導入・選定ガイド

【クラウドセキュリティ入門】インシデントの9割が「ミス」によるもの?

文◎松本一郎(編集部) 2019.12.23

  • bookmark
  • Teitter
  • 印刷

クラウドでは、オンプレミスと違う視点でのセキュリティ対策が必要だ。複数のIaaSにまたがるリソースを一元管理する体制や、セキュリティ機能のクラウド化が今後のポイントになる。

 
クラウドを第一に考える――。政府は2018年6月に「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を公表。政府情報システムにおいて、まずはクラウドサービスを第一候補として考える「クラウド・バイ・デフォルト原則」を打ち出した。クラウドというとセキュリティを危惧する声がいまだ根強いが、セキュリティ意識の高い官公庁がこうした指針を打ち出したことで、民間企業でのクラウド活用もさらに加速しそうだ。

一方、市場にはクラウドサービスが多く存在しており、ユーザーからすれば「どのクラウドサービスが安全なのか」が分かりづらい状況なのも事実だ。

米国ではこうした課題にいち早く対応し、政府がクラウドサービスの安全評価基準プログラム「Fed RAMP(Federal Risk and Authorization Management Program)」を制定し、運用している。「(米国では)IaaS/PaaS/SaaSを問わずクラウドサービスはFedRAMPの認定を受けて展開できる。大手企業もソリューションがFedRAMPの認定を受けたことを積極的にプレスリリースなどでアピールするようになっている」とIDC Japanソフトウェア&セキュリティグループリサーチマネージャーの登坂恒夫氏は解説する。

実際にAWS、グーグル、マイクロソフトなどはもちろん、アドビシステムズ、Box、パロアルトネットワークス、ServiceNow、Zscalerなど多くのクラウド事業者のサービスが認定を受けており、ユーザーが選ぶ際の基準になっている。日本でもFed RAMPなどを参考に安全評価基準の設計が進む。制度が確立されれば、ユーザーも事業者もセキュリティ面を意識するようになり、日本全体でセキュリティレベルの底上げにつながることが期待できる。

IDC Japan ソフトウェア&セキュリティグループ リサーチマネージャー 登坂恒夫氏
IDC Japan ソフトウェア&セキュリティグループ リサーチマネージャー 登坂恒夫氏


重要なのは“使い方”ただ、セキュリティを確保するには安心できるクラウドを選ぶだけでは十分でない。「どうすればクラウドを安全に使えるのか」という意識も重要だ。調査会社ガートナーの予測によると、2023年までに起こるセキュリティインシデントの9割以上がユーザー起因の設定ミスだという。グーグルが「G Suite」のパスワードを平文で保管していたというような事例も存在するが、ユーザー側の運用に問題があるケースの方が多い(図表1)。設定ミスの例としては、AWSのAmazon S3バケット(オブジェクトストレージ)に格納していた機密データが、設定により公開状態になっているといったものが挙げられる。

 

図表1 ユーザー企業をとりまくクラウドのリスク
図表1 ユーザー企業をとりまくクラウドのリスク


例えば、2017年11月に米国防省がAWS上に収集していた市民の個人情報が、設定ミスにより世界中に公開されていたことが判明。AWSに認証されたユーザーであれば誰でもダウンロードできる状態だったという事件もあった。ささいな過ちが大きなインシデントに繋がった事例であるといえよう。登坂氏は「クラウドとオンプレミスで大きく違う点は、設定ミスが1番の命取りになることだ」と警告する。

 

>>この記事の読者におすすめのコンテンツ
▼DX加速させるクラウドセキュリティ 「100ms以下」の遅延で快適に利用
▼パブリッククラウドのセキュリティ対策 開発のライフサイクル全体で保護
続きのページは「business network.jp」の会員の方のみに閲覧していただけます。ぜひ無料登録してご覧ください。また、すでに会員登録されている方はログインしてください。

スペシャルトピックスPR

citrix2003
softbank2003
aryaka2003

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】6Gへ Beyond 5Gへの挑戦
<Part1>6Gは究極の無線通信 <Part2>総務省の6G推進戦略 <Part3>韓国の6G商用化は2028年 <Part4>100ギガ無線へのトビラを開くテラヘルツを人類の手に <Part5>6Gの重要コンセプト「超カバレッジ拡張」 <Part6>6Gへつながる進化の道筋「5G evolution」の全貌 

[インタビュー]東京大学 教授 中尾彰宏氏「ローカル5Gに価格破壊 王道と違う6Gへの道を探求」 [ソリューション特集]スモールビジネスWi-Fi [事例研究]ミクシィがホワイトボックス導入 ほか

>>詳しい目次を見る

ホワイトペーパー

スペシャルトピックス

都築電気テレワークと健康経営の実践4年目
その知見をワンストップで提供

働き方改革を推進する都築電気がテレワークに最適なグループウェア!

ドコモ・システムズNTTグループ23万人を支える
テレワークツール

伝統的な日本企業が作ったツールだから、かゆい所に手が届く!

WhatsUp Goldネットワーク監視に圧倒的使い勝手
安価な導入コストでも厚い支持

中小企業から通信キャリアまで、WhatsUp Goldが人気の理由とは?

MOVEit Transfer / MOVEit Automationデータ保護新時代のファイル転送
HIPPA、GDPRなど各種規制に対応

主要データ保護規制に準拠した安全なファイル転送ソフトの決定版!

moconaviBYODもセキュリティもこれひとつ
本当に明日からできるテレワーク

業務システムのリモート利用や公私分計をセキュアに実現するmoconavi

アライドテレシススモールビジネスのWi-Fi整備は
プロにおまかせ!

アライドテレシスなら安く・早く・楽に・安全に導入・運用してくれる

ソネットSMBに“ちょうどいい”Wi-Fi

高コストはかけたくないが、家庭用では性能が足りない。そんなジレンマを解決できるWi-Fiがあった!

ジュニパーネットワークス“ただのSD-WAN”はもう要らない!
LANもWi-Fiもすべてクラウド管理へ

今必要とされているのは、
“SD-WAN+α”のソリューションだ。

Citrix SD-WANシトリックスといえば「UX重視」
その哲学はSD-WANにも!

情シスも現場も幸せになれる
「SD-WAN」がここにある。

ソフトバンク目的・用途別にSD-WAN使い分け!
ソフトバンクが“3つめ”を出す理由

IaaS利用に最適な新SD-WANで
企業のクラウドシフトをサポート!

ブロードメディア・テクノロジーズAryakaの“SD-WAN as a Service”
なら全部お任せできる!

AryakaのSD-WANはコアからラストマイルまで一括で運用を任せられる

東京エレクトロンデバイスクラウド基盤にお勧めのWAF
高い検知性能でコスト削減

WAF市場のリーダー、F5製品は多角的分析による検知精度の高さが特徴だ

一般社団法人新規事業・新規市場創出研究会国内唯一の5G/6G調査研究会!

「5Gでの日本の遅れを取り戻したい」。5G、6G、MaaSをテーマにした調査研究会が4月に運営開始する。

sXGPsXGPはローカル5G導入の第一歩

まもなく帯域が拡張されるLTEベースの自営無線「sXGP」は、ローカル5G導入のファーストステップとなる!

マクニカネットワークスHACCP対策の切り札となるIoT
LoRaWANで冷蔵庫内もデータ取得

食品業界に義務付けられるHACCP。IoTで手間と人為的ミスを削減できる

住友商事マシネックスついにオラクルがSD-WANに参入!
 クラウド接続に最適な高品質NW

Oracle Failsafe SD-WANは、ネットワーク品質を劇的に変化させる。

APRESIA Systemsローカル5G参入を強力サポート

APRESIA Systemsの「ローカル5Gシステム」はローカル5Gに必要な機能に絞り込み、導入を強力サポート

アクセスランキング

tc_banner191122

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2020 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます