昨今、テレワークや DX 推進などの時代の流れに伴いクラウドの利用が急激に増加していますが、クラウド利用におけるガイドラインについては皆さんどの程度ご存知でしょうか?ガイドラインにはどういうものがあるのか、そしてどのガイドラインを順守すべきなのか、迷っておられる方も多いのではと思います。
そこで今回のブログではインシデントの発生状況を振り返るとともに、クラウド利用における代表的なガイドラインについてご紹介してみたいと思います。
クラウド利用におけるセキュリティインシデントの具体例
クラウドの利用増加に伴い、クラウドでのセキュリティインシデントも増加しています。
Sophos による調査では、70 %の企業がクラウド環境でセキュリティインシデントに遭遇しているという結果が報告(※1)されており、また、Trend Micro による調査では、Web やクラウドからの情報漏洩の約 3 割が「設定ミス」によるものという報告(※2)があります。
これらの調査結果から、クラウドの特性を理解できないまま、あるいは、しないままクラウドを利用し、起こるべくして起こったインシデントが一定の割合で存在する、と推測されます。クラウドは、その特性を理解し利用する際のセキュリティ対策を適切に実施することで、セキュリティリスクを下げることができます。
(※1)出所:ソフォスの調査:70%の組織がパブリッククラウドでサイバーセキュリティ・インシデントに遭遇
(※2)出所:2021 年上半期セキュリティラウンドアップ 侵入を前提としたランサムウェア攻撃の甚大な被害
クラウドセキュリティに関するガイドライン
クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)
2021年9月に、総務省から「クラウドサービス提供における情報セキュリティ対策ガイドライン(第 3 版)」がリリースされました。このガイドラインでは、クラウドサービス事業者がサービス提供の際に実施することが望まれる情報セキュリティ対策について記載されています。
幅広い読者を対象としたガイドラインとなっており、すべての項目に目を通すだけでも時間のかかるものとなっていますが、読者の種別(クラウドサービス利用者、SaaS 事業者、PaaS 事業者、IaaS 事業者)ごとにガイドラインのどの項目を確認すべきか、という読み方の解説がありますので、そちらに従って読み進めるのがおすすめです。
また、各項目にベストプラクティスといった対策方法が具体的に示されているので、これらの情報を参考にセキュリティ対策を実施することが可能です。
情報セキュリティに関するガイドライン
以下はいずれもクラウド利用に限ったものではありませんが、情報セキュリティに関する一般的なガイドラインとして公開されていますので、ご紹介いたします。
政府機関等のサイバーセキュリティ対策のための統一基準群
「政府機関等のサイバーセキュリティ対策のための統一基準群」は、内閣サイバーセキュリティセンター(National center of Incident readiness and Strategy for Cybersecurity:通称、NISC)がリリースしている管理基準です。
NISC によると、「統一基準群は、国の行政機関及び独立行政法人等の情報セキュリティ水準を向上させるための統一的な枠組みであり、国の行政機関及び独立行政法人等の情報セキュリティのベースラインや、より高い水準の情報セキュリティを確保するための対策事項を規定しています。」と記載されています。情報を保存・破棄する場合の取り扱いや、業務を外部に委託する場合に考慮すべきことについて、より一般的で最低限実施すべき事項などが記載されています。
政府情報システムのためのセキュリティ評価制度(ISMAP)
「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program:通称、ISMAP)」は、政府が求めるセキュリティ要件を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、それをもってクラウドサービスの円滑な導入に資することを目的とした制度です。
例えば、セキュリティ水準を満たしているクラウドサービスとして「Microsoft Office 365」が登録されています。クラウドサービスを導入する際の基準に用いることができます。
クラウドプラットフォームのセキュリティベストプラクティス
AWS や Microsoft Azure など、特定のクラウドプラットフォームで使用するサービスやリソースに関するガイドライン、ベストプラクティスも公開されています。例えば、使用する ID に関するベストプラクティスや、ログに関するベストプラクティスなどが記載されています。まずは、一般的なクラウドセキュリティ対策を確認した上で、各プラットフォームに特化したセキュリティ対策を実施することが推奨されています。
例えば、AWSのガイドラインには以下のようなものがあります。
- AWS セキュリティ監査のガイドライン
セキュリティ設定をチェックすべきタイミングや、チェックすべき項目に関する具体的なガイドラインが示されています。 - AWS Foundational Security Best Practices コントロール
AWSの各サービスにおけるセキュリティベストプラクティスに関する確認ができます。
続いてAzureのガイドラインもご紹介します。
- Azure のセキュリティの基礎に関するドキュメント
ベストプラクティスやガイダンスに関するまとめページとなっていて、詳細については各リンク先より確認することができます。 - Microsoft クラウド セキュリティベンチマーク
Microsoft ではセキュリティベンチマークの使用がクラウドデプロイの迅速なセキュリティ保護に役立つとして、ベンチマークの推奨事項に関するまとめページもあります。
このように様々なガイドラインがありますので、ご利用中のサービスや利用シーンに該当するものを選んで参考にしていただければと思います。
クラウド利用を安全に!KDLでご支援できること
弊社では、クラウド利用を安全にするためのセキュリティサービスを、ご要望に応じて複数ご用意しております。よろしければご覧いただき、気になるものがありましたら、お気軽にご相談ください。
アドバイザリーサービス
今回ご紹介したようなガイドラインですが、それぞれの中身を把握するだけでも非常に大変です。さらに詳細を理解し、かみ砕いて実際の対策に落とすことは、日々の業務で多忙なセキュリティ担当者様の大きな負担となります。
そういった担当者様の負担軽減のため、情報セキュリティに関するお悩み事を専門家に相談できるサービスを提供しております。
クラウドセキュリティ設定診断サービス
AWS や Microsoft Azure など、クラウドプラットフォームで使用する様々なサービスやリソースの「設定」に着目し、セキュリティ的に問題がないかどうかを診断するサービスです。
クラウドプラットフォームの利用中でも診断は可能ですが、できれば利用前や利用初期に診断を行い、安全を確認してから利用を開始できるとベストです。
各種セキュリティ製品の導入支援・導入後サポート
弊社では、WAF(Web Application Firewall)やサーバセキュリティ製品など、クラウドを保護するための各種セキュリティ製品を取り扱っております。セキュリティ製品は、適切な設定や日々の活用が重要となりますので、導入支援や導入後のサポートサービスについても提供しております。
今回のブログは以上となります!
皆様の安全なクラウド利用に、このブログが少しでもお役にたてますと幸いです。