「クラウドはセキュリティが不安」は誤解?知っておきたい重要な対策まとめ
最近では、さまざまなウェブサービスがクラウド上で提供されるようになっています。
クライアントにインストールすることなく利用でき、いろいろなサービスと連携することの可能なクラウドサービスは非常に便利なものですが、一方でセキュリティ上の問題が指摘されることが多いのも特徴です。
そこで誰もが思う「クラウドサービスのセキュリティは安全なのか」ということについて、できるだけ詳しく検討してみたいと思います。
目次を閉じる
- クラウドサービスのセキュリティとは
- クラウドサービスのセキュリティは安全か
- クラウドサービスの導入をためらう理由は
- オンプレミスとクラウドではどちらが安全か
- 管理側のセキュリティ対策はどうするべき?
- 標的型攻撃への対策
- DDoS攻撃への対策
- ブルートフォースアタック(総当り攻撃)
- SQLインジェクションへの対策
- クロスサイトスクリプティングへの対策
- クラウドのセキュリティ対策で注目のWAFとは
- WAFがクラウドのセキュリティを解決
- WAF製品6選
- 攻撃遮断くん
- AIONCLOUD 無料で始めるWAFサービス
- マネージドセキュリティサービス for Imperva Incapsula
- Cloudbric
- サイト専用型WAF:WAF BENKEI
- SCT SECURE クラウドWAF EXP
- セキュリティ対策でクラウドの安全性を高めよう
- ボクシルとは
クラウドサービスのセキュリティとは
そもそも、クラウドサービスにおけるセキュリティ対策とは具体的に何をすることを指すのでしょうか?
クラウド環境におけるもっとも重要なセキュリティ対策としては情報漏えい対策が挙げられるでしょう。
マルウェア対策やサーバーへの攻撃などへの対策という答えも考えられますが、こういった外部からの攻撃で最も脅威なのは、それによって重要な情報が外部に流出してしまったり、貴重なデータを失ってしまったりすることです。
クラッキングなどによって業務に支障が出てしまうのも脅威ですが、企業において顧客情報が外部に漏れることは、被害範囲が非常に大きく信用問題に関わるため、何としても防がなければなりません。
クラウドサービスにおけるセキュリティを考える場合、まず重要視されるのはデータの喪失や情報漏えい対策なのが現状です。
クラウドサービスのセキュリティは安全か
それでは、情報漏えい対策という観点からクラウドサービスの安全性を考えてみましょう。
これまで便利なクラウドサービスを積極的に利用する層がいる一方で、導入を躊躇する人々がいるのも事実です。
クラウドサービスの導入をためらう理由は
クラウドサービスには、DropboxやGoogleDriveなどユーザーの画像や文書データなどをクラウド上に保存できるストレージサービスや、リアルタイムでデータの共有や反映ができる会計ソフトといった情報共有の利便性を追求したものなど、多種多様なサービスが提供されています。
このようにクラウドサービスのメリットといえば、他のユーザーとさまざまな媒体で簡単に情報のやり取りや共有ができる点にあるといえるでしょう。
この特性をビジネスに生かすことで大きな利益を上げている企業は数え切れないほどあります。
その一方で、そういった便利なクラウドサービスの導入をためらう人もいます。
もっとも大きな理由がセキュリティ面への不安視であり、上述のサイバー攻撃などによる情報漏えいや貴重なデータの消失です。事実、多くの企業がセキュリティ面への不安から便利なクラウドサースの導入を見送ってきた経緯があります。
オンプレミスとクラウドではどちらが安全か
しかし近年では、クラウドサービスの提供会社は特にセキュリティ面に力を入れているため、不安視されているようなデータの喪失や外部への流出といった可能性は非常に低く、安全性や安定性が高くなっているのが現状です。
むしろオンプレミス環境での情報漏えい事件の方が、最近では大きな問題として取り沙汰されるケースが増えています。
クラウドサービスの提供会社にとって情報漏えい事件は死活問題となりますから、どの企業も非常に高いセキュリティ意識をもっており、提供されるサービスもそれだけ安全なものになっているのです。
そういったサービスを利用する側としても、ある程度の対策さえ万全にできれば、自社でデータセンターなどを運用するよりも、安全かつ安定した環境を整えることが可能です。
それでは、クラウドサービスのユーザー側で知っておくべきセキュリティ対策とは何でしょうか?以下で重要なポイントを説明していきます。
管理側のセキュリティ対策はどうするべき?
たとえクラウドサービスのセキュリティが強固になってきたとはいえ、それを利用する側の企業や組織にとっては、たった一人のスタッフの不注意がマルウェアへの感染や情報漏えいのような脅威につながってしまう可能性もあります。
企業のシステム管理者をはじめ、一人ひとりのスタッフが情報セキュリティ対策の重要性を理解して、各種クラウドサービスを利用することが求められます。
企業のシステム管理者が重要視すべき対策としては、以下のものが考えられます。
標的型攻撃への対策
標的型攻撃(メール)とは、不特定多数が対象となるスパムメールとは違い、主にターゲットとする企業や組織から重要情報を盗み出すことを目的として送られるウイルスつきのメールのことを指します。
近年は政府機関や大手企業だけでなく、地方自治体や中小企業であっても狙われるケースが増えています。
たった一人のスタッフがそういった標的型攻撃メールに添付されたファイルを開いてしまったり、メール内にあるリンクをクリックしたりしただけでウイルスに感染してしまい、そのまま企業の重要情報が漏えいしてしまうケースもあります。
管理者の対策としては、まず標的型攻撃メールとはどういうものか、その手口について組織内のスタッフに周知する必要があるでしょう。
迂闊に怪しいメールや不自然なメールの添付ファイルを開かないように注意喚起したり、リンク先の安全を確認できるツールを利用するなどして安全性を確かめるように促していくことが考えられます。
標的型攻撃メールへの具体的な対処法は以下の記事で詳しく解説しています。
DDoS攻撃への対策
DDoS攻撃はサイバー攻撃の常套手段として知られており、インターネット上に公開されているサーバに対して複数のコンピュータから一斉に大容量のデータを一方的に送りつけ、ネットワークやその内部のシステムを過負荷状態に陥らせ、そのまま利用不能にしてしまう攻撃のことをいいます。
特にECサイトなどを運営している企業は、この攻撃によってサイトそのものが利用できなくなってしまう可能性があります。
さらにその間に別の攻撃によってサイト情報が改ざんされてしまったり、顧客情報が漏えいするなどの2次的な被害も出てくる危険があるのです。
対策としては、攻撃元と思われる同一IPからのアクセスを制限したり、国内サービスに特化している場合は海外からのアクセスだけを遮断するといった方法が考えられます。また、以下で紹介するWAF(Web Application Firewall)を導入する方法もあります。
ブルートフォースアタック(総当り攻撃)
ブルートフォースアタック(総当り攻撃)とは、暗号や暗証番号などを利用するうえで理論的に考えられるパターンすべてを入力して解読を試みる暗号解読の方法です。
これによってターゲットのWEBサイトやネットワークに潜り込み、情報を改ざんしたり個人情報を盗み出したりします。
たとえばターゲットにされた企業がWordPressを用いてサイトの作成・運用を行っている場合、管理者のユーザー名とパスワードを総当りで試し、ログインに成功するとそのまま情報を書き換えられたり、そのサイトからウイルスをばら撒かれたりといった被害を受ける可能性があります。
この対策としては、ユーザー名やパスワードを推測されにくいものにするといった基本的なものから、重要なファイルのパーミッションを変更するといったことが考えられます。
SQLインジェクションへの対策
WEBサイトのなかには、外部のデータベース(DB)と連携して動作するものがあります。
そういうサイトでは外部から入力された値によって連携したデータベースへの命令文(SQL文)を構成するケースが多いですが、悪意のある外部者が攻撃対象とするサイトの入力画面からSQL文を含む文字列を入力すると、管理側が意図しないSQLが生成されてしまう可能性があります。
そうなると、不正にDB内のデータが盗み取られたり改ざんされてしまうといった被害を被る危険があるのです。
これをSQLインジェクション攻撃といい、このような攻撃を許してしまうサイトをSQLインジェクションぜい弱性を持つサイトといった言い方をします。
管理側の対策としては、サーバ上のプログラムで不正な入力値による処理を防いだり、データベースアカウントの権限を最小に設定するといった方法や、定期的にサイト全体のぜい弱性検査をすることなどが挙げられます。
クロスサイトスクリプティングへの対策
クロスサイトスクリプティング(XSS)とは、いわゆる「動的Webページ」に関するぜい弱性のことであり、またそのぜい弱性を利用した攻撃法のことを指す呼称です。
動的Webページでは、ユーザーがサイトにアクセスしたタイミングで表示する内容が生成されることになりますが、その際に悪意のあるスクリプトが紛れ込み、閲覧者のユーザー環境でそれが実行されてしまうことがあります。
たとえば掲示板やECサイトで買い物をした際の入力確認画面などでは、ユーザが入力した内容がそのまま表示されることになりますが、そこに攻撃者が任意のスクリプトを仕込むことで、それがユーザー側のブラウザで実行されてしまうケースがあります。
それによって、そのままユーザIDやパスワードを含む個人情報が盗み出されてしまう可能性があるわけです。
管理者側の対策としては、サーバやWEBアプリケーションのミドルウェアを最新の状態にしたり、ぜい弱性が生まれにくいアプリケーション処理を意識するといったことが考えられます。
また、以下で紹介するようなWAF(Web Application Firewall)やXSS専用フィルタなどのセキュリティ対策ツールを導入するのも有効です。
クラウドのセキュリティ対策で注目のWAFとは
ここまで、クラウドサービスを利用する企業におけるセキュリティについて解説してきましたが、近年はクラウド環境のセキュリティ対策としてWAF(Web Application Firewall)が注目されています。
WAF(Web Application Firewall)とはWEBアプリケーションのぜい弱性を狙った一連の攻撃からサイトを守るためのセキュリティ対策であり、一般的に「ワフ」と呼ばれています。
クライアントとサーバをつなぐネットワーク間に設置することで各々の通信を解析し、悪意をもったアクセスや攻撃からサイトを保護し、不正なログインを防ぐ役割を担います。これによって、さまざまなクラウドサービスを安全に利用できるようになるわけです。
WAFがクラウドのセキュリティを解決
WAFの機能を使うことで、これまで述べてきたようなクラウドにおけるセキュリティ対策を行えます。具体的には、以下のような対策が可能となっています。
標的型攻撃への対策
WAFの導入によって、標準型攻撃による被害のリスクを軽減させられます。
たとえばメール内のリンクから不正なサイトにアクセスさせようとした場合、その通信がWAFによって検査されることになりますから、未然に攻撃を防ぐこともできます。
ただし、WAFはあくまでもWEBアプリケーションへのぜい弱性を狙った攻撃を防ぐためのものです。ウイルスなどのマルウェアに感染されたメールを開いてしまったことによる被害などには対応できないケースがほとんどですから、その辺りは注意してください。
DDoS攻撃への対策
上述のように、DDos攻撃はターゲットに大量のデータやリクエストを一方的に送りつけることでサーバを不能にしてしまうものですが、必ずしもそういった方法だけとは限りません。
サーバやアプリケーションのぜい弱性を利用することで少量のデータでリソースを枯渇させて、サーバ停止に追い込むといった攻撃法法もあります。
WAFはアプリケーションにあたる部分を守るセキュリティツールですから、このようなぜい弱性を突いたDDoS攻撃を防御可能です。
ブルートフォースアタック(総当り攻撃)
ブルートフォースアタックのような単純なファイアウォールで防げない攻撃も、WAFであれば検知可能になります。
ブルートフォースアタックもWEBアプリケーション層をターゲットとした攻撃ですから、たとえば同じIPから一定数のリクエストを受けた際に必ず認証を求めるとういう設定にしておけば、連続試行による不正ログインを防げます。
SQLインジェクションへの対策
WAFの導入により、データベースの改ざんや不正アクセスによる情報流出など、これまでのファイアウォールやIDS/IPSなどでは防ぐことのできなかったWEBアプリケーションのぜい弱性を未然に検知し、防御可能です。
クロスサイトスクリプティングへの対策
クロスサイトスクリプティングもWEBアプリケーションのぜい弱性を狙った攻撃ですから、WAFの設置によって対処できます。WEBアプリケーションのぜい弱性にプログラミングで対処しようとすると、どうしても時間がかかってしまい、その間に深刻な被害を被ってしまう可能性があります。
しかしWAFであれば、設置すればすぐにこういった攻撃からWEBサイトの安全を守れるようになります。
WAF製品6選
最後にこれまで説明してきたWAFについて、現在利用できる代表的なツールを紹介します。
攻撃遮断くん
攻撃遮断くんは、導入実績・導入サイト数ナンバーワンを誇るクラウド型のWAFです。WEBアプリケーション層へのサイバー攻撃を可視化し、遮断してくれます。業界ではもっとも有名なツールといっても過言ではないでしょう。充実したサポートとサイト数やトラフィック量の増加に関わらず一定額で利用できる点も魅力です。
AIONCLOUD 無料で始めるWAFサービス
AIONCLOUDは、無料ではじめられるクラウドWAFサービスです。直感的なUIでウェブサイトのトラフィックや訪問回数、攻撃などの詳細なステータスをリアルタイムに監視でき、あらゆる攻撃からウェブサイトを保護します。マルウェアを検出した場合は素早いアクションでその拡大を防止し、ウェブサイトスレットを学習することで未知の不正に対してもセキュリティ保護が可能です。
マネージドセキュリティサービス for Imperva Incapsula
マネージドセキュリティサービス for Imperva Incapsulaは、ソフトバンク・テクノロジーのクラウドWAFサービス「Imperva Incapsula」の運用・監視をセキュリティ専門アナリストが24時間365日代行してくれるマネージドサービスです。アラートを検知すると、専門アナリストが内容を分析して重要なアラートだけを通知してくれます。Incapsulaの設定変更やチューニング設定も代行してもらえるので、自社の負荷軽減とシステム最適化を同時に図れます。
Cloudbric
Cloudbric(クラウドブリック)は、WEBサイトセキュリティ対策を統合したサービスであり、DDoS攻撃やサイト情報の改ざん、情報漏えいといったあらゆる脅威からWEBサイトを防御し、その履歴を詳細な分析レポートで確認できます。自社のWEBサイトを保護したいが、何から始めればわからないという人は、クラウドブリックに登録してみることをおすすめします。
サイト専用型WAF:WAF BENKEI
WAF BENKEIは低帯域から高帯域まで対応可能なサイト別専用のWAFソリューションです。クラウド型WAFの多くは複数のユーザーが共有する形態が一般的ですが、WAF BENKEIは1サイト占有型のWAFサーバーを構築することで、サービス維持・保守性に優れたサービス提供が可能となっています。これによって購入するサイト別に柔軟な設定をできるのが魅力です。
SCT SECURE クラウドWAF EXP
SCT SECURE クラウドWAF EXPは、DDoS攻撃やWEBアプリケーションのぜい弱性を狙った攻撃からサーバ環境やWEBサイトを守ります。標準的なWAF機能に加えてコンテンツキャッシュ機能をもっているため、サーバへの負荷が軽減でき、短期間での急激なアクセス増にも対応できます。
セキュリティ対策でクラウドの安全性を高めよう
クラウドサービスのセキュリティについて、オンプレミス環境との比較や管理者に必要とされるセキュリティ対策の解説、そして今注目のWAFについて現在提供されているサービスとともに紹介をしてきました。
多くの企業が情報漏えい対策に頭を悩ませるとともに、便利なクラウドサービスの利用が欠かせなくなっているのが現状でしょう。クラウドサービス自体のセキュリティが堅牢であっても、使う側がセキュリティ対策を怠ってしまえば、結局さまざまなサイバー攻撃に晒される可能性が高まってしまいます。
本記事を参考に、ぜひ自社のセキュリティ対策について見直してみてください。クラウドサービスの利用が一般的になっているからこそ、自社のセキュリティ意識を高めることが重要なのです。
ボクシルとは
ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。
「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」
そんな悩みを解消するのがボクシルです。
マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。
ボクシルとボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト・高効率・最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。
