異なる。単純にクラウドサービスってセキュリティ面ではどうなの?ということではなく、何を利用するか?どのようなデータを扱うかによって求めるセキュリティレベルも変わってくるだろう。概要レベルでも知っておく必要はある。

6つのクラウドサービス

ここでは代表的なものを3つと、その他のクラウドサービス3つの分類で説明する。

SaaS(Software as a Service)

・ソフトウェアそのものをサービスとして提供する形態。
・ユーザは、ブラウザやアプリを通じてソフトウェアを利用するだけで、インストールや管理の手間は不要。
・例:GoogleWorkspace、Microsoft 365、Salesforce など。

PaaS(Platform as a Service)

・アプリケーションカイアhつに必要なプラットフォームをサービスとして提供する形態。
・開発者は、このプラットフォーム上で独自のアプリケーションを開発・実行できます。
・例:Heroku、Google App Engine、Microsoft Azure など。

IaaS(Infrastructure as a Service)

・サーバ、ストレージ、ネットワークなどのITインフラをサービスとして提供する形態。
・ユーザーは、仮想マシンやストレージを自由に組み合わせて、自社のシステムを構築・運用できます。
・例:Amazon Web Services (WAS)、Microsoft Azure、Google Clout Platform など。

その他のクラウドサービス

・FaaS(Function as a Service):特定の機能を実行するための小さなコード(関数)をクラウド上で実行するサービス
・DBaaS(Database as a Service):データベースをクラウド上で管理・運用するサービス。
・BaaS(Backend as a Service):モバイルアプリなどのバックエンド機能をクラウド上で提供するサービス。

中小企業で利用するサービス

様々なサービスがあるのだが、中小企業で利用するのは【SaaS】一択だと考えた方が賢明だ。後述するセキュリティ対策の問題もあるが、運用管理する要員が不在な中小企業ではハードウェアが絡んだサービスの提供を受けることは難しい。導入するにも選択肢が多岐に渡るので、何を選んだら良いか選択するにもITの専門知識が必要となる

中小企業でオンプレミスからの脱却でクラウドサービスを検討する場合は、外部のハードを利用するのではなくアプリケーションを含めたサービスを選択しなければならない

例えば言うならば、アプリケーションをサービスとして受けるSaaSはホテルに居住するようなもので、PaaS、IaaSはマンションなど部屋を借りて住むようなものである。ホテルなら着替え程度の荷物で済むが、マンション住まいとなれば、家電、家具、公共料金の手続きなどが必要となる。クラウドサービスについても全く同じ概念であり、家電や家具を好みに選ぶようなイメージで、ITリソースを選ぶことはできない。好みではなく、システムに必要な要件を満たすよう設計しなければならないのだ。このスキルを持った人材を抱えている中小企業はほとんどないであろう。

仮にITベンダーからの提案で導入はできたとしても、その後の運用は自社でやらなければならない。メンテナンスをして安定稼働を維持するにも、ITスキルは必要となるのだ。

クラウドサービスのセキュリティモデル

クラウドサービスのセキュリティは安全で安心できるものなのか?重要なのは、その内容ではなく責任範囲という概念が存在することを知っておかなければならない。

共有責任モデルとは

共有責任モデルは、クラウドサービスの種類によって異なる責任範囲を示す。これにより、どの部分をプロバイダーが管理し、その部分を顧客が管理するかが明確になるという概念だ。

主なサービスと責任範囲は以下の通りだ。

共有責任モデル
  • IaaS(Infrastructure as a Service): クラウド事業者はネットワークやストレージなどのインフラ部分を管理し、利用者はOSやアプリケーション、データの管理を行います。
  • PaaS(Platform as a Service): クラウド事業者はOSやミドルウェアまでを含むプラットフォーム全体を管理し、利用者はアプリケーションとデータの管理を行います。
  • SaaS(Software as a Service): クラウド事業者がアプリケーションまで含めた全てのインフラとソフトウェアを管理し、利用者はデータのみ管理します。

中小企業は共有責任モデルとは無関係

中小企業で利用するサービスはSaaSとなるであろうから、共有責任モデルという概念を気にすることはなく、認識すべきことは、データを守る責任は自分たちにあるということだけだ。

アプリケーションの稼働とインフラ(ハードウェア、OSなど)の稼働や不正アクセスなどのセキュリティ対策はプロバイダー側の責任としてやってくれるからだ。

ユーザーはそのサービス上のデータだけを気にしておけばいいということになる。データの破損や消失防止がセキュリティ対策の焦点になる。

中小企業がやるべきクラウドセキュリティ

中小企業が選択するクラウドサービスはSaaSである。という前提で解説を続けさせていただく。必ずしも全ての中小企業がそうするべきだとは言わないが、IT専門部署や専任担当者が不在であり、たとえ今現在、IT専任者がいてもチームとして稼働しているのではなく、単独で業務にあたっているのであればSaaS以外のサービスは推奨できない。運用面で手に負えなくなる時がくるからだ。

データ保護【バックアップ・暗号化】

データを守るという観点では、バックアップは必須だ。オペレーションミス等でデータが消失してしまうリスクがあるからだ。プロバイダー側がランサムウェアにやられてしまうということは考えられないが、自社のデータは自社でバックアップを取得しておくべきだ。

クラウドサービスのバックアップを利用するか、社内にストレージを置くか、なんらかのメディアに保存しオフラインでバックアップを保持しておくのか…それぞれの企業の判断ではあるが、オンライン・オフラインの2箇所で保存しておくことを推奨する。

アクセス制御と認証

クラウドサービスだから必要となるということではないが、誰がどのデータにアクセスできるようにするのかという権限設定は重要であり必須だ。ID管理をするツールなどもあるが、ツールの導入は必須とまではいわないが、社員の出入りに合わせて定期的に権限設定およびID/PWの見直し・更新は必須業務として組み込んでおくべきである。

セキュリティ教育

これもとくにクラウドサービスを利用するから教育をしなければならないということではなく、どのようなサービスを利用しているのかなど、運用ルールなどを周知徹底しおくという意味において教育が必要とのことである。

まとめ

オンプレスから脱却し、管理・運用負担を軽減する(初期導入コストを削減するなども含め)という時代の流れもありクラウドサービスを選択する中小企業は多いであろう。ただ、サーバが自社内にあるかどうかというよりも、どのようなアプリケーションを、なんの目的で利用しようとしているのかが重要な視点であり、結果としてクラウドサービスが最適。となれば、それが適切な判断でありSaaSを選ぶことになるはずだ。

ITインフラの導入は、導入後の運用…誰が運用管理を担うのかという観点で選定することが大事であり、無駄なIT投資を回避する視点となる。

最後までお付き合いいただきありがとうございました。
また、お会いしましょ。