導入・選定ガイド

【クラウドセキュリティ入門】インシデントの9割が「ミス」によるもの?

文◎松本一郎(編集部) 2019.12.23

  • bookmark
  • Teitter
  • 印刷

クラウドでは、オンプレミスと違う視点でのセキュリティ対策が必要だ。複数のIaaSにまたがるリソースを一元管理する体制や、セキュリティ機能のクラウド化が今後のポイントになる。

 
クラウドを第一に考える――。政府は2018年6月に「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を公表。政府情報システムにおいて、まずはクラウドサービスを第一候補として考える「クラウド・バイ・デフォルト原則」を打ち出した。クラウドというとセキュリティを危惧する声がいまだ根強いが、セキュリティ意識の高い官公庁がこうした指針を打ち出したことで、民間企業でのクラウド活用もさらに加速しそうだ。

一方、市場にはクラウドサービスが多く存在しており、ユーザーからすれば「どのクラウドサービスが安全なのか」が分かりづらい状況なのも事実だ。

米国ではこうした課題にいち早く対応し、政府がクラウドサービスの安全評価基準プログラム「Fed RAMP(Federal Risk and Authorization Management Program)」を制定し、運用している。「(米国では)IaaS/PaaS/SaaSを問わずクラウドサービスはFedRAMPの認定を受けて展開できる。大手企業もソリューションがFedRAMPの認定を受けたことを積極的にプレスリリースなどでアピールするようになっている」とIDC Japanソフトウェア&セキュリティグループリサーチマネージャーの登坂恒夫氏は解説する。

実際にAWS、グーグル、マイクロソフトなどはもちろん、アドビシステムズ、Box、パロアルトネットワークス、ServiceNow、Zscalerなど多くのクラウド事業者のサービスが認定を受けており、ユーザーが選ぶ際の基準になっている。日本でもFed RAMPなどを参考に安全評価基準の設計が進む。制度が確立されれば、ユーザーも事業者もセキュリティ面を意識するようになり、日本全体でセキュリティレベルの底上げにつながることが期待できる。

IDC Japan ソフトウェア&セキュリティグループ リサーチマネージャー 登坂恒夫氏
IDC Japan ソフトウェア&セキュリティグループ リサーチマネージャー 登坂恒夫氏


重要なのは“使い方”ただ、セキュリティを確保するには安心できるクラウドを選ぶだけでは十分でない。「どうすればクラウドを安全に使えるのか」という意識も重要だ。調査会社ガートナーの予測によると、2023年までに起こるセキュリティインシデントの9割以上がユーザー起因の設定ミスだという。グーグルが「G Suite」のパスワードを平文で保管していたというような事例も存在するが、ユーザー側の運用に問題があるケースの方が多い(図表1)。設定ミスの例としては、AWSのAmazon S3バケット(オブジェクトストレージ)に格納していた機密データが、設定により公開状態になっているといったものが挙げられる。

 

図表1 ユーザー企業をとりまくクラウドのリスク
図表1 ユーザー企業をとりまくクラウドのリスク


例えば、2017年11月に米国防省がAWS上に収集していた市民の個人情報が、設定ミスにより世界中に公開されていたことが判明。AWSに認証されたユーザーであれば誰でもダウンロードできる状態だったという事件もあった。ささいな過ちが大きなインシデントに繋がった事例であるといえよう。登坂氏は「クラウドとオンプレミスで大きく違う点は、設定ミスが1番の命取りになることだ」と警告する。

 

>>この記事の読者におすすめのコンテンツ
▼DX加速させるクラウドセキュリティ 「100ms以下」の遅延で快適に利用
▼パブリッククラウドのセキュリティ対策 開発のライフサイクル全体で保護
続きのページは「business network.jp」の会員の方のみに閲覧していただけます。ぜひ無料登録してご覧ください。また、すでに会員登録されている方はログインしてください。

スペシャルトピックスPR

yamato1911
1912_webex
1912_hcn

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】工場5G
    ローカル5Gで実現するスマートファクトリー
[Part1]工場5Gの理想と現実 [Part2]工場でのローカル5Gの活かし方 [Part3]ドコモが考える工場5G [Part4]5G時代の工場NW進化論

[インタビュー] 慶応義塾大学 教授 手塚悟氏「トラストがSociety5.0の基盤」 [ソリューション特集]IoTで始めるHACCP対策 [技術&トレンド]NW視点で見る3大クラウドの違い/水中高速無線を音波・可視光で ほか

>>詳しい目次を見る

ホワイトペーパー

スペシャルトピックス

マクニカネットワークスHACCP対策の切り札となるIoT
LoRaWANで冷蔵庫内もデータ取得

食品業界に義務付けられるHACCP。IoTで手間と人為的ミスを削減できる

住友商事マシネックスついにオラクルがSD-WANに参入!
 クラウド接続に最適な高品質NW

Oracle Failsafe SD-WANは、ネットワーク品質を劇的に変化させる。

APRESIA Systemsローカル5G参入を強力サポート

APRESIA Systemsの「ローカル5Gシステム」はローカル5Gに必要な機能に絞り込み、導入を強力サポート

NECプラットフォームズ教育用ネットワークをトータル提案
IPv6活用でコスト削減・高速化

快適な校内無線LANには、VPNなど校外NWの整備も必要だ!

アット東京AWSやGCPなどメガクラウドに
直結する新時代のデータセンター

アット東京のデータセンターは“つなぐ”価値に磨きをかける!

ヤマハ仮想NWを始めるならヤマハで!

ヤマハの仮想ルーター「vRX」なら、これまでのノウハウをクラウドでも活かせる。

日本ソルテック学校ネットワークを簡単・安価に

日本ソルテックのクラウド管理型無線LANは、専門学校、介護施設を中心に豊富な導入実績!

シスコシステムズ世界で選ばれているオンライン会議
簡単にワンクリックで会議に参加!

Cisco Webexは社内外、誰とでも高品質なオンライン会議が行える。

エイチ・シー・ネットワークス株式会社ネットワークに迫る人手不足の危機
遠隔監視と予防保全で乗り越えろ!

光ファイバの保守現場の深刻な技術者不足。日立金属はどう対応した?

ハイ・アベイラビリティ・システムズ「全て」を一括認証できるSSO
簡単導入でパスワード管理から解放

AccessMatrix USOなら導入や運用も容易にシングルサインオンを実現!

ジェムアルト株式会社マルチクラウド時代の情シスを救う
認証プラットフォーム!

認証・特権ID管理をきめ細やかに! 自社サービスとしても展開可能。

ZscalerDX加速させるクラウドセキュリティ
「100ms以下」の遅延で快適利用

Zscalerの革新的アーキテクチャで働き方改革を強力推進!

パロアルトネットワークスパブリッククラウド基盤の
セキュリティ対策はどうする?

開発のライフサイクル全体でリソースを保護する「Prisma Cloud」

ヤマトロジスティクスキャッシュレス化に乗り遅れるな!
決済端末の導入・運用を一括代行

キャッシュレス決済の導入をヤマトロジスティクスがトータル支援!

アクセスランキング

dwpreport
tc_banner191122

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2019 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます