セキュリティ クラウドを添えて
2018/04/17
アクセンチュア・クラウド・ダイアリーズをご覧頂きありがとうございます。
クラウド推進事業本部でCloud Technical Architectをしております、津山と申します。
桜も咲き、今、まさに引っ越しのシーズンですが、ご多分に漏れず、私も先日引っ越しをしました。 引っ越す時、ここぞとばかりに断捨離しまくったのですが、その中には、長年使い続け動きの悪くなったパソコンも含まれていました。中身のデータを第三者に見られるのは(いろんな意味で)マズイので、なんとか吹き飛ばそうと、夜な夜なオール0/1書き込みを行った次第です。
こうした個人の情報ですらセンシティブな世の中ですから、企業におけるセキュリティ事情は更に気をつける必要があります。
- セキュリティあれこれ
「彼を知り己を知れば百戦殆うからず」
孫氏の兵法で有名な言葉ですが、セキュリティ、つまり資産などを害から保護する場合においても、この考えは非常に重要です。
【彼を知る】
まずは、「害」とはどのようなものがあるでしょうか?
大きく分けると、以下のようになるかと思います。
- 内的要因
- 外的要因
1. 内的要因
内的要因、つまり自分達のシステムや、組織内のことが原因でセキュリティのリスクにさらされることです。大別すると、以下となるでしょうか。
- システム起因・・・放置された脆弱性、バグなど
- 人起因・・・関係者のモラル欠如など
i. システム起因
システムに起因する要因は、そのレイヤー毎に原因を考え、対策する必要があります。
一般的な対策の一例は以下のようになりますが、その検討領域は多岐にわたり、それぞれの対策一つとっても検討すべき事項は多数あります。
オンプレの場合は上記の全レイヤーで検討していく必要があり、なかなか大変です。では、クラウドではどうでしょうか?
クラウドでシステム構築する場合においても、セキュリティ対策の基本的な考え方は同じですが、クラウド事業者の責任において、一部レイヤーのセキュリティを担保してくれる「責任共有モデル」という考え方があります。
- 責任共有モデルとは・・・
クラウド事業者が提供するサービスモデル毎にその範囲は異なりますが、「クラウド利用者」と「クラウド事業者」でそれぞれセキュリティを担保する範囲をきっちり定義して、それぞれがそれぞれの領域を責任を持って守る、という考え方です。
そのため、クラウド事業者側で責任を担保する部分は利用者に情報を公開しない代わりに第三者の認証や監査を受け、その正当性を担保しています。
ということは、今まで自分達で頑張って検討していたセキュリティ検討から一部開放されると言うことです。これによって、上位層のセキュリティ検討を更に実施出来るようになる、という寸法ですね。
とは言うものの、クラウド設定に問題が無いか心配は尽きません。。。
こういった悩みに対して、各クラウド事業者からは、クラウド設定に問題ないか確認する仕組みを提供してくれています。
ことAWSに関してですが、弊社もこのような仕組みをAABG(Accenture AWS Business Group:https://www.accenture.com/gb-en/service-aws-cloud)というビジネスグループの活動で開発していますので、是非活用してみてください。
ii. 人起因
対策が取りにくく、こと情報漏えいの原因で一番(*1)なのが人起因のセキュリティ事故です。
人起因と言っても様々で、その内容は、「管理ミス」「誤操作」「紛失・置忘れ」などがあげられます。
管理ミスであれば、ポリシーを策定しガバナンスを効かせる、誤操作であれば、確認のダイアログをポップアップさせるなどなど、それぞれの原因毎にその組織に見合った対策を検討する必要があります。
通り一遍等な施策だと効果が薄いため、ここの対策はプロを交えて検討するのが良いかも知れません。
(*1 出典:特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)2014年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~http://www.jnsa.org/result/incident/2014.html)
2.外的要因
外的要因とは、外部から不正アクセスやウイルス、DoS攻撃など、いわゆるクラッカー達によるアタックが原因でセキュリティのリスクにさらされることです。
では、そのクラッカー達はどのような行動をするのでしょうか?
- 攻撃パターンについて
まず、大きく攻撃パターンを整理すると、以下の2つになります。
- 従来型攻撃・・・不特定多数を対象に一般的な脆弱性を突いて攻撃
- 標的型攻撃・・・特定の人物・組織を狙って行われる攻撃
i. 従来型攻撃
従来型の攻撃は、不特定多数を対象としているため、多くの人が利用しているOS・ソフトウェアを対象にする場合が多く、ほとんどの場合で一般的なアンチウイルスソフトなどで対策を取ることが可能です。
が、セキュリティソフト側の対策が取られていないうちにランサムウェアを実行してしまったり、不正なアプリを実行してしまうと被害が及んでしまうため、定期的なバックアップや、メールのフィルタリングを行う、といった、基本的な対策は欠かさないようにしましょう。
ii. 標的型攻撃
標的型攻撃ですが、特定の人物・組織を対象にしているため、その手口もより巧妙なものになり、例えば、社内のメールのような装いでウイルスを開かせる「なりすましメール」などが手口として有名かと思います。
このように手口が巧妙化されることにより、その対策もより困難なものとなり、よく従来型で行われていた入口・出口対策だけでは不十分なものとなりつつあります。
では、どのように考えると良いのでしょう?
ここで参考になるのは、Lockheed Martin社のMichael Cloppert氏らによって提唱された「Cyber Kill Chain」という考え方です。
(出典:Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains)
標的型攻撃においては、上記チェーンのなるべく早い段階で脅威を「断ち切る」ことで、攻撃の最終目的を防ぐ、という多層防御の考え方を踏まえた対策を取る必要があります。
各チェーンでそれぞれ予防・防御・検知・解析といったマトリクスで対策を講じ、対策の弱い領域に対して必要なアクションを取り、早い段階で対応出来なくても、ちゃんと後段でカバー出来るような仕組みを構築することが重要です。
【己を知る】
資産を守るにあたって、「すべて最高のセキュリティ対策をするのである!」と息巻いて対策を行うと、費用も莫大になり、加えてそれがシステムの場合、使い勝手の悪いシステムになってしまいます。
そのため、資産とそのリスクを評価し、評価に見合った対策を実施することが重要です。
評価の方法は、ISOのテクニカルレポート GMITS(Guidelines for the Management for IT Security)にしたためられているので、こちらを確認して頂くのが良いでしょう。
その中で、リスクアセスメント戦略として、ベースラインアプローチや非形式的アプローチなどが紹介されているので、自分達に合った戦略で評価してみてください。
しかし、一度評価したきりで終わりではなく、そこから対策を計画し、セキュリティの思想を根付かせ、フォローアップする、いわゆるPDCAのサイクルを回し続けていくということが重要です。
いかがでしたでしょうか。
簡単ではありますが、セキュリティの概要に触れて頂くことが出来たかと思います。これを機にセキュリティに興味を持って頂けると幸いです。
アクセンチュアではクラウド利活用におけるセキュリティポリシー策定からシステムの構築・運用まで提供しておりますので、是非お問い合わせください!
