多様なサイバー脅威が蔓延る中、富士ソフトのソリューション事業本部内で有志を募り、セキュリティ座談会を実施。その様子を連載形式でお届けします。
Part3では、シングルクラウドとマルチクラウドのセキュリティ課題を比較。さらに、放置アカウントのリスクやゼロトラストの重要性について議論しました。Part4では、「AWS」、「Microsoft Azure」、「Google Cloud」のセキュリティに関する思想や哲学の違いに迫ります。
参加メンバー
北村 明彦
ソリューション事業本部 インフラ事業部
川西 就
ソリューション事業本部 インフラ事業部 クラウドソリューション部
脇屋 徳尚
ソリューション事業本部 インフラ事業部
岩品 慶子
ソリューション事業本部 インフラ事業部 インフライノベーション部
櫻井 秀憲
ソリューション事業本部 インフラ事業部
各クラウドベンダーのセキュリティ観
――セキュリティの観点で、各クラウドの違いを教えてください。
北村:「AWS」、「Microsoft Azure」、「Google Cloud」の3大パブリッククラウドについてお話しします。IAM(Identity and Access Management)やロールの概念は一見共通しているように見えますが、セキュリティに関する思想や哲学はそれぞれ異なります。
具体的には、セキュリティに関する思想や哲学や動作範囲に違いがあります。たとえば「AWS」の「Amazon GuardDuty」では、ユーザーの“普段とは異なるふるまい”を検知するアプローチが採用されています。
脇屋:「Microsoft Azure」は、ゼロトラストを前提にID管理やログ運用をセキュリティの軸としています。そのうえで、「Microsoft Sentinel」と呼ばれるSIEM(Security Information and Event Management:ネットワークの監視やセキュリティインシデントの検知を行うシステム)ツールと、Microsoft製品群の統合により、AIや機械学習を活用したリアルタイム検知と自動対応を実現しています。
岩品:一方、「Google Cloud」は設定ミスや脆弱な構成を検知して警告する、構成評価型のアプローチが採用されています。
川西:「Google Cloud」は、「VPCSC(VPC Service Controls:仮想的な境界でAPIを保護し、データ漏えいを防ぐサービス)」によるマイクロセグメンテーションが特徴です。APIによる厳格な制御が可能です。
岩品:「Google Cloud」は、データセンターやネットワークインフラ自体の安全性を前提としています。そのため“「Google Cloud」を信頼してもらえれば守れる”というセキュリティ思想があります。設定が正しく行われていれば、構成ミスに対してもアラートが出る仕組みがあり、ユーザーがそれに従って対応すれば堅牢な環境を構築できます。
岩品:また、ログはデフォルトで広範囲から取得されますが、その解析や運用はユーザーに委ねられています。GUIよりもCLIやAPIを多用する設計が多く、一定のスキルが求められます。初期設定ではAPIが無効な場合もあり、「Terraform」(HashiCorp社が提供する、クラウド上のインフラをコードで管理・構築するためのInfrastructure as Codeツール)などによる自動化を前提とした設計と相性がいいです。
つまり、「Google Cloud」に慣れるまでは時間と学習コストがかかりますが、使いこなせれば高いセキュリティ性を持つ環境を構築できます。私も今では「Google Cloud」愛好家ですが、IT業界未経験で入社した当時に担当していたら、かなり苦戦していたと思います。
学習コスト以上に得られるクラウドの価値
脇屋:学習コストについて、「Microsoft Azure」もやりたいことが増えるほど学習コストが急激に上がる点は、他のクラウドと同様です。設定の複雑さに戸惑うユーザーも少なくありません。
櫻井:どのクラウドでも言えることですが、適切な設定を行うには、まず提供されるドキュメントをよく読み込むことが重要です。ただし、ドキュメントに従うだけでは、企業ごとに最適化された設定はできません。すべてのセキュリティ設定を有効にすると、コストがかさむためです。
「なぜこのセキュリティ設定は有効にするべきなのか」と考えながら、理解を深めていく必要があります。
――クラウドの学習コストや設定の難しさから、オンプレミスの方がセキュリティに優れていると主張する人もいます。
北村:オンプレミス環境では、“環境が動作しているから問題ない”として、OSアップデートやパッチ適用を先送りにしがちです。しかし、それが攻撃者に狙われる原因になります。
クラウドでは基盤の自動更新により、アップデートが強制的に実行されることが多く、それを“自由度が低い”と感じる人もいるかもしれませんが、セキュリティで本来やるべきことを実行してくれているとも言えます。オンプレミスもクラウドも、セキュリティでやるべきことは変わりませんが、自動アップデートの観点では、クラウドの方が優秀です。
――セキュリティ観点から見たクラウドのメリットは、他にどのようなことがありますか。
北村:「AWS Lambda」などの、サーバーレスサービスを使えば、ミドルウェアの管理が不要になります。これにより、脆弱性対応の負担が軽減されます。また、OSの管理が不要になる点も大きなメリットです。
櫻井:保守ベンダーとの契約にアップデート作業が含まれておらず、パッチ適用ができていなかったケースもあります。そのため、弊社ではアップデート作業込みで提案することが多いです。
北村:AIなどの発達により、24時間365日攻撃者に環境を監視されているため、昔のように「たまたま攻撃者が脆弱性を見つけられなかったから無事だった」という時代です。攻撃者がその気になった瞬間に狙われる状況にあると認識し、意識を変える必要があります。
――マネージドサービスも有効な手段と言えそうです。
脇屋:弊社のサービスを例に挙げると、「FujiFastener(フジファスナー)」はフルマネージドで24時間クラウド環境をモニタリング可能です。第三者の視点で「環境に問題はありませんか?」と声掛けしてくれるようなサービスは、今後ますます重要になると思います。
北村:クラウドのセキュリティは、各社のセキュリティに関する思想や哲学によってアプローチが異なります。その違いを理解したうえで、自社の環境や目的に合った選択をすることが重要です。設定の難しさや学習コストに目を向けがちですが、それを乗り越えた先には、より安全で柔軟な運用が待っています。
関連記事について
前の記事はこちら
『セキュリティ座談会 Part3|【シングルorマルチ?】クラウド構成をセキュリティ目線で捉える』
次の記事はこちら
『セキュリティ座談会 Part5|【“合法的”ハッキングのすすめ】クラウド学習のカギは“検証力”』
記事一覧はこちら
セキュリティ座談会に関する記事一覧
関連サービスについて、詳しくはこちらをご覧ください。
