クラウドシステムの防御策リスト-お客さんが一番気にするセキュリティ対策

このページは題名の通り、クラウドを使ったシステムを構築する場合のセキュリティ防御策についてまとめ、記載する。

セキュリティ対策 設計のポイント

これが決まらない限り、ゴールを決めることはできません。

「クラウドはなんとなく怖い。」というユーザ様が多いです。しかし、慣れてしまって感覚が鈍っているだけで、オンプレミスにもセキュリティリスクは存在します。

システムを使う以上、常日頃からセキュリティリスクはあるということを認識することが大事です。

ここに書いてある内容について対策をしたとしても、セキュリティリスクは完全に消すことはできません。私は責任取れません。

システムの特性がある以上最終的には、そのシステムに特化した防御が必要になる場合があります。

次の章でどういう防御策がとれるのか。一般的な対策について記載する。

接続元/接続先IP制限

情報漏洩や不正侵入とは、意図しない外部と通信できてしまうことに起因する。これらは、ある程度システム側で制限できる。例えば、AWSであれば、セキュリティグループで設定。Azureであればネットワークセキュリティグループで設定できる。

内部から外部への通信を特定の宛先のみに絞れば、ウィルスが侵入したとしても、意図しない外部に情報を送信することはできない。

また、ユーザパスワードが流出した際、オフィス以外からシステムに侵入を試みたとしても、オフィス以外の接続元IPとの通信は拒否するため不正ログインも防ぐことができるのだ。

推奨セキュリティ対策 リモートデスクトップゲートウェイを活用しよう

MFA

”ユーザとパスワードが盗まれた。すぐにログインされる”という恐怖を低減できる対策がこれだ。ログインを二段階認証にすることで、不正ログインを防ぐことができる。AWSにも、Azureにも備わっている機能だ。

ユーザの権限設計については、管理者グループのユーザはすべてMFA設定をする。もしくは、ユーザ情報が漏れたとしても被害がないように権限を細分化しておくという対策もとることができる。

データ暗号化

これは観点が二種類存在する。

通信の暗号化

通信内容を防御するために、httpsだったり、sftpだったり通信を暗号化する技術は多々存在する。クラウドの場合暗号化のサービスが存在する場合もあるが、基本は自分たちで暗号化の仕組みを準備しないといけない。

通信の暗号化はお客様からよく求められる要件であるため、SSL/TLS、公開鍵、秘密鍵、VPN、これらキーワードをネットで調べて、勉強して使いこなせるようになろう。

システム構築費に余裕があるのであれば、AWSならはDirect Connect（ダイレクトコネクト）、AzureであればExpress Route（エクスプレスルート）などの専用線サービスを採用しよう。

蓄積データ蓄積の暗号化

例えば、業界の規定で個人情報を蓄積する場合はデータを暗号化しないといけない。という規定がある場合、クラウドはそれに即時対応できる。

AWSのRDSや、Azure の Azure SQL databaseも蓄積データの暗号化を設定画面で有効化すればすぐに暗号化可能である。

これをオンプレで対応しようとすると、エディションが対応しているかの調査から始まり、性能影響はどうかというテストをして・・・というように多くの作業が必要になる。

クラウドはこういった時にすぐ対応できるため便利である。

情報漏洩できないデータは扱わない。

本末転倒であるが、これが一番安心な対策である。

「クラウドを使うのが初めて、クラウドを使うのが怖い。」

そういったお客様には、まずは本番データを絶対に使わない開発環境のみ、クラウド化しましょう。という提案もありである。

そして、クラウドの活用方法を学んでクラウドの領域を広めていくこともプロジェクトとしてはありだと思う。

インシデント事例

ここで個別具体的な内容について触れることはできないが、”クラウド セキュリティインシデント”でネット検索してもらえれば山ほど事例は出てくる。

そういった内容を熟読して、自身のシステムに合う対策を検討することも設計工程では必要である。

まとめ

どこまでいってもセキュリティ対策は完全に大丈夫とは言えません。

ここに書いてある内容について対策をしたとしても、セキュリティリスクは完全に消すことはできません。

「問題が起きないように、起きた時、起きた後」

これらのタイミングでどうやって被害を最小限にするか。常日頃から考えておきましょう。