クラウドサービス提供事業者が気を付けるべきセキュリティ対策は?
クラウドサービス提供事業者が気を付けるべきセキュリティ対策は?
近年ではクラウドサービスの一般化に伴い、多くのアプリケーションがクラウド上でリリースされるようになりました。これまではPCアプリケーションを開発・リリースしていたIT企業が、クラウドサービスに新規参入するケースも増えています。
クラウドサービスでは、従来型のPCアプリケーションとは異なるセキュリティレベルが求められます。情報漏洩や不正アクセスなどによるレピュテーションリスクや損害賠償リスクを避けるためには、どのような点に注意してクラウドサービスを設計・構築すればよいのでしょうか。この記事では、企業においてクラウドサービスを開発する際に注意すべきセキュリティ対策について解説します。
クラウドサービス提供事業者が行うべきセキュリティ対策のポイント
クラウドサービス提供事業者が行うべきセキュリティ対策は多岐にわたります。この記事では、その中でも重要なポイントについて紹介します。
①通信の安全性の確保
クラウドサービスはPCアプリケーションと異なり、インターネット等のネットワークを経由して利用するという特徴があります。そのため、クラウドサービスの提供にあたっては盗聴を防ぐために通信の安全性に注意する必要があります。
クラウドサービスとユーザ間の通信は必ずhttpsを用いて暗号化しましょう。また、扱う情報の重要さに応じて、ユーザが視覚的に安全性を確認できるEV証明書の利用を検討します。さらに、クラウドサービスとユーザ間の通信だけではなく、サービス開発時に利用するクラウドサービスと開発環境のアクセスについても必ずSSH等で暗号化を行うべきです。
②アクセス制御の実施
クラウドサービスは、任意の場所・環境からアクセスされるという特徴があります。適切なアクセス制御を行わなければ、悪意を持ったユーザから攻撃されるリスクが高まります。クラウドサービスの機能として高水準のアクセス制御方式を実装するべきです。
通常のパスワード認証においては、桁数や使用文字列を指定することにより設計レベルでパスワード強度を高めましょう。「内閣サイバーセキュリティセンター(NISC)」が作成した「インターネットの安全・安心ハンドブック」では、強固なパスワードの要件として以下を挙げているため、パスワード要件定義の参考にするとよいでしょう。
- 文字数要件:10文字以上
- 文字種要件:英大小文字+数字+記号26種で合計88種
- 個人情報などから推測できるパスワードを使わない
また、クラウドサービスの扱うデータの重要度が高い場合、パスワード認証に加えてユーザのスマートフォン等を用いたワンタイムパスワードや電話認証、SSLクライアント認証などの強固なユーザ認証を行うことも検討します。
③データの定期的なバックアップ
ユーザのデータを紛失した場合には賠償責任が発生するリスクがあります。サービス利用規約にてデータの紛失責任を回避したとしても、データ管理の不始末はユーザからの信頼性の低下につながってしまいます。
サーバのハードウェア故障はもちろんのこと、不正アクセスによるデータ盗難・書き換えや運用作業時のミスによるデータ消失の事例は多く存在します。クラウドサービスの提供者として、ユーザから預かったデータについては適切にバックアップすることが大切です。
特に重要なデータを扱うケースにおいては、DR(Disaster Recovery:災害復旧)のために遠隔地へのデータ保管を検討するとよいでしょう。
④システムの監視方法の確立
クラウドサービスの提供者として、システムに障害が発生していないか、また不正アクセスや情報漏洩が発生していないかを監視することは必須となります。外部からの攻撃や攻撃による被害の発生を検知するためには、IPS/IDSの導入や、Web Application Firewall(WAF)の導入、マルウェアスキャンの実施、改ざん検知サービスの設定などが効果的な対策となります。
また、攻撃や被害の発生を検知した際に素早く適切な対応が行えるように、インシデント発生時の対応フローをまとめておくと良いです。インシデント発生の際の対応手順や連絡先、対応責任者などについて明確化することで、いざという時に落ち着いて対処ができるはずです。
⑤定期的な脆弱性診断の実施
クラウドサービスはその特性上、常に外部からの脅威にさらされます。また、攻撃方法は常に進化を続けており、新たに確立した攻撃手法を用いた攻撃や新たに見つかったOSやミドルウェアの脆弱性を利用した攻撃を受けることになります。
常に最新のセキュリティレベルを保てるように、定期的に外部からの脆弱性診断を実施することが重要です。「大規模なリリースごと」や「6か月に一度」といったように、開発ルールとして脆弱性診断の実施を定めるとよいでしょう。注意点として、脆弱性診断には一定の期間が必要ですので、リリーススケジュールを検討する際には脆弱性診断の実施期間と診断結果への対応期間を織り込んだうえで予定を検討する必要があります。
まとめ
この記事では、クラウドサービス提供事業者の方に向けて、クラウドサービスの開発・運用にあたって行うべきセキュリティ対策について解説しました。より詳細なセキュリティ対策について知りたい方は、総務省が作成している「クラウドサービス提供における情報セキュリティ対策ガイドライン」などが参考になるでしょう。
クラウドサービスの提供において、ずさんなセキュリティによるインシデント発生は、即、クラウドサービス事業の失敗につながります。サービスの「ディフェンス面」として、セキュリティ対策を重視して行うことをおすすめします。
