クラウド共通とIT全般

クラウドシステムの防御策リスト-お客さんが一番気にするセキュリティ対策

投稿日:2019年5月9日 更新日:

このページは題名の通り、クラウドを使ったシステムを構築する場合のセキュリティ防御策についてまとめ、記載する。

セキュリティ対策 設計のポイント

ポイント

何を守りたいのか。これを一番最初にお客様と合意すること。

これが決まらない限り、ゴールを決めることはできません。

「クラウドはなんとなく怖い。」というユーザ様が多いです。しかし、慣れてしまって感覚が鈍っているだけで、オンプレミスにもセキュリティリスクは存在します。

システムを使う以上、常日頃からセキュリティリスクはあるということを認識することが大事です。

ここに書いてある内容について対策をしたとしても、セキュリティリスクは完全に消すことはできません。私は責任取れません。

システムの特性がある以上最終的には、そのシステムに特化した防御が必要になる場合があります。

次の章でどういう防御策がとれるのか。一般的な対策について記載する。

 

接続元/接続先IP制限

情報漏洩や不正侵入とは、意図しない外部と通信できてしまうことに起因する。これらは、ある程度システム側で制限できる。例えば、AWSであれば、セキュリティグループで設定。Azureであればネットワークセキュリティグループで設定できる。

内部から外部への通信を特定の宛先のみに絞れば、ウィルスが侵入したとしても、意図しない外部に情報を送信することはできない。

また、ユーザパスワードが流出した際、オフィス以外からシステムに侵入を試みたとしても、オフィス以外の接続元IPとの通信は拒否するため不正ログインも防ぐことができるのだ。

ポイント

AWSやAzureなどはグローバルIPを持った瞬間から攻撃にさらされます。必ず、すぐに防御策を取りましょう。可能であれば、グローバルIPを使わない。踏み台サーバを使用するというシステム構成にしましょう。

推奨セキュリティ対策 リモートデスクトップゲートウェイを活用しよう

no image
推奨セキュリティ対策 リモートデスクトップゲートウェイを活用しよう

リモートデスクトップゲートウェイ。聞きなれない言葉かもしれない。これはクラウドを利用する上で、特にインターネットに晒したくないというお客様、やっぱりセキュリティが怖い、というお客様に提案できる仕組みだ ...

続きを見る

MFA

”ユーザとパスワードが盗まれた。すぐにログインされる”という恐怖を低減できる対策がこれだ。ログインを二段階認証にすることで、不正ログインを防ぐことができる。AWSにも、Azureにも備わっている機能だ。

ユーザの権限設計については、管理者グループのユーザはすべてMFA設定をする。もしくは、ユーザ情報が漏れたとしても被害がないように権限を細分化しておくという対策もとることができる。

データ暗号化

これは観点が二種類存在する。

通信の暗号化

通信内容を防御するために、httpsだったり、sftpだったり通信を暗号化する技術は多々存在する。クラウドの場合暗号化のサービスが存在する場合もあるが、基本は自分たちで暗号化の仕組みを準備しないといけない。

通信の暗号化はお客様からよく求められる要件であるため、SSL/TLS、公開鍵、秘密鍵、VPN、これらキーワードをネットで調べて、勉強して使いこなせるようになろう。

システム構築費に余裕があるのであれば、AWSならはDirect Connect(ダイレクトコネクト)、AzureであればExpress Route(エクスプレスルート)などの専用線サービスを採用しよう。

ポイント

クラウドで専用線サービスを使う場合、専用線サービスの使用料+回線業者の費用が掛かるため、慣れない場合は安易に見積もり提案しないこと。

 

蓄積データ蓄積の暗号化

例えば、業界の規定で個人情報を蓄積する場合はデータを暗号化しないといけない。という規定がある場合、クラウドはそれに即時対応できる。

AWSのRDSや、Azure の Azure SQL databaseも蓄積データの暗号化を設定画面で有効化すればすぐに暗号化可能である。

これをオンプレで対応しようとすると、エディションが対応しているかの調査から始まり、性能影響はどうかというテストをして・・・というように多くの作業が必要になる。

クラウドはこういった時にすぐ対応できるため便利である。

 

情報漏洩できないデータは扱わない。

本末転倒であるが、これが一番安心な対策である。

「クラウドを使うのが初めて、クラウドを使うのが怖い。」

そういったお客様には、まずは本番データを絶対に使わない開発環境のみ、クラウド化しましょう。という提案もありである。

そして、クラウドの活用方法を学んでクラウドの領域を広めていくこともプロジェクトとしてはありだと思う。

インシデント事例

ここで個別具体的な内容について触れることはできないが、”クラウド セキュリティインシデント”でネット検索してもらえれば山ほど事例は出てくる。

そういった内容を熟読して、自身のシステムに合う対策を検討することも設計工程では必要である。

まとめ

どこまでいってもセキュリティ対策は完全に大丈夫とは言えません。

ここに書いてある内容について対策をしたとしても、セキュリティリスクは完全に消すことはできません。

「問題が起きないように、起きた時、起きた後」

これらのタイミングでどうやって被害を最小限にするか。常日頃から考えておきましょう。

おすすめ記事

1

敬愛してやまない大芸人であるコウメ太夫様が毎日実施されているツイート(#まいにちチクショー)を元に、機械学習初心者がPythonのプログラミングでデータ収集と学習を行い、コウメ太夫様っぽい文章を自動生 ...

2

正直私も最初はUdemyなんて聞いたことないし怪しいなと思いました。でも、今では実際に25講座ほど購入済みです。そんな私がUdemyの評判やお得な講座購入方法について書いていきます。   目次 Ude ...

3

先日AWSソリューションアーキテクトアソシエイト(AWS SAA)に一発で合格しました。スコアは800点台の後半でした。 世の中にはたくさんAWS SAAの合格体験記がありますが、私もこのサイトに合格 ...

4

この記事は、技術系ブログ運営の実情と運営するメリットについて詳しく書いていく。これから技術系ブログを始めたいと思っている人は、よく読んで参考にしていってください。そして、この記事を参考に技術系ブログを ...

-クラウド共通とIT全般

Copyright© CLOUD IT FUTURE , 2020 All Rights Reserved.