多様なサイバー脅威が蔓延る中、富士ソフトのソリューション事業本部内で有志を募り、セキュリティ座談会を実施。その様子を連載形式でお届けします。
Part4では、「AWS」、「Microsoft Azure」、「Google Cloud」のセキュリティ思想の違いを比較し、各クラウドのセキュリティにおける特徴や設計方針、学習コストについて議論しました。Part5では、クラウドセキュリティを身に付けるうえでの“検証”の重要性と、実践的な学び方について深掘りします。
参加メンバー
北村 明彦
ソリューション事業本部 インフラ事業部
川西 就
ソリューション事業本部 インフラ事業部 クラウドソリューション部
脇屋 徳尚
ソリューション事業本部 インフラ事業部
岩品 慶子
ソリューション事業本部 インフラ事業部 インフライノベーション部
櫻井 秀憲
ソリューション事業本部 インフラ事業部
セキュリティには“理にかなった設定”が必要
――クラウドでやりたいことが増えるほど、学習コストも比例して上がります。クラウドを扱う人たちは、どこまで学ぶべきでしょうか。
北村:クラウドセキュリティの設定にあたって、多くの人が「この設定で問題ないだろう」と判断し、対応していると思います。ただし、その判断が個人の経験や理解のみに基づいている場合、第三者に妥当性を説明するのは難しいかもしれません。
各クラウドのセキュリティ特性を理解し、設定の背景や判断の根拠を説明することは、第三者の納得を得るうえでも重要です。
たとえば、「AWS」、「Microsoft Azure」、「Google Cloud」などは似たようなサービスを提供していても、セキュリティモデルや責任分界点、機能の仕様にはそれぞれ微妙な違いがあります。同じ設定に見えても挙動やリスクが異なるため、「他のクラウドで問題なかったから」という理由では設定の根拠に乏しいと言えます。
こうした違いを理解せずに設定を行うと、誤解や過信から想定外のミスや権限漏れが発生するリスクも高まります。
特に、企業単位でクラウドを活用しようとして、CCoE(Cloud Center of Excellence:企業内でクラウドの活用を推進する組織)を立ち上げる場合や、マルチクラウド環境を構築したい場合には、より専門的な知識が求められます。時間がかかっても各クラウドのセキュリティ特性は理解しておく必要があります。
川西:とはいえ、学習に十分な時間を割けない場合でも、安易にマネージドサービスに頼るのは危険です。
システム構築後、マネージドサービスが分析を行い、問題を指摘するまでには、一定のタイムラグがあります。その間を埋めるためにも、ある程度の知識を自分たちで持っておく必要があります。
脇屋:今は、攻撃者もAIなどを活用し、隙を突いて攻撃を仕掛けてきます。一瞬の油断も許されません。
――その隙まで埋めてくれるサービスはあるのでしょうか。
櫻井:システム構築と脆弱性診断をセットで行うことをおすすめしています。弊社では、Webアプリケーションを対象としたものや、クラウド設定に対する診断サービスなどを展開しています。
システムを構築したベンダーと、運用を担当するベンダーが異なるケースも多いため、包括的にシステムを見守ってくれるサービスは、今後ますます需要が高まると思います。
クラウドは“検証”で学ぶ
――自分たちでセキュリティを考える場合、具体的にどのようにスキルを向上させるべきでしょうか。
岩品:新入社員や、これからセキュリティを学ぶ人には、各クラウドベンダーが提供している“セキュリティのベストプラクティス集”がおすすめです。設定方法だけでなく、「なぜこの設定値にするべきなのか」という理由まで書かれているため、有事の際にどの設定をどう変えるべきか、どの設定は変えてはいけないかが理解できます。
岩品:また、本番環境に移行する前には、テスト環境やステージング環境などで、本番と同じ構成を検証することが一般的です。攻撃の仕組みやセキュリティ設定を“検証で勉強する”ことで、実戦的な知識が身に付きます。つまり、クラウド上のクローズド環境で学ぶのもおすすめです。
――クラウドはオープン環境とも言える気がします。 クローズド環境で検証したり学んだりするのは難しいのではないでしょうか。
川西:アカウントはオープンになっているため、情報漏えいには十分注意が必要です。ただし、環境自体はネットワークの設定次第でクローズドにできます。たとえば、インターネットからのアクセスを遮断し、VPC(仮想プライベートクラウド)内に閉じた構成をとることで、クラウド上でもクローズドな環境を実現できます。
脇屋:意識してほしいのは、検証用と本番用のアカウントを分けることです。権限の最小化の原則に従えば、万が一のときの被害を最小限に抑えられます。
櫻井:よく、検証用のアカウントのまま本番環境に移行してしまうケースがあります。PoCで問題がなかったからといって、そのまま本番環境でも同じアカウントを使うのは危険です。
川西:そのような移行ミスを防ぐためにも、検証環境で試した設定や確認事項を記録しておくことも重要です。後から振り返ることで学習効果が高まり、本番移行時の判断材料にもなります。
川西:さらに、私は“やられサーバー”と呼んでいますが、練習として攻撃されてもよいサーバーを一度作成してみるのも有効です。たとえば、AWSは所有している範囲内で、ペネトレーションテスト(侵入テスト)が認められているサービスがいくつかあります。それを活用して、AWS環境に“やられサーバー”を立て、攻撃者として侵入テストをしてみるのもおすすめです。
そうすると、「出力したログだけでは状況を把握できない」などの発見があります。時間が経って知識が増えると、「あのときの状況は、実は簡単な話だった」と理解できることもあります。“合法的に攻撃者になってハッキングする”のは、私自身が実践してきた学習方法の一つです。
櫻井:ほかにも、あらかじめ複数の脆弱性が含まれた環境や、攻撃手法を検証するためのテスト環境が無料で提供されている場合もあります。手を動かすことでセキュリティへの理解が格段に深まるので、座学だけでなくツールに触れて実戦形式で学ぶのも有効です。
脇屋:攻撃者側を体験すると、「この設定は突破しづらい」「この脆弱性は狙いたくなる」といった視点が得られます。その視点が“どこを守るべきか”の理解につながります。敵を知ることで、己を知る感覚です。
北村:クラウド上で安全な環境を構築・運用するには、単に設定方法を覚えるだけでは不十分です。“なぜその設定にするのか”という背景まで理解しておくことが重要です。
実際に手を動かして検証を重ね、知見を積み重ねていくことで、座学だけでは得られない深い理解につながります。
セキュリティには絶対的な正解はありませんが、検証によって得られる気付きこそが、クラウドセキュリティを学ぶうえでの根幹になるはずです。
関連記事について
前の記事はこちら
『セキュリティ座談会 Part4|【比較】「AWS」、「Microsoft Azure」、「Google Cloud」 守り方の違いから考える最適解』
記事一覧はこちら
セキュリティ座談会に関する記事一覧
関連サービスについて、詳しくはこちらをご覧ください。
